랜섬웨어 공격으로부터 조직을 신속하게 보호

랜섬웨어는 사이버 범죄자가 크고 작은 조직을 갈취하는 데 사용하는 사이버 공격 유형입니다.

랜섬웨어 공격 및 피해 최소화를 보호하는 방법을 이해하는 것은 회사를 보호하는 데 중요한 부분입니다. 이 문서에서는 랜섬웨어 보호를 신속하게 구성하는 방법에 대한 실용적인 지침을 제공합니다.

지침은 가장 긴급한 조치부터 시작하여 단계로 구성됩니다.

이 페이지를 단계의 출발점으로 책갈피를 지정하세요.

중요하다

랜섬웨어 방지 시리즈를 읽고 조직을 사이버 공격하기 어렵게 만듭니다.

• 복구 계획을 세우세요
• 피해를 제한하는 계획
• 들어가기 어렵게 만들기

메모

랜섬웨어란? 랜섬웨어 정의는 여기참조하세요.

이 문서에 대한 중요한 정보

메모

이러한 단계의 순서는 위험 가능한 한 빨리줄일 수 있도록 설계되었으며, 파괴적인 공격을 방지하거나 완화하기 위해 정상적인 보안 및 IT 우선 순위를 재정의하는 매우 긴급한 가정을 기반으로 합니다.

이 랜섬웨어 방지 지침은 중요한 사항으로, 표시된 순서대로 따라야 하는 단계로 구성되어 있습니다. 이를 유의하십시오. 이 지침을 상황에 가장 잘 맞게 조정하려면 다음을 수행합니다.

1. 권장 우선 순위를 따르세요

   먼저, 다음 및 나중에 수행할 작업에 대한 시작 계획으로 단계를 사용하므로 가장 영향력 있는 요소를 먼저 가져옵니다. 이러한 권장 사항은 제로 트러스트 원칙, 즉 위반을 가정하는 것을 사용하여 우선 순위가 지정됩니다. 이렇게 하면 공격자가 하나 이상의 방법을 통해 환경에 성공적으로 액세스할 수 있다고 가정하여 비즈니스 위험을 최소화하는 데 집중해야 합니다.

2. 사전 예방적이고 유연해야 하지만 중요한 작업건너뛰지 않는)

   세 단계의 모든 섹션에 대한 구현 검사 목록을 검사하여 이전 신속하게 완료할 수있는 영역과 작업이 있는지 확인합니다. 즉, 사용되지 않았지만 빠르고 쉽게 구성할 수 있는 클라우드 서비스에 대한 액세스 권한이 이미 있으므로 더 빠르게 수행할 수 있는 작업입니다. 전체 계획을 살펴보면 이러한 이후 영역과 작업을 백업 및 권한 있는 액세스와 같은 매우 중요한 영역 완료가 지연되지 않도록 주의하세요.

3. 일부 항목을 병렬로 수행

   한 번에 모든 작업을 수행하려고 하면 압도적일 수 있지만 일부 항목은 자연스럽게 병렬로 수행할 수 있습니다. 다른 팀의 직원은 작업(예: 백업 팀, 엔드포인트 팀, ID 팀)을 동시에 작업하는 동시에 우선 순위에 따라 단계를 완료할 수 있습니다.

구현 검사 목록의 항목은 기술 종속성 순서가 아니라 권장되는 우선 순위 순서입니다.

검사 목록을 사용하여 필요에 따라 조직에서 작동하는 방식으로 기존 구성을 확인하고 수정합니다. 예를 들어 가장 중요한 백업 요소에서는 일부 시스템을 백업하지만 오프라인이거나 변경할 수 없거나 전체 엔터프라이즈 복원 절차를 테스트하지 않거나 중요한 비즈니스 시스템 또는 AD DS(Active Directory Domain Services) 도메인 컨트롤러와 같은 중요한 IT 시스템의 백업이 없을 수 있습니다.

메모

이 프로세스에 대한 추가 요약은 랜섬웨어를 방지하고 복구하는 3단계(2021년 9월) Microsoft 보안 블로그 게시물을 참조하세요.

지금 랜섬웨어를 방지하도록 시스템 설정

단계는 다음과 같습니다.

1단계. 랜섬웨어 복구 계획 준비

이 단계는 다음을 수행하여 랜섬웨어 공격자로부터 금전적 인센티브를 최소화할 있도록 설계되었습니다.

• 시스템에 액세스하고 중단하거나 주요 조직 데이터를 암호화하거나 손상시키는 것이 훨씬 더 어렵습니다.
• 조직이 몸값을 지불하지 않고 공격으로부터 쉽게 복구할 수 있습니다.

메모

많은 엔터프라이즈 시스템 또는 모든 엔터프라이즈 시스템을 복원하는 것은 어려운 일이지만, 공격자가 제공하지 않을 수 있는 복구 키에 대해 공격자에게 비용을 지불하고 공격자가 작성한 도구를 사용하여 시스템 및 데이터를 복구하는 대안입니다.

