침해를 경험하셨나요?
|
지원
|
당사에 연락하기
|
+1 855 426 3983
블로그
/
랜섬웨어 격리
Michael Adjei
시스템 엔지니어링 담당 이사, EMEA
Illumio Editorial
5월 5, 2023
23 분 읽기

제로 트러스트 엔드포인트 보안으로 침해 가정하기

“We had security in place, so how did the ransomware get through?” – a poignant question that has often started many boardroom crisis meetings in the aftermath of a major cyber breach. At such a crucial point in time for many businesses, there is a lot at stake – brand reputation, compliance fines, loss of investor confidence, stock price fluctuation, and even ransom payment considerations.

ransomware-attack-encryption

그리고 실제로 이 질문은 전혀 엉뚱하지 않습니다. 엔드포인트 및 경계 보안 솔루션은 비즈니스 네트워크 전반에 걸쳐 어디에나 존재합니다. 그렇다면 의문이 생깁니다: 랜섬웨어가 어떻게 여전히 침투할 수 있으며, 가장 중요한 것은 왜 랜섬웨어가 여전히 빠르게 확산되어 놀라운 속도로 혼란을 야기할 수 있을까요?

In this article, we will examine these questions. We will also rethink the traditional approaches that have dominated the endpoint security story up until now.

스토리: 같은 대본, 다른 배우

많은 경우, 위협 행위자들의 접근 방식은 익숙한 플롯에 섬뜩할 정도로 예측 가능한 결말을 가지고 있으며, 일반적으로 다음과 같은 방식으로 진행됩니다:

  • 최종 사용자의 엔드포인트(자격 증명) 또는 웹 프론트엔드 서버와 같이 쉽게 노출될 수 있는 대상을 타겟팅하세요.
  • 직접 및 간접 프로빙과 소셜 엔지니어링을 조합하여 초기 침해에 대응하세요.
  • 손상된 컴퓨터에서 액세스하고 피벗할 수 있는 다른 항목 알아보기
  • 다른 머신으로 이동할 수 있도록 권한을 에스컬레이션하세요.
  • 고가치 시스템으로 계속 확산한 다음 악의적인 목표를 완료합니다.
  • 헹구고 반복

이 이야기에서는 모든 사람이 표적이 됩니다.

예를 들어 고객에게 중요한 비즈니스 소프트웨어를 제공하기 위해 원격으로 작업하는 계약 개발자가 있다고 가정해 보겠습니다. 이들은 일반적으로 매우 촉박한 마감일에 맞춰 일하기 때문에 마감일 전에 프로젝트를 완료해야 한다는 압박감에 시달리기도 합니다. 이러한 유형의 엔드포인트 사용자는 공급망 공격의 이상적인 후보입니다. 엔드포인트가 손상되면 소스 코드 제어(CI/CD) 파이프라인에 침투하는 데 사용될 수 있기 때문입니다. 타깃 사용자의 또 다른 예로는 회의와 이벤트에 참석하느라 이동이 잦은 영업 및 마케팅 임원을 들 수 있습니다. 또한 보호되지 않은 공용 네트워크에 액세스할 가능성이 높기 때문에 소셜 엔지니어링 및 피싱 공격의 위험에 노출되어 있습니다.

이러한 사용자와 엔드포인트가 침해되면 위협 행위자는 공격을 계속할 수 있는 구심점을 확보할 수 있습니다. 그런 다음 더 높은 권한의 계정에 들어가 다른 시스템으로 이동한 후 데이터베이스 시스템, 문서 관리 시스템 또는 고객 관계 관리 시스템과 같은 중요한 시스템에 접근하려고 시도합니다. 이러한 자산은 조직의 중요한 비즈니스 및 개인 정보를 담고 있는 고가치 자산인 경우가 많습니다.

현 상황 사이버 방어 피로

정교한 코드 인젝션과 회피성이 뛰어난 랜섬웨어 페이로드를 활용하는 파일리스 멀웨어부터 교체가 쉽지 않은 매우 오래되었지만 중요한 비즈니스 코드를 호스팅하는 레거시 시스템에 대한 조직의 의존으로 인해 여전히 유효한 오래된 취약점까지, 위협 행위자들은 다양한 기술을 보유하고 있습니다. 공격자가 유리한 것처럼 보일 때가 있습니다.

방어자들은 점점 더 많은 악의적 기능을 갖춘 위협 행위자들에 직면하고 있기 때문에 그럴 수 있습니다. '방어자는 항상 제대로 해야 하고 공격자는 한 번만 제대로 하면 된다'는 말이 있듯이, 방어자는 항상 제대로 해야 합니다. 이 때문에 수비수들은 대부분의 시간 동안 대부분의 압박에 직면하게 됩니다.

