요즘 랜섬웨어는 다양한 규모의 조직과 모든 산업에 직면한 가장 널리 퍼진 위협입니다. 실제로, 랜섬웨어 공격으로 인한 피해는 2021년 전 세계적으로 200억 달러 이상이며 이 숫자는 2031년까지 2650억 달러에 이를 것으로 예상됩니다.
A ransomware infection can lead to data loss, financial and reputational damage or even the complete shutdown of an organization. However, all is not as grim as it seems. There are ways to minimize the chances of a successful attack and, more importantly, to recover smoothly after ransomware when a ransomware infection does hit your systems.
이 글은 랜섬웨어 감염으로부터 보호를 보장하고 사이버 침해의 위험을 줄이는데 도움이 되는 8가지 입증된 최선의 방법을 나열하고 설명합니다.
랜섬웨어 보호란 무엇인가요?
랜섬웨어 보호는 일반적으로 조직이 IT 인프라와 수익에 지속적인 피해를 주는 랜섬웨어를 방지하기 위해 취하는 모든 조치를 포함합니다. 종합적인 안티-랜섬웨어 계획은 보호 조치, 모니터링 활동 및 복구 전략을 포함해야 합니다.
- 랜섬웨어 예방 조치
랜섬웨어에 대한 방어는 조직의 주요 초점이어야 합니다. 랜섬웨어 공격을 억제하는 것이 그 영향을 완화하거나 감염된 데이터를 복구하려고 시도하는 것보다 낫습니다. 필요한 관행을 시행하고 올바른 도구를 사용함으로써, 시스템에 랜섬웨어가 침투할 가능성과 그러한 침해의 결과를 최소화할 수 있습니다.
- 랜섬웨어 탐지 조치
환경을 악성 코드 및 랜섬웨어로부터 모니터링하는 것은 초기 발견에 중요합니다. 침입을 식별할수록 중단 가능성이 높아집니다. 랜섬웨어에 대비하여 구현할 수 있는 여러 탐지 도구 및 최상의 실천 사례가 있습니다.
- 랜섬웨어 복구 조치
랜섬웨어 공격이 방어 체계를 침범하면 데이터를 암호화하거나 잠길 수 있으며, 이로 인해 업무가 일시 중단될 수 있습니다. 다수의 랜섬웨어 복구 조치를 통해 작업 부하를 신속하게 복구하여 데이터 손실과 다운 타임을 최소화할 수 있습니다. 이 과정은 어려우며 시간이 많이 걸릴 수 있으므로 아래 나열된 예방적인 실천 사항을 적용해야 합니다.
랜섬웨어 보호 최상의 실천 사례
랜섬웨어 보호에 대한 최적의 접근 방식은 다층적 전략을 포함합니다. 이 모델에는 인원 교육, 엔드포인트 보호, 필요한 기술 구현, 완전한 사고 대응 계획 개발 등이 포함됩니다.
-
귀하의 직원을 교육하세요
오늘날, 95%의 사이버 보안 문제가 인간 오류로 추적될 수 있으며 모든 침입의 43%는 조직 내부의 위협입니다. 악의적이거나 우연한 경우 모두 해당됩니다. 단일 기기가 전사적인 공격의 시작점이 될 수 있습니다.
그렇지만 채용한 직원들에게 사이버 위생에 대해 교육을 하는 것이 좋습니다. 또한 사용자가 최신 위협에 대해 지속적으로 인식하고 필요한 지침을 따르고 있는지 확인하기 위해 주기적인 교육 세션을 진행해야 합니다.
랜섬웨어로부터 보호를 제공하고 인적 실수로 인한 사건을 줄이기 위해 다음과 같은 관행이 필수적입니다:
- 수상한 출처의 이메일을 열지 말고 의심스러운 첨부 파일을 클릭하지 마십시오.
- 알 수 없는 웹사이트에서 발견된 광고 배너나 안전하지 않은 링크를 클릭하지 마십시오.
