랜섬웨어 공격 복구 계획
항상 랜섬웨어 공격 복구 계획을 준비합니다. 랜섬 결제 대신 데이터에 대한 액세스가 손실되는 것을 방지합니다.
조직을 제어하는 랜섬웨어 행위자가 여러 가지 방법으로 비용을 지불하도록 압력을 가할 수 있습니다. 요구는 주로 두 가지 범주에 초점을 맞춥니다.
액세스 권한을 회복하기 위해 몸값을 지불
위협 행위자가 시스템 및 데이터에 대한 액세스 권한을 다시 제공하지 않을 것이라는 위협에 따라 지불을 요구합니다. 이 작업은 일반적으로 시스템 및 데이터를 암호화하고 암호 해독 키에 대한 지불을 요구하여 수행됩니다.
Important
몸값을 지불해도 데이터에 대한 복원된 액세스가 보장되지는 않습니다.
재정적으로 동기를 부여한 사이버 범죄자(그리고 다른 사람이 제공하는 도구 키트를 사용하는 비교적 아마추어 운영자)는 결제 잠금 파일을 둘 다 유지할 수 있습니다. 시스템과 데이터의 암호를 100% 해독하는 키를 제공한다거나, 심지어 키를 제공한다는 데 관한 법적 보장이 없습니다. 이러한 시스템의 암호를 해독하는 프로세스는 종종 서투른 수동 프로세스인 자체 개발 공격 도구를 사용합니다.
공개를 피하기 위해 지불
위협 행위자가 다크 웹(다른 범죄자) 또는 일반 대중에게 민감하거나 당황스러운 데이터를 공개하지 않는 대가로 지불을 요구합니다.
강제로 지불(위협 행위자의 수익성 있는 상황)을 방지하기 위해 수행할 수 있는 가장 즉각적이고 효과적인 조치는 조직이 변경할 수 없는 스토리지에서 전체 기업을 복원할 수 있도록 하는 것이며, 사이버 범죄자도 수정할 수도 없습니다.
가장 민감한 자산을 식별하고 더 높은 수준의 보증으로 보호하는 것은 매우 중요하기도 하지만, 실행하는 데 시간이 오래 걸리고 어려운 프로세스입니다. 1단계나 2단계에서는 다른 영역을 보류하지 않길 바라지만, 비즈니스, IT 및 보안 이해 관계자들이 모여 다음과 같은 질문에 대답해보면서 프로세스를 시작하는 것이 좋습니다.
- 손상될 경우 가장 큰 피해를 주는 비즈니스 자산은 무엇인가요? 예를 들어 사이버 범죄자가 이를 제어할 경우 비즈니스 리더십이 강탈 요구를 기꺼이 지불할 자산은 무엇입니까?
- 이러한 비즈니스 자산을 IT 자산(예: 파일, 애플리케이션, 데이터베이스, 서버 및 제어 시스템)으로 변환하려면 어떻게 해야 합니까?
- 일반 IT 환경에 액세스할 수 있는 위협 행위자가 액세스할 수 없도록 이러한 자산을 보호하거나 격리하려면 어떻게 해야 할까요?
백업 보안
중요한 시스템과 해당 데이터가 백업되고 위협 행위자가 의도적으로 삭제하거나 암호화하지 않도록 백업을 보호해야 합니다.
백업에 대한 공격은 비용 지불 없이 대응할 수 있는 조직의 능력을 약화시키는 데 초점이 맞춰져 있으며, 강탈에 대한 몸값 지불을 압박하기 위해 복구에 필요한 백업 및 주요 문서가 자주 표적이 됩니다.
대부분의 조직에서는 이러한 수준의 의도적인 표적화로부터 백업 및 복원 절차를 보호하지 못합니다.
랜섬웨어로부터 보호하기 위한 백업 및 복원 계획은 공격 전에 중요한 비즈니스 시스템을 보호하기 위해 그리고 공격 중에 비즈니스 운영을 신속하게 복구할 수 있도록 해야 할 일을 다룹니다.
