랜섬웨어 공격이 조직에 들어오기 어렵게 만들기
이 단계에서는 진입 지점에서 위험을 점진적으로 제거하여 공격자가 온-프레미스 또는 클라우드 시스템에 들어가기 어렵게 만듭니다.
이러한 변경 사항 중 상당수는 익숙하고 쉽게 수행할 수 있지만, 전략의 이 부분에 대한 작업이 다른 쪽에서 중요한 부분으로 진행 속도를 늦추지 않는 것이 매우 중요합니다!
다음은 세 부분으로 구성된 사이버 보안 계획을 검토하기 위한 링크입니다.
원격 액세스
원격 액세스 연결을 통해 조직의 인트라넷에 액세스하는 것은 랜섬웨어 공격자를 위한 공격 벡터입니다.
온-프레미스 사용자 계정이 손상되면 공격자는 자유롭게 인트라넷에서 로밍하여 인텔리전스를 수집하고 권한을 상승하며 랜섬웨어를 설치합니다. 2021년 Colonial Pipeline 사이버 공격이 그 예입니다.
원격 액세스에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 원격 액세스 솔루션 보호를 전반적으로 설명합니다.
| Lead | 구현자 | 책임성 |
|---|---|---|
| CISO 또는 CIO | 경영진 스폰서쉽 | |
| 중앙 IT 인프라/네트워크 팀에서 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
| IT 및 보안 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
| 중앙 IT ID 팀 | Microsoft Entra ID 및 조건부 액세스 정책 구성 | |
| 중앙 IT 운영 | 환경에 변경 사항 구현 | |
| 워크로드 소유자 | 앱 게시에 대한 RBAC 권한 지원 | |
| 보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
| 보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
| 사용자 교육 팀 | 워크플로 변경 사항에 대한 참고 자료 업데이트 및 교육과 변경 관리 수행 |
원격 액세스를 위한 구현 검사 목록
이러한 모범 사례를 적용하여 랜섬웨어 공격으로부터 원격 액세스 인프라를 보호합니다.
| 완료 | 작업 | 설명 |
|---|---|---|
| 소프트웨어 및 어플라이언스 업데이트를 유지 관리합니다. 제조업체 보호(보안 업데이트, 지원 상태) 누락이나 무시를 방지합니다. | 공격자는 아직 공격 벡터로 패치되지 않은 잘 알려진 취약성을 사용합니다. | |
| 조건부 액세스를 사용하여 제로 트러스트 사용자 및 디바이스 유효성 검사를 적용하여 기존 원격 액세스에 대한 Microsoft Entra ID를 구성합니다. | 제로 트러스트는 조직에 대한 액세스 보호를 여러 수준으로 제공합니다. | |
| 기존 타사 VPN 솔루션(Cisco Any커넥트, Palo Alto Networks GlobalProtect 및 Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, ZPA(Zscaler Private Access) 등에 대한 보안을 구성합니다. | 원격 액세스 솔루션에 기본 제공되는 보안을 활용합니다. | |
| 원격 액세스를 제공하려면 Azure P2S(Point-to-Site) VPN을 배포합니다. | Microsoft Entra ID 및 기존 Azure 구독과의 통합을 활용합니다. | |
| Microsoft Entra 애플리케이션 프록시를 사용하여 온-프레미스 웹앱을 게시합니다. | Microsoft Entra 애플리케이션 프록시를 사용하여 게시된 앱에는 원격 액세스 연결이 필요하지 않습니다. | |
| Azure Bastion을 사용하여 Azure 리소스에 대한 액세스를 보호합니다. | SSL을 통해 Azure 가상 머신에 안전하고 원활하게 연결합니다. | |
| 기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
이메일 및 협업
이메일 및 협업 솔루션의 모범 사례를 구현하여 공격자가 남용하기 어렵게 만들고 작업자는 외부 콘텐츠에 쉽고 안전하게 액세스하도록 허용합니다.
공격자는 이메일 및 파일 공유와 같은 권한 있는 협업 도구를 사용하여 악성 콘텐츠를 전송하고 사용자가 이를 실행하도록 유도하여 환경에 자주 침입합니다. Microsoft는 완화가 강화되어 이러한 공격 벡터로부터 보호가 크게 증가하도록 투자하고 있습니다.
전자 메일 및 공동 작업에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 이메일 및 협업 솔루션 보호를 전반적으로 설명합니다.
| Lead | 구현자 | 책임성 |
|---|---|---|
| CISO, CIO 또는 ID 디렉터 | 경영진 스폰서쉽 | |
| 보안 아키텍처 팀의 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
| IT 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
| 클라우드 생산성 또는 최종 사용자 팀 | Defender for Office 365, ASR 및 AMSI 사용 | |
| 보안 아키텍처 / 인프라 + 엔드포인트 | 구성 지원 | |
| 사용자 교육 팀 | 워크플로 변경 사항에 대한 참고 자료 업데이트 | |
| 보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
| 보안 규정 준수 관리 | 규정을 준수하도록 모니터링 |
이메일 및 공동 작업을 위한 구현 검사 목록
이러한 모범 사례를 적용하여 랜섬웨어 공격자로부터 이메일 및 협업 솔루션을 보호합니다.