- 강력한 비밀번호를 사용하고 자주 변경하며 서로 다른 계정에 동일한 비밀번호를 사용하지 마십시오.
- 이중 인증을 활성화하십시오.
- 개인 정보를 공유하지 마시고 쉽게 접근할 수 있는 위치에 저장하지 마십시오.
- 알 수 없는 USB 스틱을 꽂지 마십시오.
- 공공 와이파이 네트워크를 사용하지 마십시오.
- 조직의 보안 정책을 따르고 악의적인 활동을 신속하게 보고하십시오.
- 직원들에게 악성 소프트웨어 제거에 도움이 되는 수동 솔루션과 소프트웨어에 대한 추가 정보를 제공하십시오.
-
네트워크 세분화 구현
네트워크를 보호하고 랜섬웨어에 대비하는 가장 좋은 방법은 네트워크 분할을 구현하는 것입니다. 특히 클라우드 및 혼합 환경에서 이것은 매우 중요합니다. 여러 서브넷과 라우터를 적절하게 연결하여 한 기기가 compromise된 경우에도 악성 코드 감염이 전체 조직에 퍼지는 것을 제한할 수 있습니다.
IEEE 802.1X 표준을 사용하고 지원되는 인증 방법을 사용하여 네트워크에 액세스 제어를 구성하는 것이 좋습니다. 이렇게 하면 네트워크에 연결하려면 서명된 인증서와 유효한 자격 증명이 필요하며 인증 및 암호화 연결을 설정할 수 있습니다. 아키텍처에는 세 가지 주요 구성 요소가 있습니다. 클라이언트, 인증자 및 인증 서버입니다. 유선 이더넷 연결을 위해 사용자를 인식하려면 RADIUS 서버 및 802.1X 호환 스위치가 필요합니다. 802.1X는 유선 및 Wi-Fi 네트워크에 사용할 수 있습니다.
또한 가능하다면 네트워크 침투 테스트를 수행해야 합니다. 이렇게 하면 네트워크에 액세스하는 데 사용할 수 있는 취약점을 감지할 수 있습니다. 발견된 문제를 해결하여 랜섬웨어로부터 보호하고 잠재적인 공격을 방지할 수 있습니다.
-
라우터 및 포트 설정 구성
잘못 구성된 라우터는 공격 벡터로 사용될 수 있습니다. 왜냐하면 사이버 범죄자들이 계속해서 오픈 포트를 스캔하기 때문입니다. 사용되지 않는 포트에 대한 액세스 차단 및 표준 포트 번호를 사용자 정의 번호로 변경하는 것은 랜섬웨어로부터 자신을 보호하는 데 도움이 될 수 있습니다.
당신은 조직 내 사용자에게 인터넷 액세스를 제공하는 라우터에서 URL 필터링과 광고 차단을 설정할 수도 있습니다. 현대 소프트웨어는 알려진 악성 사이트를 자동으로 콘텐츠 필터에 추가하여 URL 필터링 시스템을 최신 상태로 유지할 수 있습니다.
-
기본 및 고급 보호 기술 사용
대부분의 랜섬웨어 변종은 잘 알려져 있으며 기본 보안 도구를 사용하여 감지할 수 있습니다. 그러나 새로운 유형의 악성 소프트웨어가 정기적으로 발견되며 기존 변종은 점점 더 복잡해지고 있기 때문에 고급 보안 소프트웨어도 사용해야 합니다.
아래 목록에는 랜섬웨어 공격에 대항하기 위해 사용할 수 있는 다양한 보호 기술이 포함되어 있습니다.
- 방화벽 보호. 이것은 사이버 침해에 대한 첫 번째 방어선입니다. 웹 애플리케이션 방화벽은 웹 서비스 간의 HTTP 트래픽을 모니터링하고 필터링합니다. 라우터의 방화벽을 구성하여 랜섬웨어 침투의 위험을 줄일 수도 있습니다.
