예방, 억제, 복구:공급망을 위한 랜섬웨어 대비 가이드

랜섬웨어는 병원 네트워크, 지방 정부 및 광범위한 공급망에 영향을 미치는 공격의 수가 증가하는 것을 목격하면서 사이버 보안 업계의 많은 사람들에게 최우선 과제였습니다. 회사에 대한 랜섬웨어 공격은 일반적으로 일정 기간 동안 데이터 및 시스템에 대한 액세스 손실을 초래하고 수익 손실 및 복구 노력에 지출된 비용을 통해 재정적 영향을 낳습니다. 랜섬웨어 공격이 공급망의 일부인 회사를 대상으로 하는 경우 하나의 서비스 제공업체가 수백 또는 수천 개의 회사에 직접적인 영향을 미칠 수 있으므로 훨씬 더 광범위한 영향을 미칠 수 있습니다.

랜섬웨어 위협에 대한 조직의 준비 상태를 이해하는 것이 필수적이며 공급망의 공급업체가 준비 상태에 어떻게 영향을 미치는지 아는 것은 전체 전략의 중요한 부분입니다.

랜섬웨어 공격을 방지하거나 최소화하기 위해 모든 방어책을 확실히 하고 최선을 다했다는 사실이 부담스러울 수 있습니다. 강력한 전략은 아키텍처, 엔드포인트, 사용자 등을 포괄하는 광범위하고 다층적인 것입니다.

그럼 어디서부터 시작해야 할까요? 구조화되고 논리적인 접근 방식은 조직의 랜섬웨어 준비 상태를 이해하는 데 도움이 될 수 있습니다. 이를 돕기 위해 예방, 억제 및 복구의 세 가지 기본 범주를 살펴보겠습니다.

예방

우리의 주요 목표는 처음부터 랜섬웨어가 우리 환경에 침투하지 못하도록 하는 것입니다. 이러한 방어 태세에서 우리는 경계 제어에서 최종 사용자에 이르기까지 인프라를 살펴봐야 합니다. 이 주제를 길게 다룰 수 있지만 랜섬웨어가 가장 일반적으로 도입되는 격차에 주의를 집중할 것입니다.

<울>

원격 데스크톱 프로토콜(RDP). 새로운 기술이나 새로운 공격 벡터는 아니지만 RDP는 취약점, 잘못된 구성 또는 무차별 대입 공격에 대한 취약성으로 인해 정기적인 표적이 되어 왔습니다. 최근 원격 근무 인력이 증가하고 이에 따라 RDP 사용량이 증가함에 따라 공격자들은 새로운 표적과 함께 하루를 보내고 있습니다. 여기서 예방 활동에는 열린 포트 수 제한, 강력한 인증 제어(다중 요소 인증 포함) 및 견고한 취약성 관리 프로그램이 포함됩니다.

피싱. 피싱 이메일은 가장 취약한 보안 링크인 최종 사용자에게 악성 콘텐츠가 직접 전달되도록 하는 많은 보안 제어를 우회할 수 있기 때문에 특히 위험할 수 있습니다. 피싱 이메일은 일반적으로 사용자 자격 증명을 얻으려고 시도하거나 악성 첨부 파일 또는 링크를 포함하여 궁극적으로 공격자에게 사용자 환경에 대한 직접적인 경로를 제공합니다. 여기에서 예방 활동에는 이메일 보안 솔루션 사용, 최종 사용자를 위한 보안 및 인식 교육, 엔드포인트 감지 및 대응 솔루션이 포함됩니다.

궁극적으로 권장되는 예방 기술은 새로운 것이 아닙니다. 이는 정보 보안 커뮤니티가 인터넷에서 액세스할 수 있는 항목 제한, 취약성 스캔, 패치 및 강력한 인증 제어와 같이 한동안 논의해 왔던 것과 동일한 핵심 원칙입니다.

격리

따라서 최선의 노력에도 불구하고 랜섬웨어가 환경에 침투합니다. 어떻게 확산을 막을 수 있습니까? 건물의 화재를 고려하십시오. 방화벽, 난연성 재료 등을 사용하여 실제 화재보다 먼저 진압 전략을 실행합니다. 랜섬웨어와 같은 공격의 경우에도 마찬가지입니다. 다음은 두 가지 주요 봉쇄 전략입니다.

