랜섬웨어 공격 복구 계획 준비
랜섬웨어 공격에 앞서 수행해야 하는 한 가지 작업은 몸값을 지불하는 대안이 되도록 조직을 준비하는 것입니다.
조직을 제어하는 사이버 범죄 랜섬웨어 공격자는 여러 가지 방법으로 비용을 지불하도록 압력을 가할 수 있습니다. 요구는 주로 두 가지 범주에 초점을 맞춥니다.
액세스 권한을 회복하기 위해 몸값을 지불
공격자는 시스템 및 데이터에 대한 액세스 권한을 다시 제공하지 않을 것이라는 위협에 따라 지불을 요구합니다. 이 작업은 일반적으로 시스템 및 데이터를 암호화하고 암호 해독 키에 대한 지불을 요구하여 수행됩니다.
Important
몸값을 지불하는 것은 보이는 것만큼 간단하고 깨끗한 해결책이 아닙니다.
당신은 지불에 의해서만 동기를 부여하는 사이버 범죄자를 다루고 있기 때문에 (그리고 종종 다른 사람이 제공하는 도구 키트를 사용하는 상대적으로 아마추어 운영자), 몸값을 얼마나 잘 지불하는 것이 실제로 작동하는지에 대한 불확실성이 많이 있습니다. 시스템과 데이터의 암호를 100% 해독하는 키를 제공한다거나, 심지어 키를 제공한다는 데 관한 법적 보장이 없습니다. 이러한 시스템의 암호를 해독하는 프로세스는 자체 개발한 공격 도구를 사용하는데, 이는 종종 서툴고 수동적인 프로세스입니다.
공개를 피하기 위해 지불
공격자는 다크웹(다른 범죄자)이나 일반 대중에게 민감하거나 당혹스러운 데이터를 공개하지 않는 대가로 돈을 요구합니다.
강제로 지불(공격자의 수익성 있는 상황)을 방지하기 위해 수행할 수 있는 가장 즉각적이고 효과적인 조치는 조직에서 변경할 수 없는 스토리지에서 전체 엔터프라이즈를 복원할 수 있도록 하는 것이며, 공격자도 수정할 수도 없습니다.
가장 민감한 자산을 식별하고 더 높은 수준의 보증으로 보호하는 것은 매우 중요하기도 하지만, 실행하는 데 시간이 오래 걸리고 어려운 프로세스입니다. 1단계나 2단계에서는 다른 영역을 보류하지 않길 바라지만, 비즈니스, IT 및 보안 이해 관계자들이 모여 다음과 같은 질문에 대답해보면서 프로세스를 시작하는 것이 좋습니다.
- 손상될 경우 가장 큰 피해를 주는 비즈니스 자산은 무엇인가요? 예를 들어 공격자의 통제를 받을 때 비즈니스 리더가 강탈 요구에 대해 돈을 지불할 의향이 있는 자산은 무엇입니까?
- 이러한 비즈니스 자산을 IT 자산(예: 파일, 애플리케이션, 데이터베이스, 서버 및 제어 시스템)으로 변환하려면 어떻게 해야 합니까?
- 일반 IT 환경에 액세스 권한이 있는 공격자가 액세스할 수 없도록 이러한 자산을 보호하거나 격리할 수 있는 방법은 무엇인가요?
백업 보호
중요한 시스템과 해당 데이터를 백업하고 백업을 공격자가 고의적으로 삭제하거나 암호화하지 못하도록 보호해야 합니다.
백업에 대한 공격은 비용 지불 없이 대응할 수 있는 조직의 능력을 약화시키는 데 초점이 맞춰져 있으며, 강탈에 대한 몸값 지불을 압박하기 위해 복구에 필요한 백업 및 주요 문서가 자주 표적이 됩니다.
대부분의 조직에서는 이러한 수준의 의도적인 표적화로부터 백업 및 복원 절차를 보호하지 못합니다.
참고 항목
또한 이러한 준비는 WannaCry 및 (Not)Petya와 같은 자연 재해 및 빠른 공격에 대한 복원력을 향상시킵니다.
랜섬웨어로부터 보호하기 위한 백업 및 복원 계획은 공격 전에 중요한 비즈니스 시스템을 보호하기 위해 그리고 공격 중에 비즈니스 운영을 신속하게 복구할 수 있도록 해야 할 일을 다룹니다.
