다음을 통해 공유

Microsoft 365의 랜섬웨어 보호

  • 아티클

Microsoft는 조직 및 자산에 대한 랜섬웨어 공격의 위험을 완화하는 데 사용하는 방어 및 제어 기능을 구축했습니다. 자산은 각 도메인에 고유한 위험 완화 집합이 있는 도메인별로 구성할 수 있습니다.

도메인 1: 테넌트 수준 컨트롤

첫 번째 도메인은 조직을 구성하는 사용자와 조직에서 소유하고 제어하는 인프라 및 서비스입니다. Microsoft 365의 다음 기능은 위험을 완화하고 이 도메인에 있는 자산의 성공적인 손상으로부터 복구하는 데 도움이 되도록 기본적으로 켜져 있거나 구성할 수 있습니다.

Exchange Online

  • 단일 항목 복구 및 사서함 보존을 사용하면 고객이 실수로 또는 악의적인 조기 삭제 시 사서함의 항목을 복구할 수 있습니다. 고객은 기본적으로 최대 30일 동안 구성할 수 있는 14일 이내에 삭제된 메일 메시지를 롤백할 수 있습니다.

  • Exchange Online 서비스 내에서 이러한 보존 정책의 추가 고객 구성은 다음을 허용합니다.

    • 적용할 구성 가능한 보존(1년/10년 이상)
    • 적용할 쓰기 보호에 대한 복사
    • 불변성을 달성할 수 있도록 보존 정책을 잠글 수 있는 기능

  • Exchange Online Protection은 들어오는 전자 메일과 첨부 파일을 시스템을 입력하고 나가는 동시에 실시간으로 검사합니다. 기본적으로 사용하도록 설정되며 필터링 사용자 지정을 사용할 수 있습니다. 랜섬웨어 또는 기타 알려진 맬웨어 또는 의심되는 맬웨어가 포함된 메시지가 삭제됩니다. 이 경우 알림을 받도록 관리자를 구성할 수 있습니다.

SharePoint 및 OneDrive Protection

SharePoint 및 OneDrive Protection에는 랜섬웨어 공격으로부터 보호하는 데 도움이 되는 기능이 내장되어 있습니다.

버전 관리: 버전 관리에서 기본적으로 최소 500개 버전의 파일을 유지하고 더 많은 파일을 유지하도록 구성할 수 있으므로 랜섬웨어가 파일을 편집하고 암호화하는 경우 이전 버전의 파일을 복구할 수 있습니다.

휴지통: 랜섬웨어가 새 암호화된 파일 복사본을 만들고 이전 파일을 삭제하는 경우 고객은 93일 동안 휴지통에서 복원할 수 있습니다.

보존 보존 라이브러리: 보존 설정을 적용하여 SharePoint 또는 OneDrive 사이트에 저장된 파일을 보존할 수 있습니다. 버전이 있는 문서에 보존 설정이 적용되면 버전이 보존 보존 라이브러리에 복사되고 별도의 항목으로 존재합니다. 사용자가 파일이 손상된 것으로 의심되는 경우 보존된 복사본을 검토하여 파일 변경 내용을 조사할 수 있습니다. 그런 다음 파일 복원을 사용하여 지난 30일 이내에 파일을 복구할 수 있습니다.

Teams

Teams 채팅은 Exchange Online 사용자 사서함 내에 저장되고 파일은 SharePoint 또는 OneDrive에 저장됩니다. Microsoft Teams 데이터는 이러한 서비스에서 사용할 수 있는 컨트롤 및 복구 메커니즘으로 보호됩니다.

도메인 2: 서비스 수준 컨트롤

두 번째 도메인은 Microsoft 조직을 구성하는 사용자와 비즈니스의 조직 기능을 실행하기 위해 Microsoft가 소유하고 제어하는 회사 인프라입니다.

회사 자산을 보호하기 위한 Microsoft의 접근 방식은 제로 트러스트(Zero Trust)로, 디지털 자산 전반에 걸쳐 방어와 함께 자체 제품 및 서비스를 사용하여 구현됩니다. 제로 트러스트의 원칙에 대한 자세한 내용은 제로 트러스트 아키텍처에서 확인할 수 있습니다.

Microsoft 365의 추가 기능은 도메인 1에서 사용할 수 있는 위험 완화를 확장하여 이 도메인의 자산을 추가로 보호합니다.

SharePoint 및 OneDrive Protection

버전 관리: 랜섬웨어가 파일을 편집으로 암호화한 경우 Microsoft에서 관리하는 버전 기록 기능을 사용하여 초기 파일 생성 날짜까지 파일을 복구할 수 있습니다.