| 완료 | 작업 | 설명 |
|---|---|---|
| AMSI for Office VBA를 사용합니다. | Defender for Endpoint와 같은 엔드포인트 도구를 사용하여 Office 매크로 공격을 검색합니다. | |
| Defender for Office 365나 유사한 도구를 사용하여 고급 이메일 보안을 구현합니다. | 이메일은 공격자의 일반적인 진입점입니다. | |
| ASR(공격 표면 감소) 규칙을 배포하여 다음을 비롯한 일반적인 공격 기술을 차단합니다. - 자격 증명 도난, 랜섬웨어 활동, PsExec 및 WMI의 의심스러운 사용과 같은 엔드포인트 남용 - Office 애플리케이션에서 시작된 고급 매크로 작업, 실행 파일 콘텐츠, 프로세스 만들기 및 프로세스 삽입과 같은 Office 문서 작업 무기화 참고: 먼저 이러한 규칙을 감사 모드에 배포하고 부정적인 영향을 평가한 후 차단 모드에 배포하세요. |
ASR은 특별히 일반적인 공격 방법 완화를 대상으로 하는 공격에 대한 보안을 강화합니다. | |
| 기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
엔드포인트
관련 보안 기능을 구현하고 엔드포인트(디바이스)와 애플리케이션의 소프트웨어 유지 관리 모범 사례를 엄격히 준수하여 애플리케이션과 서버/클라이언트 운영 체제가 인터넷 트래픽과 콘텐츠에 직접 노출되는 우선 순위를 지정합니다.
인터넷에 노출된 엔드포인트는 조직 자산에 대한 공격자 액세스를 제공하는 일반적인 항목 벡터입니다. 예방 제어를 사용하여 일반적인 OS와 애플리케이션 취약성에 차단 우선 순위를 지정하여 다음 단계 실행을 늦추거나 중지합니다.
enbpoints에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 엔드포인트 보호를 전반적으로 설명합니다.
| Lead | 구현자 | 책임성 |
|---|---|---|
| 가동 중지 시간과 공격 손상 모두의 비즈니스 영향에 대한 책임이 있는 비즈니스 리더십 | 경영진 스폰서쉽(유지 관리) | |
| 중앙 IT 운영 또는 CIO | 경영진 스폰서쉽(기타) | |
| 중앙 IT 인프라 팀의 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
| IT 및 보안 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
| 중앙 IT 운영 | 환경에 변경 사항 구현 | |
| 클라우드 생산성 또는 최종 사용자 팀 | 공격 표면 감소 사용 | |
| 워크로드/앱 소유자 | 변경 사항에 대한 유지 관리 기간 식별 | |
| 보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
| 보안 규정 준수 관리 | 규정을 준수하도록 모니터링 |
엔드포인트에 대한 구현 검사 목록
이러한 모범 사례를 모든 Windows, Linux, MacOS, Android, iOS 및 기타 엔드포인트에 적용합니다.
| 완료 | 작업 | 설명 |
|---|---|---|
| 공격 표면 감소 규칙, 변조 보호 및 첫 사이트에서 차단을 사용하여 알려진 위협을 차단합니다. | 이러한 기본 제공 보안 기능을 사용하지 않으면 공격자가 조직에 침입하는 원인이 됩니다. | |
| 보안 기준을 적용하여 인터넷에 연결된 Windows 서버와 클라이언트, Office 애플리케이션을 강화합니다. | 최소한의 보안 수준으로 조직을 보호하고 해당 위치에서 빌드합니다. | |
| 다음과 같이 소프트웨어를 유지 관리합니다. - 업데이트됨: 운영 체제, 브라우저 및 이메일 클라이언트에 대한 중요한 보안 업데이트를 신속하게 배포 - 지원: 공급업체에서 지원하는 버전에 대한 운영 체제와 소프트웨어 업그레이드. |
공격자는 제조업체 업데이트와 업그레이드를 누락하거나 무시하게 합니다. | |
| 지원되지 않는 운영 체제와 레거시 프로토콜 등 안전하지 않은 시스템과 프로토콜을 격리하거나 사용 중지합니다. | 공격자는 레거시 디바이스, 시스템 및 프로토콜의 알려진 취약성을 조직 진입점으로 사용합니다. | |
| 호스트 기반 방화벽과 네트워크 방어로 예기치 않은 트래픽을 차단합니다. | 일부 맬웨어 공격은 호스트에 대한 원치 않는 인바운드 트래픽을 공격을 위한 연결을 만드는 방법으로 사용합니다. | |
| 기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
계정
오래된 스켈레톤 키를 사용하여 집을 현재의 절도범으로부터 보호할 수 없는 것처럼 암호는 요즘에 나타나는 일반적인 공격으로부터 계정을 보호할 수 없습니다. MFA(다단계 인증)는 한때 번거로운 추가 단계였지만, 현재의 암호 없는 인증은 사용자가 암호를 기억하거나 입력할 필요가 없는 생체 인식 방식을 사용하여 로그인 환경을 개선합니다. 또한 제로 트러스트 인프라는 신뢰할 수 있는 디바이스에 대한 정보를 저장하므로, 짜증나는 대역 외 MFA 작업을 요구하는 메시지가 감소합니다.
