랜섬웨어 공격을 방지하는 것은 IT 관리자, CISO, CEO부터 정부에 이르기까지 모든 사람의 최우선 과제 입니다. 새로운 문제는 아니지만 성공적이고 파괴적인 일련의 랜섬웨어 공격 이 전 세계의 관심을 다시 집중 시켰 습니다.
동시에 위협 행위자는 날이 갈수록 정교 해지고 있어 기업이 회복할 수 없는 피해가 발생하기 전에 포괄적인 예방 및 보호 전략을 개발하는 것이 그 어느 때보다 중요 합니다.
랜섬웨어 – 여전히 강력하고 끝이 보이지 않음
2021년 3월, 뉴욕의 Buffalo Public School 시스템에 대한 랜섬웨어 공격으로 해당 학군 은 일주일 동안 폐쇄되었습니다 . 그 달에 대만에 본사를 둔 PC 제조업체도 공격을 받아 공격자들에게 5천만 달러의 몸값을 요구받았습니다. 미국 최대 보험사 중 하나인 CNA가 랜섬웨어 공격을 받았으며 블룸버그에 따르면 공격자들에게 4천만 달러의 몸값을 지불했습니다. 아일랜드의 공중 보건 서비스(Public Health Services) 는 랜섬웨어 공격으로 인해 의료 서비스에 심각한 지장을 초래하여 IT 시스템 을 폐쇄했습니다 . 이러한 경향 은 며칠 동안 미국 동부 해안의 많은 지역에 연료 공급을 중단시킨 Colonial Pipeline 공격 과 미국의 주요 쇠고기 제조업체인 JBS에서 운영 을 중단한 공격으로 지속 되었습니다.며칠 동안. 목록은 계속됩니다.
랜섬웨어 공격의 전례 없는 급증에 대응하여 미국 정부 는 국가 사이버 보안 개선에 관한 행정 명령을 발표 했으며 미국 기업과 정부에 대한 만연한 랜섬웨어 공격에 대한 포괄적인 대응을 개발하기 위해 부처 간 태스크포스를 구성하고 있습니다. 대응에는 랜섬웨어 공격을 식별, 억제, 방지, 탐지 및 대응하는 기능 개발이 포함됩니다. 대응책에는 랜섬웨어 공격에 책임이 있는 사이버 범죄 활동을 적극적으로 방해하고 몸값을 지불하기 위해 암호화폐를 사용하는 문제를 해결하고 제로 트러스트 아키텍처 의 채택을 포함하여 공격을 저지하기 위한 더 나은 보안 접근 방식을 요구하는 것과 같은 전술이 포함됩니다 .
공격자가 초기 액세스 권한을 얻는 방법
랜섬웨어 공격과 이에 대한 대부분의 다른 맬웨어 공격을 방지하기 위해 방어자는 네트워크에 발판을 마련하려는 공격자의 시도를 막아야 합니다. 따라서 엔드포인트 보안 예방, 탐지 및 치료가 중요한 전략이 됩니다.
대체로 공격자는 일반적으로 두 가지 전술 중 하나를 사용하여 네트워크에 대한 초기 액세스 권한을 얻습니다.
- 피해자 네트워크의 취약점을 성공적으로 악용합니다. 취약점을 악용한다는 것은 악의적인 코드를 배포하기 위해 조작할 수 있는 소프트웨어 결함 또는 버그를 찾거나 공격자가 코드를 배포할 진입점을 제공하는 잘못된 구성을 발견하는 것을 의미합니다. 이러한 취약성은 예를 들어 클라우드 리소스의 잘못된 구성 이나 제3자 종속성을 통해 발생할 수 있으며, 이는 공급망 공격으로 인한 손상으로 이어질 수 있습니다 .
- 유효한 계정에 대한 무단 액세스 획득. 유효한 계정에 대한 무단 액세스는 소셜 엔지니어링을 통해 사용자 계정의 자격 증명 을 도용 하여 이루어집니다 .