휴지통: 랜섬웨어가 새 암호화된 파일 복사본을 만들고 이전 파일을 삭제한 경우 고객은 93일 이내에 휴지통에서 복원할 수 있습니다. 93일이 지난 후에도 Microsoft에서 데이터를 복구할 수 있는 14일의 기간이 있습니다. 이 창이 지나면 데이터가 영구적으로 삭제됩니다.

Teams

도메인 1에 설명된 Teams의 위험 완화는 도메인 2에도 적용됩니다.

도메인 3: 개발자 & 서비스 인프라

세 번째 도메인은 Microsoft 365 서비스, 서비스를 제공하는 코드 및 인프라, 데이터의 스토리지 및 처리를 개발하고 운영하는 사용자입니다.

Microsoft 365 플랫폼을 보호하고 이 도메인의 위험을 완화하는 Microsoft 투자는 다음 영역에 중점을 줍니다.

  • 서비스의 보안 태세에 대한 지속적인 평가 및 유효성 검사
  • 손상으로부터 서비스를 보호하는 도구 및 아키텍처 빌드
  • 공격이 발생할 경우 위협을 감지하고 대응하는 기능 빌드

보안 상태의 지속적인 평가 및 유효성 검사

  • Microsoft는 최소 권한 원칙을 사용하여 Microsoft 365 서비스를 개발하고 운영하는 사용자와 관련된 위험을 완화합니다. 즉, 리소스에 대한 액세스 및 권한은 필요한 작업을 수행하는 데 필요한 권한으로만 제한됩니다.
    • JIT(Just-In-Time), JEA(Just-Enough-Access) 모델은 Microsoft 엔지니어에게 임시 권한을 제공하는 데 사용됩니다.
    • 엔지니어는 상승된 권한을 획득하려면 특정 작업에 대한 요청을 제출해야 합니다.
    • 요청은 Lockbox를 통해 관리되며, Azure RBAC(역할 기반 액세스 제어)를 사용하여 엔지니어가 수행할 수 있는 JIT 권한 상승 요청 유형을 제한합니다.
  • 위의 사항 외에도 모든 Microsoft 응시자는 Microsoft에서 취업을 시작하기 전에 사전 심사됩니다. 미국에서 Microsoft 온라인 서비스를 유지 관리하는 직원은 온라인 서비스 시스템에 액세스하기 위한 필수 조건으로 Microsoft 클라우드 백그라운드 검사를 받아야 합니다.
  • 모든 Microsoft 직원은 비즈니스 행위 표준 교육과 함께 기본 보안 인식 교육을 완료해야 합니다.

서비스를 보호하는 도구 및 아키텍처

  • Microsoft의 SDL(보안 개발 수명 주기)은 애플리케이션 보안을 개선하고 취약성을 줄이기 위해 보안 소프트웨어를 개발하는 데 중점을 둡니다. 자세한 내용은 보안 및 보안 개발 및 운영 개요를 참조하세요.
  • Microsoft 365는 서비스 인프라의 여러 부분 간의 통신을 운영에 필요한 것으로만 제한합니다.
  • 네트워크 트래픽은 네트워크 공격을 감지, 방지 및 완화하는 데 도움이 되도록 경계 지점에서 추가 네트워크 방화벽을 사용하여 보호됩니다.
  • Microsoft 365 서비스는 고객이 명시적으로 요청하고 승인하지 않는 한 엔지니어가 고객 데이터에 액세스할 필요 없이 작동하도록 설계됩니다. 자세한 내용은 Microsoft에서 고객 데이터를 수집하고 처리하는 방법을 참조하세요.

검색 및 응답 기능

  • Microsoft 365는 Microsoft 365 서비스에 대한 위협을 감지하고 대응하기 위해 시스템의 지속적인 보안 모니터링에 참여합니다.
  • 중앙 집중식 로깅은 보안 인시던트일 수 있는 활동에 대한 로그 이벤트를 수집하고 분석합니다. 로그 데이터는 경고 시스템에 업로드되고 거의 실시간으로 경고를 생성할 때 분석됩니다.
  • 클라우드 기반 도구를 사용하면 검색된 위협에 신속하게 대응할 수 있습니다. 이러한 도구를 사용하면 자동으로 트리거된 작업을 사용하여 수정할 수 있습니다.
  • 자동 수정이 불가능한 경우 경고는 감지된 위협을 완화하기 위해 실시간으로 작동할 수 있는 도구 집합을 갖춘 적절한 통화 중인 엔지니어에게 전송됩니다.

랜섬웨어 공격으로부터 복구

Microsoft 365의 랜섬웨어 공격으로부터 복구하는 단계는 Microsoft 365의 랜섬웨어 공격으로부터 복구를 참조하세요.