랜섬웨어 공격으로부터 조직을 신속하게 보호

랜섬웨어는 사이버 범죄자가 크고 작은 조직을 갈취하는 데 사용하는 사이버 공격 유형입니다.

랜섬웨어 공격 및 피해 최소화를 보호하는 방법을 이해하는 것은 회사를 보호하는 데 중요한 부분입니다. 이 문서에서는 랜섬웨어 보호를 신속하게 구성하는 방법에 대한 실용적인 지침을 제공합니다.

지침은 가장 긴급한 조치부터 시작하여 단계로 구성됩니다.

이 페이지를 단계의 시작점으로 책갈피를 지정합니다.

Important

랜섬웨어 방지 시리즈를 읽고 조직을 사이버 공격하기 어렵게 만듭니다.

• 복구 계획 수립
• 피해를 제한하는 계획
• 에 들어가기 어렵게 만들기

참고 항목

랜섬웨어란? 여기에서 랜섬웨어 정의를 참조하세요.

이 문서에 대한 중요한 정보

참고 항목

이러한 단계의 순서는 위험을 최대한 빨리 줄일 수 있도록 설계되었으며, 파괴적인 공격을 방지하거나 완화하기 위해 정상적인 보안 및 IT 우선 순위를 재정의하는 매우 긴급한 가정을 기반으로 합니다.

이 랜섬웨어 방지 지침은 표시된 순서대로 따라야 하는 단계로 구성됩니다. 이 지침을 상황에 가장 잘 맞게 조정하려면 다음을 수행합니다.

1. 권장 우선 순위를 고수합니다.

   먼저, 다음 및 나중에 수행할 작업에 대한 시작 계획으로 단계를 사용하므로 가장 영향력 있는 요소를 먼저 가져옵니다. 이러한 권장 사항은 위반을 가정하는 제로 트러스트 원칙을 사용하여 우선 순위가 지정됩니다. 이렇게 하면 공격자가 하나 이상의 방법을 통해 환경에 성공적으로 액세스할 수 있다고 가정하여 비즈니스 위험을 최소화하는 데 집중해야 합니다.

2. 사전 예방적이고 유연하게(중요한 작업을 건너뛰지 않음)

   구현 검사 목록을 검사하여 세 단계의 모든 섹션을 검사하여 이전에 신속하게 완료할 수 있는 영역과 작업이 있는지 확인합니다. 즉, 사용되지 않았지만 빠르고 쉽게 구성할 수 있는 클라우드 서비스에 대한 액세스 권한이 이미 있으므로 더 빠르게 수행할 수 있는 작업입니다. 전체 계획을 살펴보면 이러한 이후 영역과 태스크가 백업 및 권한 있는 액세스와 같은 매우 중요한 영역의 완료 를 지연하지 않도록 주의하세요.

3. 일부 항목을 병렬로 수행

   한 번에 모든 작업을 수행하려는 것은 어려울 수 있지만 일부 항목은 자연스럽게 병렬로 수행될 수 있습니다. 다른 팀의 직원은 작업(예: 백업 팀, 엔드포인트 팀, ID 팀)을 동시에 작업하는 동시에 우선 순위에 따라 단계를 완료할 수 있습니다.

구현 검사 목록의 항목은 기술 종속성 순서가 아니라 권장되는 우선 순위 순서입니다.

검사 목록을 사용하여 필요에 따라 조직에서 작동하는 방식으로 기존 구성을 확인하고 수정합니다. 예를 들어 가장 중요한 백업 요소에서 일부 시스템을 백업하지만 오프라인/변경할 수 없거나 전체 엔터프라이즈 복원 절차를 테스트하지 않거나 중요한 비즈니스 시스템 또는 AD DS(Active Directory 도메인 Services)와 같은 중요한 IT 시스템의 백업이 없을 수 있습니다기본 컨트롤러.

참고 항목

이 프로세스에 대한 추가 요약은 랜섬웨어를 방지하고 복구하는 3단계(2021년 9월) Microsoft 보안 블로그 게시물을 참조하세요.

지금 랜섬웨어를 방지하도록 시스템 설정

수행하는 단계는 다음과 같습니다.

1단계. 랜섬웨어 복구 계획 준비

이 단계는 다음을 수행하여 랜섬웨어 공격자로부터 금전적 인센티브를 최소화하도록 설계되었습니다.

• 시스템 액세스 및 중단, 주요 조직 데이터의 암호화 또는 손상을 훨씬 더 어렵게 만듭니다.
• 조직이 몸값 지불 없이 공격으로부터 더 쉽게 복구하도록 만듭니다.