<울>

특권 계정 사용. 공격자는 시스템 및 데이터에 대한 높은 수준의 액세스와 악성 코드를 실행하는 데 필요한 권한을 제공하기 때문에 권한 있는 계정을 표적으로 삼는 것을 좋아합니다. 비밀번호 재사용, 일반 텍스트로 저장된 서비스 계정 비밀번호, 쉽게 추측할 수 있는 비밀번호 등은 모두 계정 손상에 기여하는 일반적인 문제입니다.

여기에서는 권한 있는 계정 관리에 대한 전체적인 접근 방식이 핵심입니다. 여기에는 귀하가 가지고 있는 권한 있는 계정과 액세스 권한이 있는 계정에 대한 이해가 포함됩니다. 사용 방법(예:도메인 관리자와 서비스 계정) 이러한 계정에 액세스하고 관리하는 방법(예:권한 있는 계정 관리 솔루션 사용).

<울>

네트워크 세분화. 플랫 네트워크는 공격자에게 꿈의 시나리오입니다. 자격 증명을 획득하면 조직의 전체 네트워크에서 자유롭게 이동할 수 있으며 시스템 및 데이터에 대한 제한 없는 액세스가 가능합니다. 최소한 분할을 사용하여 측면 이동을 최대한 제한하여 공격자가 네트워크를 가로질러 추가 시스템 및 데이터에 액세스하는 데 훨씬 더 많은 어려움을 겪을 수 있도록 해야 합니다.

복구

사고 대응 계획 외에도 복구 노력에 도움이 되는 가장 중요한 계획은 비즈니스 탄력성 계획입니다. 사업은 어떻게 계속될 것인가? 강력한 복원 계획은 핵심 비즈니스 시스템의 기능을 복원하는 데 도움이 됩니다.

조직에 대한 일반적인 공격 벡터에는 공급망의 타사 공급업체가 포함됩니다. 그렇다면 공급업체가 제시하는 위험을 어떻게 식별하고 줄일 수 있습니까? 먼저 다음과 같은 중요한 질문에 답하십시오.

<울>

공급업체는 누구입니까?

각 공급업체는 귀사에 어떤 서비스를 제공합니까?

실제로 공급업체가 누구인지 식별하는 것은 간단한 작업이 아닙니다. 네트워크 또는 데이터에 액세스할 수 있는 공급업체가 있지만 이에 대해 알지 못할 수 있습니까? 전적으로. 현실은 클라우드 기반 솔루션으로 직접 이동할 수 있는 기능이 있으며 신용 카드와 몇 번의 마우스 클릭만으로 데이터에 액세스할 수 있는 공급업체가 있다는 것입니다. 그들이 누구인지 모르는 경우 조직에 대한 위험을 평가하는 것은 불가능합니다. 그들이하는 일에 관해서는 공급망의 공급 업체가 모든 종류의 서비스를 수행 할 수 있습니다. 일부는 액세스 권한이 있는 데이터 또는 내부 시스템을 기반으로 본질적으로 회사에 더 높은 위험을 제공합니다.

이러한 질문에 답하는 것은 해당 공급업체에 대해 적절한 평가 활동을 수행하기 위한 좋은 출발점입니다. 목표는 공급업체가 제공하는 서비스를 기반으로 시스템이나 데이터를 보호하기 위해 적절한 통제를 할 수 있도록 하는 것입니다. SOC 또는 ISO와 같은 인증 검토, SIG와 같은 평가 설문지, 침투 테스트 결과 등을 포함하여 활용할 수 있는 평가 전략이 많이 있습니다. 접근 방식에 관계없이 공급업체가 이러한 통제를 갖추고 있는지 확인하면 다음과 같은 위험을 줄일 수 있습니다. 공격 시 조직이 영향을 받습니다.

시스템이 더 연결되고 복잡해짐에 따라 공격자는 여전히 방어를 통해 어떤 방법을 찾을 수 있습니다. 그러나 랜섬웨어 공격에 대비하면 조직에 미치는 영향과 중단을 크게 줄일 수 있습니다. 적절한 억제 및 복원 계획과 함께 심층 방어 전략을 사용하면 조직의 사이버 강도가 높아질 수 있습니다.

Gary Brickhouse는 GuidePoint Security의 최고 정보 보안 책임자입니다.