요점을 더 자세히 설명하기보다는 하나의 페이로드에서 방어자가 어떤 상황에 처해 있는지 보여주는 Brute Ratel 페이로드와 관련 MITRE TTP 맵의 예시를 보여드리겠습니다. 그리고 이러한 기능을 가진 멀웨어에는 다양한 변종이 존재합니다.

이미지에서 맨 왼쪽에 있는 작은 점이 Brute Ratel 페이로드입니다. 오른쪽에는 이 단일 페이로드가 시스템을 감염시키고 탐지를 회피하며 악의적인 목적을 수행하기 위해 사용할 수 있는 다양한 전술과 기법이 나와 있습니다.

이는 안티바이러스(AV), 차세대 AV(NGAV), 엔드포인트 보호 플랫폼(EPP), 엔드포인트 탐지 및 대응(EDR) 등 엔드포인트 보안 도구의 놀라운 발전에도 불구하고 침해와 랜섬웨어 사례가 계속 증가하는 이유 중 일부를 설명합니다. 이러한 도구는 시그니처 분석, 애플리케이션/프로세스 제어, 휴리스틱, 행동 분석, 익스플로잇 방지, 샌드박싱 등 훨씬 더 긴 보호 기능 목록과 결합되어 현재 악화된 것으로 보이는 실제 문제를 해결할 것으로 예상됩니다. 지난 몇 년 동안 랜섬웨어가 확산되면서 문제의 심각성이 입증되었습니다.

그렇다면 멀웨어가 여전히 통과할 수 있는 이유는 무엇일까요?

여기에는 여러 가지 이유가 있을 수 있습니다. 기존의 탐지 우선 기반 보안 시스템에서는 위협을 완전히 놓치는 경우도 있었습니다. 이는 제로데이 취약점이나 고도의 회피 기술 때문일 수 있습니다. 또한 필요한 보안 모듈이 제대로 구성되지 않았거나 예산 제약 또는 오탐으로 인해 일상적인 비즈니스 사용 사례를 차단하는 오탐으로 인해 올바른 모듈이 전혀 구현되지 않았을 수도 있습니다.

최종 사용자 및 공급업체 측 취약점의 위협, 최신 네트워크(하이브리드 환경)의 복잡성 증가 등 거의 끝이 없는 공격 기능 목록을 배경으로 무언가 잘못될 수밖에 없는 상황입니다. 그리고 이것이 보통 그렇게 되는 이유입니다.

사이버 복원력: 제로 트러스트 엔드포인트 보안

그렇다면 다음은 무엇일까요? 협력적 보안 패러다임으로 전환하세요! 이는 기존의 탐지 엔드포인트 보안과 최신 제로 트러스트 엔드포인트 보안 접근 방식을 결합한 것입니다.

It is a new security paradigm based on proactive security and Zero Trust principles working alongside existing security tools without the need for any network and systems changes. This capability uses multi-platform endpoint data which is centrally analyzed by an intelligent and scalable central brain.

endpoint-visibility-illumio

몇 분 만에 완료되는 무중단 배포로 시작됩니다. 그런 다음 일반적으로 모니터링하는 남북 통신 외에도 동서 통신에 대한 인사이트를 제공합니다. 이는 조직이 다양한 운영 체제, 플랫폼 및 위치에서 동시에 커뮤니케이션을 보고 추적할 수 있어야 하기 때문에 반드시 필요한 기능입니다. 그리고 이 모든 것이 추가적인 시스템이나 네트워크 변경 없이 가능합니다. 여기에는 퍼블릭 클라우드 자산을 포함한 모든 다양한 엔드포인트와 서버 워크로드가 지정된 위치 이름에 따라 논리적으로(네트워크 변경 없이) 그룹화된 예가 나와 있습니다.

endpoint-server-workloads-location

Since endpoints do not exist in a vacuum, they communicate with many different systems. They may even try to communicate with other endpoints, although in some cases this communication is not actually required or desirable due to a high risk of lateral movement. This makes having visibility into endpoint communication a very important capability.

endpoint-visibility-communication

엔드포인트는 서버 및 워크로드와도 통신합니다. 이 중 일부는 데이터 센터에서 조직의 통제 하에 있을 수 있고, 다른 일부는 타사 클라우드 SaaS 서비스일 수 있습니다. 이러한 엔드포인트와 연결되는 서버의 모든 위험을 이해하려면 이러한 커뮤니케이션에 대한 가시성을 확보해야 합니다.

