랜섬웨어 공격 복구 계획

아티클
10/16/2024

항상 랜섬웨어 공격 복구 계획을 준비합니다. 랜섬 결제 대신 데이터에 대한 액세스가 손실되는 것을 방지합니다.

Important

전체 랜섬웨어 방지 시리즈를 읽고 조직이 랜섬웨어 공격을 어렵게 만듭니다.

조직을 제어하는 랜섬웨어 행위자가 여러 가지 방법으로 비용을 지불하도록 압력을 가할 수 있습니다. 요구는 주로 두 가지 범주에 초점을 맞춥니다.

액세스 권한을 회복하기 위해 몸값을 지불

위협 행위자가 시스템 및 데이터에 대한 액세스 권한을 다시 제공하지 않을 것이라는 위협에 따라 지불을 요구합니다. 이 작업은 일반적으로 시스템 및 데이터를 암호화하고 암호 해독 키에 대한 지불을 요구하여 수행됩니다.

Important

몸값을 지불해도 데이터에 대한 복원된 액세스가 보장되지는 않습니다.

재정적으로 동기를 부여한 사이버 범죄자(그리고 다른 사람이 제공하는 도구 키트를 사용하는 비교적 아마추어 운영자)는 결제 잠금 파일을 둘 다 유지할 수 있습니다. 시스템과 데이터의 암호를 100% 해독하는 키를 제공한다거나, 심지어 키를 제공한다는 데 관한 법적 보장이 없습니다. 이러한 시스템의 암호를 해독하는 프로세스는 종종 서투른 수동 프로세스인 자체 개발 공격 도구를 사용합니다.

공개를 피하기 위해 지불

위협 행위자가 다크 웹(다른 범죄자) 또는 일반 대중에게 민감하거나 당황스러운 데이터를 공개하지 않는 대가로 지불을 요구합니다.

강제로 지불(위협 행위자의 수익성 있는 상황)을 방지하기 위해 수행할 수 있는 가장 즉각적이고 효과적인 조치는 조직이 변경할 수 없는 스토리지에서 전체 기업을 복원할 수 있도록 하는 것이며, 사이버 범죄자도 수정할 수도 없습니다.

가장 민감한 자산을 식별하고 더 높은 수준의 보증으로 보호하는 것은 매우 중요하기도 하지만, 실행하는 데 시간이 오래 걸리고 어려운 프로세스입니다. 1단계나 2단계에서는 다른 영역을 보류하지 않길 바라지만, 비즈니스, IT 및 보안 이해 관계자들이 모여 다음과 같은 질문에 대답해보면서 프로세스를 시작하는 것이 좋습니다.

손상될 경우 가장 큰 피해를 주는 비즈니스 자산은 무엇인가요? 예를 들어 사이버 범죄자가 이를 제어할 경우 비즈니스 리더십이 강탈 요구를 기꺼이 지불할 자산은 무엇입니까?
이러한 비즈니스 자산을 IT 자산(예: 파일, 애플리케이션, 데이터베이스, 서버 및 제어 시스템)으로 변환하려면 어떻게 해야 합니까?
일반 IT 환경에 액세스할 수 있는 위협 행위자가 액세스할 수 없도록 이러한 자산을 보호하거나 격리하려면 어떻게 해야 할까요?

백업 보안

중요한 시스템과 해당 데이터가 백업되고 위협 행위자가 의도적으로 삭제하거나 암호화하지 않도록 백업을 보호해야 합니다.

백업에 대한 공격은 비용 지불 없이 대응할 수 있는 조직의 능력을 약화시키는 데 초점이 맞춰져 있으며, 강탈에 대한 몸값 지불을 압박하기 위해 복구에 필요한 백업 및 주요 문서가 자주 표적이 됩니다.

대부분의 조직에서는 이러한 수준의 의도적인 표적화로부터 백업 및 복원 절차를 보호하지 못합니다.

랜섬웨어로부터 보호하기 위한 백업 및 복원 계획은 공격 전에 중요한 비즈니스 시스템을 보호하기 위해 그리고 공격 중에 비즈니스 운영을 신속하게 복구할 수 있도록 해야 할 일을 다룹니다.

랜섬웨어 공격 발생 시 OneDrive 파일을 복원하는 방법을 알아봅니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 스폰서쉽/프로그램 관리/프로젝트 관리 계층과 관련하여 랜섬웨어로부터 데이터를 전체적으로 보호하고 결과를 도출하는 방법을 설명합니다.

Lead	구현자	책임성
중앙 IT 운영 또는 CIO		경영진 스폰서쉽
중앙 IT 인프라의 프로그램 리더		결과 및 팀 간 협업 추진
	중앙 IT 인프라/백업	인프라 백업 사용
	중앙 IT 생산성/최종 사용자	OneDrive Backup 사용
	보안 아키텍처	구성 및 표준에 대한 조언
	보안 정책 및 표준	표준 및 정책 문서 업데이트
	보안 규정 준수 관리	규정을 준수하도록 모니터링

구현 검사 목록

이러한 모범 사례를 적용하여 백업 인프라를 보호합니다.

