랜섬웨어 공격 방어
이 단계에서는 진입 지점에서 위험을 점진적으로 제거하여 위협 행위 자가 온-프레미스 또는 클라우드 시스템에 액세스하기 어렵게 만듭니다.
이러한 변경 내용 중 상당수는 친숙하고 구현하기 쉽지만, 전략의 이 부분에 대한 작업이 다른 중요한 부분에서 진행 속도를 늦추지 않는 것이 매우 중요합니다!
다음은 세 부분으로 구성된 랜섬웨어 방지 계획을 검토하기 위한 링크입니다.
원격 액세스
원격 액세스 연결을 통해 조직의 인트라넷에 액세스하는 것은 랜섬웨어 위협 행위자를 위한 공격 벡터입니다.
온-프레미스 사용자 계정이 손상되면 위협 행위자가 인트라넷을 활용하여 인텔리전스를 수집하고 권한을 상승시키고 랜섬웨어를 설치할 수 있습니다. 2021년 Colonial Pipeline 사이버 공격이 그 예입니다.
원격 액세스에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 원격 액세스 솔루션 보호를 전반적으로 설명합니다.
Lead | 구현자 | 책임성 |
---|---|---|
CISO 또는 CIO | 경영진 스폰서쉽 | |
중앙 IT 인프라/네트워크 팀에서 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
IT 및 보안 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
중앙 IT ID 팀 | Microsoft Entra ID 및 조건부 액세스 정책 구성 | |
중앙 IT 운영 | 환경에 변경 사항 구현 | |
워크로드 소유자 | 앱 게시에 대한 RBAC 권한 지원 | |
보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
사용자 교육 팀 | 워크플로 변경 사항에 대한 참고 자료 업데이트 및 교육과 변경 관리 수행 |
원격 액세스를 위한 구현 검사 목록
이러한 모범 사례를 적용하여 랜섬웨어 위협 행위자로부터 원격 액세스 인프라를 보호합니다.
완료 | 작업 | 설명 |
---|---|---|
소프트웨어 및 어플라이언스 업데이트를 유지 관리합니다. 제조업체 보호(보안 업데이트, 지원 상태) 누락이나 무시를 방지합니다. | 위협 행위자가 공격 벡터로 아직 패치되지 않은 잘 알려진 취약성을 사용합니다. | |
조건부 액세스를 사용하여 제로 트러스트 사용자 및 디바이스 유효성 검사를 적용하여 기존 원격 액세스에 대한 Microsoft Entra ID를 구성합니다. | 제로 트러스트는 조직에 대한 액세스 보호를 여러 수준으로 제공합니다. | |
기존 타사 VPN 솔루션(Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, ZPA(Zscaler Private Access) 등)에 대한 보안을 구성합니다. | 원격 액세스 솔루션에 기본 제공되는 보안을 활용합니다. | |
원격 액세스를 제공하려면 Azure P2S(Point-to-Site) VPN을 배포합니다. | Microsoft Entra ID 및 기존 Azure 구독과의 통합을 활용합니다. | |
Microsoft Entra 애플리케이션 프록시를 사용하여 온-프레미스 웹앱을 게시합니다. | Microsoft Entra 애플리케이션 프록시를 사용하여 게시된 앱에는 원격 액세스 연결이 필요하지 않습니다. | |
Azure Bastion을 사용하여 Azure 리소스에 대한 액세스를 보호합니다. | SSL을 통해 Azure 가상 머신에 안전하고 원활하게 연결합니다. | |
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
이메일 및 협업
전자 메일 및 공동 작업 솔루션에 대한 모범 사례를 구현하여 위협 행위자가 이를 악용하는 것을 더 어렵게 만드는 동시에 작업자가 외부 콘텐츠에 쉽고 안전하게 액세스할 수 있도록 합니다.
위협 행위자는 이메일 및 파일 공유와 같은 권한 있는 공동 작업 도구 내에 위장된 악의적인 콘텐츠를 도입하고 사용자가 콘텐츠를 실행하도록 유도하여 환경에 자주 진입합니다. Microsoft는 완화가 강화되어 이러한 공격 벡터로부터 보호가 크게 증가하도록 투자하고 있습니다.
전자 메일 및 공동 작업에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 이메일 및 협업 솔루션 보호를 전반적으로 설명합니다.
Lead | 구현자 | 책임성 |
---|---|---|
CISO, CIO 또는 ID 디렉터 | 경영진 스폰서쉽 | |
보안 아키텍처 팀의 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
IT 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
클라우드 생산성 또는 최종 사용자 팀 | Office 365용 Defender, Azure Site Recovery 및 AMSI 사용 | |
보안 아키텍처 / 인프라 + 엔드포인트 | 구성 지원 | |
사용자 교육 팀 | 워크플로 변경 사항에 대한 참고 자료 업데이트 | |
보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
보안 규정 준수 관리 | 규정을 준수하도록 모니터링 |
전자 메일 및 공동 작업을 위한 구현 검사 목록
랜섬웨어 위협 행위자로부터 이메일 및 공동 작업 솔루션을 보호하기 위해 이러한 모범 사례를 적용합니다.