랜섬웨어 공격 발생 시 OneDrive 파일을 복원하는 방법을 알아봅니다.
프로그램 및 프로젝트 구성원 책임
다음 표에서는 스폰서쉽/프로그램 관리/프로젝트 관리 계층과 관련하여 랜섬웨어로부터 데이터를 전체적으로 보호하고 결과를 도출하는 방법을 설명합니다.
Lead | 구현자 | 책임성 |
---|---|---|
중앙 IT 운영 또는 CIO | 경영진 스폰서쉽 | |
중앙 IT 인프라의 프로그램 리더 | 결과 및 팀 간 협업 추진 | |
중앙 IT 인프라/백업 | 인프라 백업 사용 | |
중앙 IT 생산성/최종 사용자 | OneDrive Backup 사용 | |
보안 아키텍처 | 구성 및 표준에 대한 조언 | |
보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
구현 검사 목록
이러한 모범 사례를 적용하여 백업 인프라를 보호합니다.
완료 | 작업 | 설명 |
---|---|---|
모든 중요 데이터를 정기적으로 자동 백업합니다. | 마지막 백업까지 데이터를 복구할 수 있습니다. | |
BC/DR(비즈니스 연속성/재해 복구) 계획을 정기적으로 연습합니다. | 랜섬웨어 또는 강탈 공격을 자연 재해와 동일한 중요도로 다루어 비즈니스 운영의 신속한 복구를 보장합니다. | |
고의적인 삭제 및 암호화로부터 백업을 보호합니다. - 강력한 보호 – 온라인 백업(예: Azure Backup)을 수정하기 전에 대역 외 단계(MFA 또는 PIN)가 필요합니다. - 가장 강력한 보호 – 온라인의 변경이 불가능한 스토리지(예: Azure Blob) 및/또는 완전한 오프라인 또는 오프사이트에 백업을 저장합니다. |
사이버 범죄자가 액세스할 수 있는 백업은 비즈니스 복구에 사용할 수 없게 렌더링할 수 있습니다. 백업에 액세스하는 더 강력한 보안을 구현하고 백업에 저장된 데이터는 변경할 수 없습니다. | |
복구 절차 문서, CMDB(구성 관리 데이터베이스) 및 네트워크 다이어그램과 같이 복구에 필요한 지원 문서를 보호합니다. | 위협 행위자가 복구 기능에 영향을 주므로 이러한 리소스를 의도적으로 대상으로 지정합니다. 랜섬웨어 공격에서 살아남을 수 있는지 확인합니다. |
구현 결과 및 타임라인
30일 이내에 MTTR(평균 복구 시간)이 시뮬레이션 및 실제 운영 중에 측정된 BC/DR 목표를 충족하도록 합니다.
데이터 보호
랜섬웨어 공격으로부터 신속하고 안정적인 복구를 보장하고 일부 공격 기술을 차단하려면 데이터 보호를 구현해야 합니다.
랜섬웨어 강탈 및 파괴 공격은 데이터와 시스템에 대한 합법적인 액세스가 모두 손실된 경우에만 작동합니다. 위협 행위자가 지불 없이 작업을 재개할 수 없도록 하면 비즈니스를 보호하고 조직을 공격하기 위한 금전적 인센티브를 약화시킬 수 있습니다.
프로그램 및 프로젝트 구성원 책임
다음 표에서는 스폰서쉽/프로그램 관리/프로젝트 관리 계층과 관련하여 랜섬웨어로부터 조직 데이터를 전체적으로 보호하고 결과를 도출하는 방법을 설명합니다.
Lead | 구현자 | 책임성 |
---|---|---|
중앙 IT 운영 또는 CIO | 경영진 스폰서쉽 | |
데이터 보안의 프로그램 리더 | 결과 및 팀 간 협업 추진 | |
중앙 IT 생산성/최종 사용자 | OneDrive 및 보호된 폴더에 대한 Microsoft 365 테넌트 변경 내용 구현 | |
중앙 IT 인프라/백업 | 인프라 백업 사용 | |
비즈니스/애플리케이션 | 중요 비즈니스 자산 식별 | |
보안 아키텍처 | 구성 및 표준에 대한 조언 | |
보안 정책 및 표준 | 표준 및 정책 문서 업데이트 | |
보안 규정 준수 관리 | 규정을 준수하도록 모니터링 | |
사용자 교육 팀 | 사용자에 대한 지침이 정책 업데이트를 반영하는지 확인 | |
구현 검사 목록
이러한 모범 사례를 적용하여 조직 데이터를 보호합니다.