다계층 접근 방식을 통한 침해 방지
차세대 ID 및 AI 기반 엔드포인트 보호 는 랜섬웨어에 대한 더 나은 솔루션을 제공합니다. AV 서명을 기반으로 구축된 암호 기반 인증 또는 엔드포인트 보호와 같은 기존의 이전 세대 솔루션은 최신 랜섬웨어를 차단하는 데 심각한 결함이 있습니다. 예방의 요점은 초기 침투를 막는 것이므로 이러한 최신 보안 솔루션이 랜섬웨어와의 전쟁에서 새로운 무기를 제공할 수 있는 방법을 구체적으로 분석해 보겠습니다.
전술 #1: 공격 방지 사용자 인증 배포
많은 성공적인 랜섬웨어 공격은 유효한 계정에 속한 자격 증명을 해독하거나 훔쳐 피해자의 네트워크에 초기 발판을 마련합니다. 이를 효과적으로 방지하려면 추측, 파손 또는 도용하기 어려운 강력한 사용자 인증 자격 증명이 필요합니다.
예를 들어, 올해 초 Colonial Pipeline에 대한 성공적인 공격에서 유효한 계정에 대한 액세스는 공격자에게 초기 액세스 권한을 제공했습니다. 마찬가지로 MAZE 및 기타 사람이 조작하는 랜섬웨어에 대한 공격 진입점 은 종종 RDP를 통해 액세스 하거나 약한 암호로 Citrix 웹 포털 계정에 로그인 하는 인터넷 연결 시스템에 대한 도난당한 암호입니다.
기존의 다중 요소 인증(MFA) 접근 방식은 암호 고유의 보안 취약점을 해결하는 데 도움이 되지만 여전히 근본적으로 인간 사용자가 기억하고 알아야 하는 것에 의존하며 전화 기반 접근 방식은 100% 안전하지 않습니다. 더 중요한 것은 MFA의 추가된 보안으로 인해 솔루션을 소유하고 운영하는 데 상당한 비용이 발생하여 사용자가 크게 불안해할 수 있다는 것입니다.
암호 없는 MFA는 자격 증명 도용을 방지하고 공격자가 암호를 추측하는 것을 불가능하게 만듭니다. 암호 없는 MFA는 여러 인증 요소를 사용하지만 기존 암호는 제외합니다. 암호 없는 MFA에 가장 일반적으로 사용되는 인증 요소는 사용자가 등록한 모바일 장치와 장치에 내장된 지문 센서를 통한 사용자 PIN 또는 지문입니다. 기존 암호의 필요성을 제거함으로써 보안이 즉각적이고 본질적으로 개선되고 사용자 경험이 간소화되며 비용이 억제됩니다.
전술 #2. 랜섬웨어의 즉각적인 탐지, 검역 및 제거
현실적으로, 예방 조치를 취한다고 해서 공격자가 경계를 뚫고 사용자의 장치에 액세스하지 못한다는 보장은 없습니다. 차선책 방어선은 다운스트림 데이터 손실, 재정적 손실 또는 시간 투자가 발생하기 전에 엔드포인트 수준에서 의심스러운 활동을 감지하고 억제할 수 있는 자동 기계 속도 보호, 감지 및 대응 메커니즘입니다.
최신 XDR(Extended Detection & Response) 솔루션은 로컬 프로세스를 실시간으로 모니터링하고 동작을 자세히 분석하여 매우 높은 특이도로 악성 코드를 식별하고 즉각적인 완화 조치를 취할 수 있도록 합니다. 이렇게 하면 공격자가 로컬 메모리에서 실행되든 원격에서 실행되든 공격이 시작되는 즉시(공격자가 원하는 대상에 액세스하기 전에) 중지됩니다.
기술적인 관점에서 완화 옵션은 다양합니다. 시스템은 상황 및 조직 정책에 따라 코드 소스를 삭제하거나, 모든 관련 프로세스를 종료하거나, 의심스러운 파일을 격리하거나, 영향을 받는 엔드포인트를 네트워크에서 완전히 연결 해제할 수 있습니다.