랜섬웨어는 병원 네트워크, 지방 정부 및 광범위한 공급망에 영향을 미치는 공격의 수가 증가하는 것을 목격하면서 사이버 보안 업계의 많은 사람들에게 최우선 과제였습니다. 회사에 대한 랜섬웨어 공격은 일반적으로 일정 기간 동안 데이터 및 시스템에 대한 액세스 손실을 초래하고 수익 손실 및 복구 노력에 지출된 비용을 통해 재정적 영향을 낳습니다. 랜섬웨어 공격이 공급망의 일부인 회사를 대상으로 하는 경우 하나의 서비스 제공업체가 수백 또는 수천 개의 회사에 직접적인 영향을 미칠 수 있으므로 훨씬 더 광범위한 영향을 미칠 수 있습니다.

랜섬웨어 위협에 대한 조직의 준비 상태를 이해하는 것이 필수적이며 공급망의 공급업체가 준비 상태에 어떻게 영향을 미치는지 아는 것은 전체 전략의 중요한 부분입니다.

랜섬웨어 공격을 방지하거나 최소화하기 위해 모든 방어책을 확실히 하고 최선을 다했다는 사실이 부담스러울 수 있습니다. 강력한 전략은 아키텍처, 엔드포인트, 사용자 등을 포괄하는 광범위하고 다층적인 것입니다.

그럼 어디서부터 시작해야 할까요? 구조화되고 논리적인 접근 방식은 조직의 랜섬웨어 준비 상태를 이해하는 데 도움이 될 수 있습니다. 이를 돕기 위해 예방, 억제 및 복구의 세 가지 기본 범주를 살펴보겠습니다.

예방

우리의 주요 목표는 처음부터 랜섬웨어가 우리 환경에 침투하지 못하도록 하는 것입니다. 이러한 방어 태세에서 우리는 경계 제어에서 최종 사용자에 이르기까지 인프라를 살펴봐야 합니다. 이 주제를 길게 다룰 수 있지만 랜섬웨어가 가장 일반적으로 도입되는 격차에 주의를 집중할 것입니다.

<울>

원격 데스크톱 프로토콜(RDP). 새로운 기술이나 새로운 공격 벡터는 아니지만 RDP는 취약점, 잘못된 구성 또는 무차별 대입 공격에 대한 취약성으로 인해 정기적인 표적이 되어 왔습니다. 최근 원격 근무 인력이 증가하고 이에 따라 RDP 사용량이 증가함에 따라 공격자들은 새로운 표적과 함께 하루를 보내고 있습니다. 여기서 예방 활동에는 열린 포트 수 제한, 강력한 인증 제어(다중 요소 인증 포함) 및 견고한 취약성 관리 프로그램이 포함됩니다.

피싱. 피싱 이메일은 가장 취약한 보안 링크인 최종 사용자에게 악성 콘텐츠가 직접 전달되도록 하는 많은 보안 제어를 우회할 수 있기 때문에 특히 위험할 수 있습니다. 피싱 이메일은 일반적으로 사용자 자격 증명을 얻으려고 시도하거나 악성 첨부 파일 또는 링크를 포함하여 궁극적으로 공격자에게 사용자 환경에 대한 직접적인 경로를 제공합니다. 여기에서 예방 활동에는 이메일 보안 솔루션 사용, 최종 사용자를 위한 보안 및 인식 교육, 엔드포인트 감지 및 대응 솔루션이 포함됩니다.

궁극적으로 권장되는 예방 기술은 새로운 것이 아닙니다. 이는 정보 보안 커뮤니티가 인터넷에서 액세스할 수 있는 항목 제한, 취약성 스캔, 패치 및 강력한 인증 제어와 같이 한동안 논의해 왔던 것과 동일한 핵심 원칙입니다.

격리

따라서 최선의 노력에도 불구하고 랜섬웨어가 환경에 침투합니다. 어떻게 확산을 막을 수 있습니까? 건물의 화재를 고려하십시오. 방화벽, 난연성 재료 등을 사용하여 실제 화재보다 먼저 진압 전략을 실행합니다. 랜섬웨어와 같은 공격의 경우에도 마찬가지입니다. 다음은 두 가지 주요 봉쇄 전략입니다.