프로그램 및 프로젝트 구성원 책임
다음 표에서는 스폰서쉽/프로그램 관리/프로젝트 관리 계층과 관련하여 랜섬웨어로부터 데이터를 전체적으로 보호하고 결과를 도출하는 방법을 설명합니다.
| Lead | 구현자 | 책임성 |
|---|---|---|
| 중앙 IT 운영 또는 CIO | 경영진 스폰서쉽 | |
| 중앙 IT 인프라의 프로그램 리더 | 결과 및 팀 간 협업 추진 | |
| 중앙 IT 인프라/백업 | 인프라 백업 사용 | |
| 중앙 IT 생산성/최종 사용자 | OneDrive Backup 사용 | |
| 보안 아키텍처 | 구성 및 표준에 대한 조언 | |
| 보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
| 보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
구현 검사 목록
이러한 모범 사례를 적용하여 백업 인프라를 보호합니다.
| 완료 | 작업 | 설명 |
|---|---|---|
| 모든 중요 데이터를 정기적으로 자동 백업합니다. | 마지막 백업까지 데이터를 복구할 수 있습니다. | |
| BC/DR(비즈니스 연속성/재해 복구) 계획을 정기적으로 연습합니다. | 랜섬웨어 또는 강탈 공격을 자연 재해와 동일한 중요도로 다루어 비즈니스 운영의 신속한 복구를 보장합니다. | |
| 고의적인 삭제 및 암호화로부터 백업을 보호합니다. - 강력한 보호 – 온라인 백업(예: Azure Backup)을 수정하기 전에 대역 외 단계(MFA 또는 PIN)가 필요합니다. - 가장 강력한 보호 – 온라인의 변경이 불가능한 스토리지(예: Azure Blob) 및/또는 완전한 오프라인 또는 오프사이트에 백업을 저장합니다. |
공격자가 액세스할 수 있는 백업은 비즈니스 복구에 사용할 수 없는 것으로 렌더링될 수 있습니다. 백업에 액세스하는 더 강력한 보안을 구현하고 백업에 저장된 데이터는 변경할 수 없습니다. | |
| 복구 절차 문서, CMDB(구성 관리 데이터베이스) 및 네트워크 다이어그램과 같이 복구에 필요한 지원 문서를 보호합니다. | 복구 능력에 영향을 미치기 때문에 공격자는 이러한 리소스를 의도적으로 표적화합니다. 랜섬웨어 공격에서 살아남을 수 있는지 확인합니다. |
구현 결과 및 타임라인
30일 이내에 MTTR(평균 복구 시간)이 시뮬레이션 및 실제 운영 중에 측정된 BC/DR 목표를 충족하도록 합니다.
데이터 보호
랜섬웨어 공격으로부터 신속하고 안정적인 복구를 보장하고 공격자의 일부 기술을 차단하기 위해서는 데이터 보호를 구현해야 합니다.
랜섬웨어 강탈 및 파괴 공격은 데이터와 시스템에 대한 합법적인 액세스가 모두 손실된 경우에만 작동합니다. 몸값 지불 없이 운영을 재개할 수 있는 능력을 공격자가 제거할 수 없도록 한다면 비즈니스를 보호할 수 있으며 조직에 대한 공격으로 얻어지는 금전적 인센티브를 약화시킬 수 있습니다.
프로그램 및 프로젝트 구성원 책임
다음 표에서는 스폰서쉽/프로그램 관리/프로젝트 관리 계층과 관련하여 랜섬웨어로부터 조직 데이터를 전체적으로 보호하고 결과를 도출하는 방법을 설명합니다.
| Lead | 구현자 | 책임성 |
|---|---|---|
| 중앙 IT 운영 또는 CIO | 경영진 스폰서쉽 | |
| 데이터 보안의 프로그램 리더 | 결과 및 팀 간 협업 추진 | |
| 중앙 IT 생산성/최종 사용자 | OneDrive 및 보호된 폴더에 대한 Microsoft 365 테넌트 변경 내용 구현 | |
| 중앙 IT 인프라/백업 | 인프라 백업 사용 | |
| 비즈니스/애플리케이션 | 중요 비즈니스 자산 식별 | |
| 보안 아키텍처 | 구성 및 표준에 대한 조언 | |
| 보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
| 보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
| 사용자 교육 팀 | 사용자에 대한 지침이 정책 업데이트를 반영하는지 확인 | |
구현 검사 목록
이러한 모범 사례를 적용하여 조직 데이터를 보호합니다.