완료 | 작업 | 설명 |
---|---|---|
조직을 클라우드로 마이그레이션합니다. - 버전 관리 및 휴지통 기능을 활용하려면 사용자 데이터를 OneDrive/SharePoint 같은 클라우드 솔루션으로 이동합니다. - 지연 및 복구 비용을 줄이기 위해 직접 파일을 복구하는 방법을 사용자에게 교육합니다. |
Microsoft Cloud의 사용자 데이터는 기본 제공 보안 및 데이터 관리 기능을 통해 보호할 수 있습니다. | |
보호된 폴더를 지정합니다. | 권한 없는 애플리케이션이 이러한 폴더의 데이터를 수정하기가 더 어려워집니다. | |
사용 권한을 검토합니다. - 파일 공유, SharePoint 및 기타 솔루션에 대한 광범위한 쓰기/삭제 권한을 검색합니다. 광범위란 중요 비즈니스용 데이터에 대한 쓰기/삭제 권한이 있는 여러 사용자로 정의됩니다. - 비즈니스 협업 요구 사항을 충족하는 한편, 중요 데이터 위치에 대한 광범위한 사용 권한을 줄입니다. - 광범위한 권한이 다시 나타나지 않도록 중요 데이터 위치를 감사 및 모니터링을 수행합니다. |
광범위한 액세스에 의존하는 랜섬웨어 활동의 위험을 줄입니다. | |
다음 단계
2단계를 계속 진행하여 권한 있는 역할을 보호하여 공격 피해 범위를 제한합니다.
추가 랜섬웨어 리소스
Microsoft의 주요 정보:
- [2023 Microsoft 디지털 방어 보고서](https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report- 2023) (17-26페이지 참조)
- Microsoft 블로그 - 랜섬웨어, 최신 위협 - 랜섬웨어
- 사람이 운영하는 랜섬웨어
- 랜섬웨어 및 강탈으로부터 신속하게 보호
- 랜섬웨어: Microsoft Defender 포털의 만연하고 지속적인 위협 위협 분석 보고서
- Microsoft 인시던트 대응 팀(이전의 DART/CRSP) 랜섬웨어 접근 방식 및 사례 연구
Microsoft 365:
- Microsoft 365 테넌트에 대한 랜섬웨어 보호 배포
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어 공격으로부터 복구
- 맬웨어 및 랜섬웨어 보호
- 랜섬웨어로부터 Windows 10 PC 보호
- SharePoint Online에서 랜섬웨어 처리
- Microsoft Defender 포털의 랜섬웨어 에 대한 위협 분석 보고서
Microsoft Defender XDR:
Microsoft Azure:
- 랜섬웨어 공격에 대한 Azure 방어
- Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
- Microsoft Azure Backup으로 랜섬웨어로부터 보호하기(26분 동영상)
- 시스템 ID 손상으로부터 복구
- Microsoft Sentinel의 고급 다단계 공격 검색
- Microsoft Sentinel에서 랜섬웨어에 대한 Fusion 검색
클라우드용 Microsoft Defender 앱:
Microsoft 보안 팀 블로그 게시물:
인간이 운영하는 랜섬웨어 퇴치 가이드: 2부(2021년 9월)
권장 사항 및 모범 사례.
사이버 보안 위험을 이해하여 복원력 강화: 4부—현재 위협 탐색(2021년 5월)
랜섬웨어 섹션을 참조하세요.
사람이 운영하는 랜섬웨어 공격: 예방 가능한 재해(2020년 3월)
실제 공격의 공격 체인 분석을 포함합니다.