<울>

특권 계정 사용. 공격자는 시스템 및 데이터에 대한 높은 수준의 액세스와 악성 코드를 실행하는 데 필요한 권한을 제공하기 때문에 권한 있는 계정을 표적으로 삼는 것을 좋아합니다. 비밀번호 재사용, 일반 텍스트로 저장된 서비스 계정 비밀번호, 쉽게 추측할 수 있는 비밀번호 등은 모두 계정 손상에 기여하는 일반적인 문제입니다.

여기에서는 권한 있는 계정 관리에 대한 전체적인 접근 방식이 핵심입니다. 여기에는 귀하가 가지고 있는 권한 있는 계정과 액세스 권한이 있는 계정에 대한 이해가 포함됩니다. 사용 방법(예:도메인 관리자와 서비스 계정) 이러한 계정에 액세스하고 관리하는 방법(예:권한 있는 계정 관리 솔루션 사용).

<울>

네트워크 세분화. 플랫 네트워크는 공격자에게 꿈의 시나리오입니다. 자격 증명을 획득하면 조직의 전체 네트워크에서 자유롭게 이동할 수 있으며 시스템 및 데이터에 대한 제한 없는 액세스가 가능합니다. 최소한 분할을 사용하여 측면 이동을 최대한 제한하여 공격자가 네트워크를 가로질러 추가 시스템 및 데이터에 액세스하는 데 훨씬 더 많은 어려움을 겪을 수 있도록 해야 합니다.

복구

사고 대응 계획 외에도 복구 노력에 도움이 되는 가장 중요한 계획은 비즈니스 탄력성 계획입니다. 사업은 어떻게 계속될 것인가? 강력한 복원 계획은 핵심 비즈니스 시스템의 기능을 복원하는 데 도움이 됩니다.

조직에 대한 일반적인 공격 벡터에는 공급망의 타사 공급업체가 포함됩니다. 그렇다면 공급업체가 제시하는 위험을 어떻게 식별하고 줄일 수 있습니까? 먼저 다음과 같은 중요한 질문에 답하십시오.

<울>

공급업체는 누구입니까?

각 공급업체는 귀사에 어떤 서비스를 제공합니까?

실제로 공급업체가 누구인지 식별하는 것은 간단한 작업이 아닙니다. 네트워크 또는 데이터에 액세스할 수 있는 공급업체가 있지만 이에 대해 알지 못할 수 있습니까? 전적으로. 현실은 클라우드 기반 솔루션으로 직접 이동할 수 있는 기능이 있으며 신용 카드와 몇 번의 마우스 클릭만으로 데이터에 액세스할 수 있는 공급업체가 있다는 것입니다. 그들이 누구인지 모르는 경우 조직에 대한 위험을 평가하는 것은 불가능합니다. 그들이하는 일에 관해서는 공급망의 공급 업체가 모든 종류의 서비스를 수행 할 수 있습니다. 일부는 액세스 권한이 있는 데이터 또는 내부 시스템을 기반으로 본질적으로 회사에 더 높은 위험을 제공합니다.

이러한 질문에 답하는 것은 해당 공급업체에 대해 적절한 평가 활동을 수행하기 위한 좋은 출발점입니다. 목표는 공급업체가 제공하는 서비스를 기반으로 시스템이나 데이터를 보호하기 위해 적절한 통제를 할 수 있도록 하는 것입니다. SOC 또는 ISO와 같은 인증 검토, SIG와 같은 평가 설문지, 침투 테스트 결과 등을 포함하여 활용할 수 있는 평가 전략이 많이 있습니다. 접근 방식에 관계없이 공급업체가 이러한 통제를 갖추고 있는지 확인하면 다음과 같은 위험을 줄일 수 있습니다. 공격 시 조직이 영향을 받습니다.

시스템이 더 연결되고 복잡해짐에 따라 공격자는 여전히 방어를 통해 어떤 방법을 찾을 수 있습니다. 그러나 랜섬웨어 공격에 대비하면 조직에 미치는 영향과 중단을 크게 줄일 수 있습니다. 적절한 억제 및 복원 계획과 함께 심층 방어 전략을 사용하면 조직의 사이버 강도가 높아질 수 있습니다.

Gary Brickhouse는 GuidePoint Security의 최고 정보 보안 책임자입니다.