- 안티바이러스 소프트웨어. Windows 또는 macOS에서 악성 행동이 감지되면 안티바이러스가 즉시 의심스러운 파일을 차단하고 알려줍니다. 안티바이러스 소프트웨어를 최신 상태로 유지하여 새로운 랜섬웨어 버전을 식별할 수 있도록 해야 합니다. 일부 안티바이러스 솔루션은 vShield와 vSphere와 통합될 수 있어 ESXi 호스트에서 실행되는 VMware 가상 머신(VM)을 보호할 수 있습니다.
- 엔드포인트 발견 및 응답 (EDR).현대 EDR 솔루션은 실시간 위협 인텔리전스 및 분석을 수행하여 침입 전과 중에 랜섬웨어 공격으로부터 보호를 제공합니다. 피해를 최소화하기 위해 응답 및 완화 과정을 자동화할 수 있습니다.
- 이메일 보안.이메일 서버에서 안티 스팸 및 안티 맬웨어 필터의 적절한 구성은 사용자가 유해한 링크 또는 파일 첨부를 포함한 이메일 메시지를 받지 못하도록합니다 (또는 그 확률을 상당히 줄입니다). 공격자는 보통 악의적인 웹사이트로의 링크를 공유하거나 랜섬웨어 감염을 퍼뜨리기 위해 매크로가 포함된 Word 및 Excel 문서를 첨부합니다.
필터 구성은 구글 및 마이크로소프트와 같은 신뢰할 수있는 업체의 데이터베이스를 사용하여 정기적으로 업데이트되어야합니다. 보안 정책에 따라 안티 맬웨어 및 안티 스팸 필터를 사용자에게 도달하기 전에 경고 메시지를 표시하거나 메시지를 삭제하도록 구성할 수 있습니다.
- 샌드박싱.샌드박싱은 병렬 네트워크의 격리된 환경에서 코드 또는 링크를 분석할 수 있기 때문에 추가적인 보안 계층을 제공합니다. 의심스러운 메시지가 이메일 필터를 통과하면 네트워크에 도달하기 전에 검사 및 테스트 할 수 있습니다.
- 침입 탐지 시스템 (IDS).IDS는 악성 활동이나 정책 위반을 감지하기 위해 네트워크 및 시스템을 모니터링하는 고급 도구입니다. 위협이 감지되면 침입 탐지 시스템이 보안 관리자에게 보고서를 자동으로 보내어 필요한 조치를 취하고 랜섬웨어에 대비할 수 있도록합니다.
- 속임수 기술 모든 것이 실패할 때, 속임수 기술을 사용하면 데이터가 도난당하거나 암호화되는 것을 막을 수 있습니다. 이 기술을 사용하면 실제 데이터와 서버를 흉내 내어 사이버 범죄자들이 공격이 성공했다고 착각하도록 속일 수 있습니다. 또한 피해가 발생하기 전에 위협을 신속하게 감지할 수 있습니다.
- IT 모니터링 도구 실시간 IT 인프라 모니터링을 통해 네트워크 성능을 기반으로 침입을 신속하게 식별할 수 있습니다. 의심스러운 프로세서 부하, 비정상적인 디스크 활동 및 대용량 저장소 소비는 랜섬웨어 감염의 명확한 지표입니다.
네트워크에서 이상한 동작을 감지하면 꿀포트(또는 함정)를 구성하는 것이 좋습니다. 꿀포트(또는 함정)는 이상한 활동을 잡기 위해 사용되는 기술입니다. 이것은 서버의 비표준 위치에 저장된 특수 파일들의 집합입니다. 이 파일들에 접근되면 시스템 관리자에게 알림이 전송됩니다. 왜냐하면 이는 정상적인 생산 작업에서는 일어나지 않아야 하기 때문입니다.