권한이 높은 관리자 계정부터 시작하여 암호 없는 방식이나 MFA 사용 등 이러한 계정 보안 모범 사례를 엄격하게 따릅니다.
계정에 대한 프로그램 및 프로젝트 멤버 책임
다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 계정 보호를 전반적으로 설명합니다.
| Lead | 구현자 | 책임성 |
|---|---|---|
| CISO, CIO 또는 ID 디렉터 | 경영진 스폰서쉽 | |
| ID 및 키 관리 또는 보안 아키텍처 팀의 프로그램 리드 | 결과 및 팀 간 협업 추진 | |
| IT 및 보안 설계자 | 구성 요소가 아키텍처에 통합되는 순위 지정 | |
| ID 및 키 관리 또는 중앙 IT 운영 | 구성 변경 사항 구현 | |
| 보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
| 보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
| 사용자 교육 팀 | 암호 또는 로그인 참고 자료 업데이트 및 교육 및 변경 관리 수행 |
계정에 대한 구현 검사 목록
이러한 모범 사례를 적용하여 랜섬웨어 공격자로부터 계정을 보호합니다.
| 완료 | 작업 | 설명 |
|---|---|---|
| 모든 사용자에게 강력한 MFA 또는 암호 없는 로그인을 적용합니다. 다음 중 하나 이상을 사용하여 관리자 및 우선 순위 계정으로 시작합니다. - Windows Hello 또는 Microsoft Authenticator 앱을 사용하는 암호 없는 인증 - Azure Multi-Factor Authentication - 타사 MFA 솔루션입니다. |
공격자가 사용자 계정 암호를 확인하여 자격 증명 손상을 수행하기 어렵게 만듭니다. | |
| 암호 보안 강화: - Microsoft Entra 계정의 경우 Microsoft Entra Password Protection을 사용하여 알려진 약한 암호 및 조직과 관련된 추가 약한 용어를 검색하고 차단합니다. - AD DS(온-프레미스 Active Directory Do기본 Services) 계정의 경우 Microsoft Entra Password Protection을 AD DS 계정으로 확장합니다. |
공격자가 일반적인 암호나 조직 이름에 따른 암호를 확인할 수 없는지 확인합니다. | |
| 기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). | 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다. |
구현 결과 및 타임라인
30일 이내에 다음 결과를 얻도록 해야 합니다.
- 직원 100%가 MFA를 적극적으로 사용
- 높은 암호 보안 배포 100%
추가 랜섬웨어 리소스
Microsoft의 주요 정보:
- 랜섬웨어의 위협이 증가하고 있는 Microsoft On the Issues 블로그 게시물 2021년 7월 20일
- 사람이 운영하는 랜섬웨어
- 랜섬웨어 및 강탈으로부터 신속하게 보호
- 2021년 Microsoft 디지털 방어 보고서(10-19페이지 참조)
- 랜섬웨어: Microsoft Defender 포털의 만연하고 지속적인 위협 위협 분석 보고서
- MICROSOFT의 DART(검색 및 대응 팀) 랜섬웨어 접근 방식 및 사례 연구
Microsoft 365:
- Microsoft 365 테넌트에 대한 랜섬웨어 보호 배포
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어 공격으로부터 복구
- 맬웨어 및 랜섬웨어 보호
- 랜섬웨어로부터 Windows 10 PC 보호
- SharePoint Online에서 랜섬웨어 처리
- Microsoft Defender 포털의 랜섬웨어 에 대한 위협 분석 보고서
Microsoft Defender XDR:
Microsoft Azure:
- 랜섬웨어 공격에 대한 Azure 방어
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
- Microsoft Azure Backup으로 랜섬웨어로부터 보호하기(26분 동영상)
- 시스템 ID 손상으로부터 복구
- Microsoft Sentinel의 고급 다단계 공격 검색
- Microsoft Sentinel에서 랜섬웨어에 대한 Fusion 검색
클라우드용 Microsoft Defender 앱:
Microsoft 보안 팀 블로그 게시물:
인간이 운영하는 랜섬웨어 퇴치 가이드: 1부(2021년 9월)
Microsoft의 DART(검색 및 대응 팀)가 랜섬웨어 인시던트 조사를 수행하는 방법에 대한 주요 단계입니다.
인간이 운영하는 랜섬웨어 퇴치 가이드: 2부(2021년 9월)
권장 사항 및 모범 사례.
사이버 보안 위험을 이해하여 복원력 강화: 4부—현재 위협 탐색(2021년 5월)
랜섬웨어 섹션을 참조하세요.
사람이 운영하는 랜섬웨어 공격: 예방 가능한 재해(2020년 3월)
실제 공격의 공격 체인 분석을 포함합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기