2단계. 랜섬웨어 손상 범위 제한

공격자가 권한 있는 액세스 역할 통해 여러 중요 비즈니스용 시스템에 액세스하기훨씬 더 어렵게 만듭니다. 공격자가 권한 있는 액세스를 얻을 수 있는 능력을 제한하면 조직에 대한 공격으로 이익을 얻는 것이 훨씬 어려워지므로 포기하고 다른 곳으로 갈 가능성이 높아집니다.

3단계. 사이버 범죄자가 들어가기 어렵게 만들기

이 마지막 작업 집합은 진입 마찰을 발생시킬 때 중요하지만 더 큰 보안 경험의 일부로 완료하는 데 시간이 걸립니다. 이 단계의 목표는 다양한 공통 진입점에서 온-프레미스 또는 클라우드 인프라에 액세스하려고 할 때 공격자의 작업을 훨씬 어렵게 만드는 것입니다. 많은 작업이 있으므로 현재 리소스를 사용하여 이러한 작업을 얼마나 빨리 수행할 수 있는지에 따라 여기에서 작업의 우선 순위를 지정하는 것이 중요합니다.

이러한 작업 중 상당수는 익숙하고 빠르게 수행할 수 있지만 3단계의 작업을 1단계와 2단계진행 속도를 늦추지 않아야 하는 것이 매우 중요합니다.

랜섬웨어 보호 한눈에 보기

랜섬웨어 공격자에 대한 보호 수준으로 단계 및 구현 검사 목록의 개요를 랜섬웨어로부터 조직을 보호하기 위한 포스터에서 확인할 수 있습니다.

매크로 수준에서 랜섬웨어 완화의 우선 순위를 지정합니다. 랜섬웨어방지하도록 조직의 환경을 구성합니다.

다음 단계

준비

1단계 시작하여 몸값을 지불하지 않고도 공격으로부터 복구할 조직을 준비합니다.

추가 랜섬웨어 리소스

Microsoft의 주요 정보:

• 증가하는 랜섬웨어의 위협, Microsoft On the Issues 블로그 게시물, 2021년 7월 20일
• 사람이 운영하는 랜섬웨어
• 2021 Microsoft 디지털 방어 보고서(10-19페이지 참조)
• 랜섬웨어: 만연하고 지속적인 위협 Microsoft Defender 포털의 위협 분석 보고서
• 마이크로소프트 사건 대응 팀(이전 명칭: DART/CRSP) 랜섬웨어 접근 방식 및 사례 연구

Microsoft 365:

• Microsoft 365 테넌트 대한 랜섬웨어 보호 배포
• Azure 및 Microsoft 365 사용하여 랜섬웨어 복원력 극대화
• 랜섬웨어 공격에서 복구하기
• 맬웨어 및 랜섬웨어 보호
• Windows 10 PC를 랜섬웨어로부터 보호하세요
• SharePoint Online에서 랜섬웨어 처리 방법
• Microsoft Defender 포털에서 랜섬웨어 에 대한 위협 분석 보고서

Microsoft Defender XDR:

• 랜섬웨어 대한 보호 기본 제공
• 고급 헌팅으로 랜섬웨어 찾기

Microsoft Azure:

• 랜섬웨어 공격에 대한 Azure의 방어
• Azure 및 Microsoft 365 사용하여 랜섬웨어 복원력 극대화
• 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
• Microsoft Azure Backup으로 랜섬웨어로부터 보호를 돕기 (26분 비디오)
• 시스템 신원 체계 손상 복구
• Microsoft Sentinel에서 고급 다단계 공격 탐지
• Microsoft Sentinel에서 랜섬웨어를 위한 Fusion 탐지

Cloud Apps용 Microsoft Defender:

• Defender for Cloud Apps 이상 탐지 정책 만들기

Microsoft 보안 팀 블로그 게시물:

• 랜섬웨어를 방지하고 복구하는 3단계(2021년 9월)

• 인간이 운영하는 랜섬웨어 퇴치 가이드: 1부(2021년 9월)

  Microsoft 인시던트 대응이 랜섬웨어 인시던트 조사를 수행하는 방법에 대한 주요 단계입니다.

• 인간이 운영하는 랜섬웨어 퇴치 가이드: 2부(2021년 9월)

  권장 사항 및 모범 사례.

• 사이버 보안 위험을 이해하여 복원력 향상: 4부 - 현재 위협 탐색(2021년 5월)

  랜섬웨어 섹션을 참조하세요.

• 사람이 운영하는 랜섬웨어 공격: 예방 가능한 재해(2020년 3월)

  실제 공격의 공격 체인 분석을 포함합니다.

• 랜섬웨어에 대응할 때 - 돈을 지불할 것인가, 말 것인가? (2019년 12월)

• Norsk Hydro가 투명성으로 랜섬웨어 공격에 대응합니다(2019년 12월)