-
제로 트러스트 보안으로 권한 제한
이름에서 알 수 있듯이 제로 트러스트 모델은 네트워크에 연결하려는 모든 사용자, 내부 또는 외부,을 신뢰할 수 없으며 잠재적인 위협이라고 가정해야 한다는 것을 의미합니다. 깊은 검증 및 인증 프로세스를 거친 후에만 액세스가 허용됩니다. 이 접근 방식은 무단 액세스를 제거함으로써 랜섬웨어 및 침입에 대비합니다.
보안 정책을 더욱 강화하기 위해, 사용자에게는 작업을 완료하는 데 특별히 필요한 권한만 부여하고 최소 권한의 원칙에 따라 그들의 업무에 맞게 권한을 부여해야 합니다. 예를 들어, 일반 사용자는 관리자의 자격 증명을 가질 수 없습니다. 민감한 데이터가 포함된 백업 저장소에 접근하기 위한 전용 계정을 만들어야 함을 명심하세요.
-
보안 패치를 설치하고 시스템을 최신 상태로 유지하세요
운영 체제와 애플리케이션에 대한 보안 패치를 즉시 설치하면 공격자가 악용할 수 있는 보안 결함과 취약점을 줄일 수 있습니다. 패치 관리 프로그램을 구현하고 가능한 경우 자동 업데이트를 설정하는 것이 좋습니다.
-
대응 계획 개발
랜섬웨어 공격이 성공한 경우 대비하여 모든 조직에서 대응 계획을 준비해야 합니다. 비즈니스 연속성 및 재해 복구(BCDR) 계획은 랜섬웨어로부터 방어하지는 않지만 다운타임을 줄이고 손실된 데이터를 신속하게 복구하는 데 도움이 됩니다.
침해 사실이 확인된 후 팀이 수행해야 할 일련의 조치를 정의하세요. 이러한 작업에는 다음이 포함될 수 있습니다:
- 네트워크에서 감염된 기기를 분리
- 랜섬웨어와 감염된 파일 삭제
- 백업을 통한 데이터 복구
- 가능한 경우 암호 해독 도구 사용
중요한 점은, 랜섬을 지불하지 말아야 한다는 것입니다! 각 지불은 범죄자들이 추가 공격을 시작하도록 동기를 부여하며, 데이터를 되찾을 수 있는 보장이 없습니다.
-
정기적으로 백업 수행
만약 랜섬웨어 공격이 네트워크에 감염되었다면, 백업을 사용하여 최소한의 손상과 다운타임으로 복구할 수 있습니다. 백업으로부터의 복구가 손상되거나 암호화된 데이터 및 작업 부하를 복원하는 가장 효과적인 방법입니다.
아래는 원활한 복구를 보장하기 위해 따르는 몇 가지 최상의 실천 방법입니다:
- 3-2-1 백업 규칙을 따라 단일 장애 지점을 제거하고 데이터 복구 가능성을 보장합니다.
- 불변 스토리지에 백업 저장하여 랜섬웨어 암호화 및 수정으로부터 보호합니다.
- 네트워크에서 분리된 테이프 및 기타 장치에 공기 간격 백업 사본을 보관합니다.
- 백업 확인을 수행하여 모든 데이터가 복구 가능한지 확인합니다.
- 백업에 액세스하고 관리하기 위해 전용 관리자 계정을 사용합니다.
결론
랜섬웨어는 전 세계 조직에게 가장 위험한 위협 중 하나입니다. 다행히도, 이 블로그 게시물에서 언급된 최상의 실천 방법을 사용하면 감염 위험을 줄이고 데이터 손실을 제한하고 랜섬웨어에 대한 최적의 보호를 제공할 수 있습니다.
네트워크에 감염이 될 경우를 대비하여, 암호화된 데이터를 복원하기 위해 백업에 의존할 수 있습니다. NAKIVO Backup & Replication은 다양한 환경에 포괄적인 랜섬웨어 데이터 보호를 제공합니다. 이 솔루션에는 점진적 백업, 세분화된 복구 및 재해 복구 조율과 같은 다양한 고급 도구가 포함되어 있습니다.
Source:
https://www.nakivo.com/blog/how-to-protect-against-ransomware-attacks/