endpoints-servers-connections

Visibility as explained above is a necessary precursor to always-on enforcement which provides containment in the wake of a detection failure by traditional endpoint security and EDR. Enforcement capabilities include identity and domain-based policies to kill off malware call-back communications, process-based rules for nanosegmentation, and communication control with firewall and vulnerability threat-based policies. This approach also means that whether there are Zero Trust policies or deny-list boundaries, security policy is defined and provisioned based on traffic intelligence. This intelligence should be on what systems we have, what they do, and then based of that, how to adequately protect them. Location awareness also improves policy flexibility on and off the corporate network. All this should be uniformly applied across different platforms – Windows, Linux, Mac, Unix, Cloud and Containers.

방어자의 관점에서 이러한 목표를 달성하려면 효과적으로 협업할 수 있는 팀과 도구가 필요합니다. 침해가 발생했다고 가정하는 조직은 탐지보다는 사이버 복원력에 초점을 맞출 가능성이 높습니다. 그들은 탐지만큼이나 격리 전략도 중요하게 생각합니다.

기존 탐지 도구를 보완하는 일루미오 엔드포인트

As part of the Illumio Zero Trust Segmentation Platform, Illumio Endpoint has been designed to complement existing detection security tools while at the same time filling in the biggest gaps in visibility and lateral movement prevention capabilities.

This type of containment approach was recently put to the test by Bishop Fox. Through multiple attack emulations, they found that breaches were detected up to 4 times faster with Illumio Zero Trust Segmentation because attackers had to circumvent these containment methods, creating more noise for detection tools to pick up on.  

Overall, segmentation on endpoints leads to a positive security posture that, in collaboration with existing security investments, makes for a great endpoint story!

Want to learn more about Illumio Endpoint? Contact us today for a free consultation and demo.

관련 주제

엔드포인트 보안
엔드포인트

관련 문서

새로운 FinCEN 랜섬웨어 보고서: 은행은 중대성 위험을 관리해야 합니다
랜섬웨어 격리

새로운 FinCEN 랜섬웨어 보고서: 은행은 중대성 위험을 관리해야 합니다

FinCEN의 최신 랜섬웨어 보고서를 살펴보고 은행이 중대성 위험을 관리하고 유출 및 여파를 방지하기 위해 침해 차단 기능을 사용해야 하는 이유를 알아보세요.

자세히 알아보기
일루미오의 새로운 랜섬웨어 보호 대시보드로 랜섬웨어 위험을 줄이는 3단계
랜섬웨어 격리

일루미오의 새로운 랜섬웨어 보호 대시보드로 랜섬웨어 위험을 줄이는 3단계

Illumio의 랜섬웨어 보호 대시보드와 개선된 사용자 인터페이스(UI)가 랜섬웨어 위험에 대한 핵심 가시성을 제공하는 방법을 알아보세요.

자세히 알아보기
일루미오로 Clop 랜섬웨어 공격을 막는 방법
랜섬웨어 격리

일루미오로 Clop 랜섬웨어 공격을 막는 방법

클롭 랜섬웨어 변종이 어떻게 작동하는지, 조직이 마이크로세그멘테이션을 통해 공격을 차단하는 데 Illumio가 어떻게 도움이 되는지 알아보세요.

자세히 알아보기
일루미오 엔드포인트 구현을 위한 3가지 모범 사례
ILLUMIO 제품

일루미오 엔드포인트 구현을 위한 3가지 모범 사례

일루미오로 엔드포인트를 보호하는 데 필요한 간단하지만 효과적인 세 가지 단계를 확인하세요.

자세히 알아보기
일루미오 엔드포인트 데모: 빠른 엔드포인트 세분화 ROI 확보
ILLUMIO 제품

일루미오 엔드포인트 데모: 빠른 엔드포인트 세분화 ROI 확보

일루미오 엔드포인트 데모를 통해 일루미오를 사용한 엔드포인트 세분화가 어떻게 빠른 ROI를 제공하는지 알아보세요.

자세히 알아보기
해커가 엔드포인트를 좋아하는 이유와 Illumio 엔드포인트로 확산을 막는 방법
ILLUMIO 제품

해커가 엔드포인트를 좋아하는 이유와 Illumio 엔드포인트로 확산을 막는 방법

기존의 보안은 엔드포인트를 해커에게 활짝 열어두었습니다. 일루미오 엔드포인트로 침해에 선제적으로 대비하는 방법을 알아보세요.

자세히 알아보기

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

자세히 알아보기