진행 중인 공격을 차단하는 것은 모든 XDR 솔루션의 가장 중요한 작업이지만 그 역할은 여기서 그치지 않습니다. 진행 중인 공격을 중지하기 위한 중요한 단계를 수행한 후 IT 및 보안 팀은 맬웨어 활동의 타임라인, 진입점 및 공격 벡터, 영향을 받는 모든 파일 및 네트워크 목록이 포함된 자세한 포렌식 보기를 얻어야 합니다. 그런 다음 관리자는 공격을 분석하여 미래의 위협에 더 잘 대비하고 상관, 법 집행 기관 및 보험사에 모든 관련 데이터를 제공할 수 있습니다.
전술 #3. 랜섬웨어의 변경 사항 롤백
이 다계층 접근 방식의 세 번째 요소이자 랜섬웨어의 영향을 받는 사람들에게 가장 중요한 요소는 시계를 되돌리고 모든 자산과 구성을 공격 전의 원래 상태로 복원하는 기능입니다. 이 중요한 단계는 공격의 범위와 깊이에 관계없이 신속한 복구를 가능하게 하고 완전한 비즈니스 연속성을 보장합니다.
이전에 알려지지 않은 맬웨어 또는 새로운 공격 전술은 탐지 구성 요소에 의해 자동으로 포착 및 차단되지 않을 수 있으므로 해당 작업을 실행 취소하는 것이 유일한 보호 수단입니다. 또한 위험은 암호화되거나 삭제되는 파일에만 국한되지 않습니다. 맬웨어는 또한 후속 공격에서 이용될 수 있는 액세스 권한 및 보안 구성을 변경할 수 있습니다.
이러한 다단계 공격은 일반적으로 기업 네트워크 및 공공 인프라를 표적으로 하는 해커에 의해 사용되며 특히 위험한 위협이 됩니다. 이러한 장기 캠페인에서 첫 번째 단계는 종종 휴일이나 중요한 비즈니스 이벤트와 같은 특정 날짜에 공격을 보다 쉽게 실행할 수 있는 씨앗을 심는 용도로만 사용됩니다. 이런 식으로 공격자는 피해자를 놀라게 하고 준비 부족을 이용하여 전체 몸값을 지불하는 것 외에 선택의 여지가 없습니다.
악의적이거나 의심스러운 코드에 의해 실행된 모든 변경 사항의 자동 되돌리기는 아무리 작더라도 관리자에게 안전망을 제공하여 성공적인 사이버 공격의 무서운 결과로부터 관리자와 전체 도메인을 보호합니다.
랜섬웨어 방지를 위한 광범위한 보안 스택
요약하자면 사이버 보안 설계자와 기업 네트워크 방어자의 주요 목표는 예방이며, 랜섬웨어와 관련하여 예방은 공격자 가 기업의 모든 부분에 대한 초기 액세스 를 거부 하는 것입니다. 포괄적인 전략에는 사용자 인증 공격을 방지하고 위협을 즉시 감지 및 제거하며 마지막으로 탐지할 수 없는 공격에 대해 공격자와 악성코드가 취한 모든 조치를 롤백하는 것이 포함됩니다.
이 모든 것은 엔드포인트와 해당 엔드포인트의 본질적인 보안 기능에서 시작됩니다. Lenovo의 ThinkShield는 SentinelOne과 함께 OS 이하 보안 기능과 공급망 보안을 통합하고 Secret Double Octopus는 Lenovo와 협력하여 랜섬웨어 보안에 대한 다계층 접근 방식을 도입하고 기업을 더 잘 보호합니다. SentinelOne의 선도적인 XDR 플랫폼, Singularity™, 최종 사용자 및 클라우드 워크로드 엔드포인트에서 랜섬웨어 전달을 중단하기 위해 실시간으로 판정하고 행동합니다. Double Octopus의 Passwordless Enterprise 플랫폼은 인증을 위해 암호에 대한 의존도와 사용자의 취약한 기억력을 제거함으로써 공격자가 무차별 대입 또는 도난된 자격 증명을 사용하여 네트워크에 발판을 마련하는 것을 불가능하게 합니다. 이 조합은 조직의 공격 표면 방어 전략을 다시 강화할 수 있는 매우 강력한 공동 솔루션을 제공합니다.