완료 | 작업 | 설명 |
---|---|---|
AMSI for Office VBA를 사용합니다. | Defender for Endpoint와 같은 엔드포인트 도구를 사용하여 Office 매크로 공격을 검색합니다. | |
Defender for Office 365나 유사한 도구를 사용하여 고급 이메일 보안을 구현합니다. | 전자 메일은 위협 행위자의 일반적인 진입점입니다. | |
다음을 비롯한 일반적인 공격 기술을 차단하는 공격 표면 감소(Azure Site Recovery) 규칙을 배포합니다. - 자격 증명 도난, 랜섬웨어 활동, PsExec 및 WMI의 의심스러운 사용과 같은 엔드포인트 남용 - Office 애플리케이션에서 시작된 고급 매크로 작업, 실행 파일 콘텐츠, 프로세스 만들기 및 프로세스 삽입과 같은 Office 문서 작업 무기화 참고: 먼저 이러한 규칙을 감사 모드에 배포하고 부정적인 영향을 평가한 후 차단 모드에 배포하세요. |
Azure Site Recovery는 일반적인 공격 방법 완화를 대상으로 하는 추가 보호 계층을 제공합니다. | |
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
엔드포인트
관련 보안 기능을 구현하고 엔드포인트(디바이스)와 애플리케이션의 소프트웨어 유지 관리 모범 사례를 엄격히 준수하여 애플리케이션과 서버/클라이언트 운영 체제가 인터넷 트래픽과 콘텐츠에 직접 노출되는 우선 순위를 지정합니다.
인터넷에 노출된 엔드포인트는 위협 행위자가 조직의 자산에 액세스할 수 있도록 하는 일반적인 항목 벡터입니다. 예방 컨트롤을 사용하여 일반적인 OS 및 애플리케이션 취약성 차단의 우선 순위를 지정하여 다음 단계를 수행하지 못하게 합니다.
엔드포인트에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 엔드포인트 보호를 전반적으로 설명합니다.
Lead | 구현자 | 책임성 |
---|---|---|
가동 중지 시간과 공격 손상 모두의 비즈니스 영향에 대한 책임이 있는 비즈니스 리더십 | 경영진 스폰서쉽(유지 관리) | |
중앙 IT 운영 또는 CIO | 경영진 스폰서쉽(기타) | |
중앙 IT 인프라 팀의 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
IT 및 보안 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
중앙 IT 운영 | 환경에 변경 사항 구현 | |
클라우드 생산성 또는 최종 사용자 팀 | 공격 표면 감소 사용 | |
워크로드/앱 소유자 | 변경 사항에 대한 유지 관리 기간 식별 | |
보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
보안 규정 준수 관리 | 규정을 준수하도록 모니터링 |
엔드포인트에 대한 구현 검사 목록
이러한 모범 사례를 모든 Windows, Linux, macOS, Android, iOS 및 기타 엔드포인트에 적용합니다.
완료 | 작업 | 설명 |
---|---|---|
공격 표면 감소 규칙, 변조 방지를 사용하여 알려진 위협을 차단하고 즉각적 차단 | 이러한 기본 제공 보안 기능을 사용하지 않으면 공격자가 조직에 침입하는 원인이 됩니다. | |
보안 기준을 적용하여 인터넷에 연결된 Windows 서버와 클라이언트, Office 애플리케이션을 강화합니다. | 최소한의 보안 수준으로 조직을 보호하고 해당 위치에서 빌드합니다. | |
다음과 같이 소프트웨어를 유지 관리합니다. - 업데이트됨: 운영 체제, 브라우저 및 이메일 클라이언트에 대한 중요한 보안 업데이트를 신속하게 배포 - 지원: 공급업체에서 지원하는 버전에 대한 운영 체제와 소프트웨어 업그레이드. |
공격자는 제조업체 업데이트와 업그레이드를 누락하거나 무시하게 합니다. | |
지원되지 않는 운영 체제와 레거시 프로토콜 등 안전하지 않은 시스템과 프로토콜을 격리하거나 사용 중지합니다. | 공격자는 레거시 디바이스, 시스템 및 프로토콜의 알려진 취약성을 조직 진입점으로 사용합니다. | |
호스트 기반 방화벽과 네트워크 방어로 예기치 않은 트래픽을 차단합니다. | 일부 맬웨어 공격은 호스트에 대한 원치 않는 인바운드 트래픽을 공격을 위한 연결을 만드는 방법으로 사용합니다. | |
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
계정
오래된 스켈레톤 키를 사용하여 집을 현재의 절도범으로부터 보호할 수 없는 것처럼 암호는 요즘에 나타나는 일반적인 공격으로부터 계정을 보호할 수 없습니다. MFA(다단계 인증)는 한때 부담스러운 추가 단계였지만 암호 없는 인증은 사용자가 암호를 기억하거나 입력할 필요가 없는 생체 인식 접근 방식을 사용하여 로그인 환경을 개선합니다. 또한 제로 트러스트 인프라는 신뢰할 수 있는 디바이스에 대한 정보를 저장하므로, 짜증나는 대역 외 MFA 작업을 요구하는 메시지가 감소합니다.