| 완료 | 작업 | 설명 |
|---|---|---|
| 조직을 클라우드로 마이그레이션합니다. - 버전 관리 및 휴지통 기능을 활용하려면 사용자 데이터를 OneDrive/SharePoint 같은 클라우드 솔루션으로 이동합니다. - 지연 및 복구 비용을 줄이기 위해 직접 파일을 복구하는 방법을 사용자에게 교육합니다. |
Microsoft Cloud의 사용자 데이터는 기본 제공 보안 및 데이터 관리 기능을 통해 보호할 수 있습니다. | |
| 보호된 폴더를 지정합니다. | 권한 없는 애플리케이션이 이러한 폴더의 데이터를 수정하기가 더 어려워집니다. | |
| 사용 권한을 검토합니다. - 파일 공유, SharePoint 및 기타 솔루션에 대한 광범위한 쓰기/삭제 권한을 검색합니다. 광범위란 중요 비즈니스용 데이터에 대한 쓰기/삭제 권한이 있는 여러 사용자로 정의됩니다. - 비즈니스 협업 요구 사항을 충족하는 한편, 중요 데이터 위치에 대한 광범위한 사용 권한을 줄입니다. - 광범위한 권한이 다시 나타나지 않도록 중요 데이터 위치를 감사 및 모니터링을 수행합니다. |
광범위한 액세스에 의존하는 랜섬웨어 활동의 위험을 줄입니다. | |
다음 단계
2단계를 계속 진행하여 권한 있는 역할을 보호하여 공격 피해 범위를 제한합니다.
추가 랜섬웨어 리소스
Microsoft의 주요 정보:
- 랜섬웨어의 위협이 증가하고 있는 Microsoft On the Issues 블로그 게시물 2021년 7월 20일
- 사람이 운영하는 랜섬웨어
- 랜섬웨어 및 강탈으로부터 신속하게 보호
- 2021년 Microsoft 디지털 방어 보고서(10-19페이지 참조)
- 랜섬웨어: Microsoft Defender 포털의 만연하고 지속적인 위협 위협 분석 보고서
- MICROSOFT의 DART(검색 및 대응 팀) 랜섬웨어 접근 방식 및 사례 연구
Microsoft 365:
- Microsoft 365 테넌트에 대한 랜섬웨어 보호 배포
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어 공격으로부터 복구
- 맬웨어 및 랜섬웨어 보호
- 랜섬웨어로부터 Windows 10 PC 보호
- SharePoint Online에서 랜섬웨어 처리
- Microsoft Defender 포털의 랜섬웨어 에 대한 위협 분석 보고서
Microsoft Defender XDR:
Microsoft Azure:
- 랜섬웨어 공격에 대한 Azure 방어
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
- Microsoft Azure Backup으로 랜섬웨어로부터 보호하기(26분 동영상)
- 시스템 ID 손상으로부터 복구
- Microsoft Sentinel의 고급 다단계 공격 검색
- Microsoft Sentinel에서 랜섬웨어에 대한 Fusion 검색
클라우드용 Microsoft Defender 앱:
Microsoft 보안 팀 블로그 게시물:
인간이 운영하는 랜섬웨어 퇴치 가이드: 1부(2021년 9월)
Microsoft의 DART(검색 및 대응 팀)가 랜섬웨어 인시던트 조사를 수행하는 방법에 대한 주요 단계입니다.
인간이 운영하는 랜섬웨어 퇴치 가이드: 2부(2021년 9월)
권장 사항 및 모범 사례.
사이버 보안 위험을 이해하여 복원력 강화: 4부—현재 위협 탐색(2021년 5월)
랜섬웨어 섹션을 참조하세요.
사람이 운영하는 랜섬웨어 공격: 예방 가능한 재해(2020년 3월)
실제 공격의 공격 체인 분석을 포함합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기