참고

엔터프라이즈 시스템의 일부 또는 전체를 복원하는 것은 어려운 일이지만, 공격자가 제공하거나 제공하지 않을 수도 있는 복구 키를 얻기 위해 공격자에게 비용을 지불한 다음, 공격자가 작성한 도구를 사용하여 시스템과 데이터를 복구하는 방법도 있습니다.

2단계. 랜섬웨어 손상 범위 제한

공격자가 권한 있는 액세스 역할을 통해 여러 중요 비즈니스용 시스템에 액세스하는 것을 훨씬 더 어렵게 만듭니다. 공격자가 권한 있는 액세스를 얻을 수 있는 능력을 제한하면 조직에 대한 공격으로 인해 수익을 얻는 것이 훨씬 더 어려워지게 되어, 포기하고 다른 곳으로 이동하게 될 가능성이 높아집니다.

3단계 사이버 범죄자가 들어가기 어렵게 만들기

이 마지막 작업 세트는 진입을 위한 마찰을 일으키는 데 중요하지만 더 큰 보안 여정의 일환으로 완료되는 데 시간이 걸립니다. 이 단계의 목표는 공격자가 다양한 공통 진입점에서 온-프레미스 또는 클라우드 인프라에 액세스하려고 할 때 훨씬 더 어렵게 만드는 것입니다. 이러한 작업은 많기 때문에 현재 리소스를 사용하여 작업을 얼마나 빨리 수행할 수 있는지에 따라 작업의 우선 순위를 지정하는 것이 중요합니다.

이러한 작업 중 상당수는 익숙하고 빠르게 수행할 수 있지만, 3단계의 작업으로 인해 1단계와 2단계에서 진행률이 느려지지 않아야 하는 것이 매우 중요합니다.

랜섬웨어 보호 한눈에 보기

또한 랜섬웨어 포스터에서 조직을 보호하여 랜섬웨어 공격자에 대한 보호 수준으로 단계 및 해당 구현 검사 목록에 대한 개요를 볼 수 있습니다.

다음 단계

1단계부터 시작하여 몸값을 지불하지 않고도 공격으로부터 복구할 조직을 준비합니다.

추가 랜섬웨어 리소스

Microsoft의 주요 정보:

• 랜섬웨어의 위협이 증가하고 있는 Microsoft On the Issues 블로그 게시물 2021년 7월 20일
• 사람이 운영하는 랜섬웨어
• 2021년 Microsoft 디지털 방어 보고서(10-19페이지 참조)
• 랜섬웨어: Microsoft Defender 포털의 만연하고 지속적인 위협 위협 분석 보고서
• MICROSOFT의 DART(검색 및 대응 팀) 랜섬웨어 접근 방식 및 사례 연구

Microsoft 365:

• Microsoft 365 테넌트에 대한 랜섬웨어 보호 배포
• Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
• 랜섬웨어 공격으로부터 복구
• 맬웨어 및 랜섬웨어 보호
• 랜섬웨어로부터 Windows 10 PC 보호
• SharePoint Online에서 랜섬웨어 처리
• Microsoft Defender 포털의 랜섬웨어 에 대한 위협 분석 보고서

Microsoft Defender XDR:

• 고급 헌팅으로 랜섬웨어 찾기

Microsoft Azure:

• 랜섬웨어 공격에 대한 Azure 방어
• Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
• 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
• Microsoft Azure Backup으로 랜섬웨어로부터 보호하기(26분 동영상)
• 시스템 ID 손상으로부터 복구
• Microsoft Sentinel의 고급 다단계 공격 검색
• Microsoft Sentinel에서 랜섬웨어에 대한 Fusion 검색

클라우드용 Microsoft Defender 앱:

• 클라우드용 Defender 앱에서 변칙 검색 정책 만들기

Microsoft 보안 팀 블로그 게시물:

• 랜섬웨어를 방지하고 복구하는 3단계(2021년 9월)

• 인간이 운영하는 랜섬웨어 퇴치 가이드: 1부(2021년 9월)

  Microsoft의 DART(검색 및 대응 팀)가 랜섬웨어 인시던트 조사를 수행하는 방법에 대한 주요 단계입니다.

• 인간이 운영하는 랜섬웨어 퇴치 가이드: 2부(2021년 9월)

  권장 사항 및 모범 사례.

• 사이버 보안 위험을 이해하여 복원력 강화: 4부—현재 위협 탐색(2021년 5월)

  랜섬웨어 섹션을 참조하세요.

• 사람이 운영하는 랜섬웨어 공격: 예방 가능한 재해(2020년 3월)

  실제 공격의 공격 체인 분석을 포함합니다.

• 랜섬웨어 응답 - 지불 여부? (2019년 12월)

• Norsk Hydro, 랜섬웨어 공격에 투명하게 대응(2019년 12월)