권한이 높은 관리자 계정부터 시작하여 암호 없는 방식이나 MFA 사용 등 이러한 계정 보안 모범 사례를 엄격하게 따릅니다.
계정에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 계정 보호를 전반적으로 설명합니다.
Lead | 구현자 | 책임성 |
---|---|---|
CISO, CIO 또는 ID 디렉터 | 경영진 스폰서쉽 | |
ID 및 키 관리 또는 보안 아키텍처 팀의 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
IT 및 보안 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
ID 및 키 관리 또는 중앙 IT 운영 | 구성 변경 사항 구현 | |
보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
사용자 교육 팀 | 암호 또는 로그인 참고 자료 업데이트 및 교육 및 변경 관리 수행 |
계정에 대한 구현 검사 목록
이러한 모범 사례를 적용하여 랜섬웨어 공격자로부터 계정을 보호합니다.
완료 | 작업 | 설명 |
---|---|---|
모든 사용자에게 강력한 MFA 또는 암호 없는 로그인을 적용합니다. 다음 중 하나 이상을 사용하여 관리자 및 우선 순위 계정으로 시작합니다. - Windows Hello 또는 Microsoft Authenticator 앱을 사용하는 암호 없는 인증 - 다단계 인증. - 타사 MFA 솔루션. |
공격자가 사용자 계정 암호를 확인하여 자격 증명 손상을 수행하기 어렵게 만듭니다. | |
암호 보안 강화: - Microsoft Entra 계정의 경우 Microsoft Entra Password Protection을 사용하여 알려진 약한 암호 및 조직과 관련된 추가 약한 용어를 검색하고 차단합니다. - AD DS(온-프레미스 Active Directory Domain Services) 계정의 경우 Microsoft Entra 암호 보호를 AD DS 계정으로 확장합니다. |
공격자가 일반적인 암호나 조직 이름에 따른 암호를 확인할 수 없는지 확인합니다. | |
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
구현 결과 및 타임라인
30일 이내에 다음 결과를 얻도록 해야 합니다.
직원의 100%가 MFA를 적극적으로 사용하고 있습니다.
더 높은 암호 보안의 100% 배포
추가 랜섬웨어 리소스
Microsoft의 주요 정보:
문스톤 진눈깨비, 새로운 트릭 가방으로 새로운 북한 위협 배우로 등장, Microsoft 블로그, 2024년 5월
2023년 Microsoft 디지털 방어 보고서(17-26페이지 참조)
Microsoft 365:
- Microsoft 365 테넌트에 대한 랜섬웨어 보호 배포
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어 공격으로부터 복구
- 맬웨어 및 랜섬웨어 보호
- 랜섬웨어로부터 Windows 10 PC 보호
- SharePoint Online에서 랜섬웨어 처리
- Microsoft Defender 포털의 랜섬웨어 에 대한 위협 분석 보고서
Microsoft Defender XDR:
Microsoft Azure:
- 랜섬웨어 공격에 대한 Azure 방어
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
- Microsoft Azure Backup으로 랜섬웨어로부터 보호하기(26분 동영상)
- 시스템 ID 손상으로부터 복구
- Microsoft Sentinel의 고급 다단계 공격 검색
- Microsoft Sentinel에서 랜섬웨어에 대한 Fusion 검색
클라우드용 Microsoft Defender 앱:
Microsoft 보안 팀 블로그 게시물:
인간이 운영하는 랜섬웨어 퇴치 가이드: 1부(2021년 9월)
Microsoft의 DART(검색 및 대응 팀)가 랜섬웨어 인시던트 조사를 수행하는 방법에 대한 주요 단계입니다.
인간이 운영하는 랜섬웨어 퇴치 가이드: 2부(2021년 9월)
권장 사항 및 모범 사례.
사이버 보안 위험을 이해하여 복원력 강화: 4부—현재 위협 탐색(2021년 5월)
랜섬웨어 섹션을 참조하세요.
사람이 운영하는 랜섬웨어 공격: 예방 가능한 재해(2020년 3월)
실제 공격의 공격 체인 분석을 포함합니다.