완료	작업	설명
	모든 중요 데이터를 정기적으로 자동 백업합니다.	마지막 백업까지 데이터를 복구할 수 있습니다.
	BC/DR(비즈니스 연속성/재해 복구) 계획을 정기적으로 연습합니다.	랜섬웨어 또는 강탈 공격을 자연 재해와 동일한 중요도로 다루어 비즈니스 운영의 신속한 복구를 보장합니다.
	고의적인 삭제 및 암호화로부터 백업을 보호합니다. - 강력한 보호 – 온라인 백업(예: Azure Backup)을 수정하기 전에 대역 외 단계(MFA 또는 PIN)가 필요합니다. - 가장 강력한 보호 – 온라인의 변경이 불가능한 스토리지(예: Azure Blob) 및/또는 완전한 오프라인 또는 오프사이트에 백업을 저장합니다.	사이버 범죄자가 액세스할 수 있는 백업은 비즈니스 복구에 사용할 수 없게 렌더링할 수 있습니다. 백업에 액세스하는 더 강력한 보안을 구현하고 백업에 저장된 데이터는 변경할 수 없습니다.
	복구 절차 문서, CMDB(구성 관리 데이터베이스) 및 네트워크 다이어그램과 같이 복구에 필요한 지원 문서를 보호합니다.	위협 행위자가 복구 기능에 영향을 주므로 이러한 리소스를 의도적으로 대상으로 지정합니다. 랜섬웨어 공격에서 살아남을 수 있는지 확인합니다.

구현 결과 및 타임라인

30일 이내에 MTTR(평균 복구 시간)이 시뮬레이션 및 실제 운영 중에 측정된 BC/DR 목표를 충족하도록 합니다.

데이터 보호

랜섬웨어 공격으로부터 신속하고 안정적인 복구를 보장하고 일부 공격 기술을 차단하려면 데이터 보호를 구현해야 합니다.

랜섬웨어 강탈 및 파괴 공격은 데이터와 시스템에 대한 합법적인 액세스가 모두 손실된 경우에만 작동합니다. 위협 행위자가 지불 없이 작업을 재개할 수 없도록 하면 비즈니스를 보호하고 조직을 공격하기 위한 금전적 인센티브를 약화시킬 수 있습니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 스폰서쉽/프로그램 관리/프로젝트 관리 계층과 관련하여 랜섬웨어로부터 조직 데이터를 전체적으로 보호하고 결과를 도출하는 방법을 설명합니다.

Lead	구현자	책임성
중앙 IT 운영 또는 CIO		경영진 스폰서쉽
데이터 보안의 프로그램 리더		결과 및 팀 간 협업 추진
	중앙 IT 생산성/최종 사용자	OneDrive 및 보호된 폴더에 대한 Microsoft 365 테넌트 변경 내용 구현
	중앙 IT 인프라/백업	인프라 백업 사용
	비즈니스/애플리케이션	중요 비즈니스 자산 식별
	보안 아키텍처	구성 및 표준에 대한 조언
	보안 정책 및 표준	표준 및 정책 문서 업데이트
	보안 규정 준수 관리	규정을 준수하도록 모니터링
	사용자 교육 팀	사용자에 대한 지침이 정책 업데이트를 반영하는지 확인

구현 검사 목록

이러한 모범 사례를 적용하여 조직 데이터를 보호합니다.

완료	작업	설명
	조직을 클라우드로 마이그레이션합니다. - 버전 관리 및 휴지통 기능을 활용하려면 사용자 데이터를 OneDrive/SharePoint 같은 클라우드 솔루션으로 이동합니다. - 지연 및 복구 비용을 줄이기 위해 직접 파일을 복구하는 방법을 사용자에게 교육합니다.	Microsoft Cloud의 사용자 데이터는 기본 제공 보안 및 데이터 관리 기능을 통해 보호할 수 있습니다.
	보호된 폴더를 지정합니다.	권한 없는 애플리케이션이 이러한 폴더의 데이터를 수정하기가 더 어려워집니다.
	사용 권한을 검토합니다. - 파일 공유, SharePoint 및 기타 솔루션에 대한 광범위한 쓰기/삭제 권한을 검색합니다. 광범위란 중요 비즈니스용 데이터에 대한 쓰기/삭제 권한이 있는 여러 사용자로 정의됩니다. - 비즈니스 협업 요구 사항을 충족하는 한편, 중요 데이터 위치에 대한 광범위한 사용 권한을 줄입니다. - 광범위한 권한이 다시 나타나지 않도록 중요 데이터 위치를 감사 및 모니터링을 수행합니다.	광범위한 액세스에 의존하는 랜섬웨어 활동의 위험을 줄입니다.