Conti 랜섬웨어 방어: CISA가 마이크로세그멘테이션을 긴급히 권장하는 이유

2021년 사이버 보안 및 인프라 보안국 (CISA) 과 연방 수사국 (FBI) 은 공동 사이버 보안을 발표했습니다. 자문 2020년 시작된 이래로 미국 및 국제 조직에 대한 400건 이상의 공격의 배후에 있었던 것으로 알려진 서비스형 랜섬웨어 (RaaS) 모델 변종인 Conti 랜섬웨어 공격의 지속적인 물결을 둘러싸고 있습니다.

Conti는 현재 진행 중인 랜섬웨어 재앙의 최신작에 불과합니다.1주년이 가까워지면서 태양풍 침해, 랜섬웨어 공격은 명실상부한 규모로 계속 진화하고 만연하고 있습니다.

이제 조직은 그 어느 때보다 사이버 복원력을 강화하는 데 필요한 조치를 취하는 것이 필수적입니다. 이는 조직의 비즈니스뿐만 아니라 고객과 공급망도 지속적인 공격으로부터 보호하고 방어하기 위한 것입니다. 랜섬웨어 공격.

Conti 랜섬웨어는 무엇인가요?

에 따르면 공동 자문 CISA와 FBI는 “일반적인 Conti 랜섬웨어 공격에서 악의적인 사이버 공격자는 파일을 훔치고 서버와 워크스테이션을 암호화하고 몸값 지불을 요구합니다.”

권고는 또한 Conti 개발자가 랜섬웨어 배포자에게 성공적인 공격으로 인한 수익금의 일정 비율이 아닌 임금을 지불하는 경우가 많다고 언급했습니다.배포자는 해당 공격이 얼마나 “성공”했는지와 상관없이 보상을 받기 때문에 이번 발견으로 모델 자체가 더욱 놀라움을 자아냅니다.

이달 초, 실리콘앵글 보고되었습니다 콘티는 “5월 아일랜드 의료 서비스를 겨냥한 공격을 포함하여 다양한 공격과 관련이 있습니다... 이전 콘티 피해자로는 11월의 산업용 컴퓨터 제조업체 어드밴텍, 12월의 VOIP 하드웨어 및 소프트웨어 제조업체인 상고마 테크놀로지스, 2월의 플로리다와 텍사스의 병원이 있습니다.”

SiliconAngle은 또한 콘티 (Conti) 가 지난 5월 FBI의 경고 대상이었다고 언급했습니다. 이 경고는 갱단과 그 계열사들이 특히 Covid-19 팬데믹이 계속되는 상황에서 매우 중요한 부문인 의료 서비스 제공자를 표적으로 삼고 있다는 내용이었습니다.

콘티에 대한 보호

Conti 랜섬웨어로부터 시스템을 보호하기 위해 CISA와 FBI는 다음 예방 조치를 권장합니다. 제로 트러스트 과 분할 그 중 가장 중요한 원칙은 다음과 같습니다.

• 다단계 인증 사용 외부 소스에서 원격으로 네트워크에 액세스할 수 있습니다.
• 네트워크 세분화를 구현하고 트래픽을 필터링합니다. 네트워크와 기능 간의 강력한 네트워크 분할을 구현하고 보장하여 랜섬웨어의 확산을 줄입니다.네트워크 트래픽을 필터링하여 알려진 악성 IP 주소와의 수신 및 송신 통신을 금지합니다.강력한 스팸 필터를 활성화하여 피싱 이메일이 최종 사용자에게 도달하지 못하도록 방지하세요.
  
  조직은 또한 사용자가 악성 웹 사이트를 방문하거나 악의적인 첨부 파일을 열지 못하도록 사용자 교육 프로그램을 구현하는 것을 고려해야 합니다.IT 팀은 URL 차단 목록 및/또는 URL을 구현해야 합니다. 허용 목록 사용자가 악성 웹 사이트에 액세스하지 못하도록 하기 위해 고급 기술 툴킷을 사용하면 이를 자동화할 수 있습니다.
• 취약점을 검사하고 소프트웨어를 최신 상태로 유지합니다. 최신 서명을 사용하여 네트워크 자산을 정기적으로 검사하도록 안티바이러스 및 맬웨어 방지 프로그램을 설정합니다.또한 조직은 네트워크 자산의 소프트웨어와 운영 체제, 애플리케이션 및 펌웨어를 적시에 업그레이드하고 있는지 확인해야 합니다.
• 불필요한 응용 프로그램을 제거하고 제어를 적용합니다. 일상적인 작업에 필요하지 않은 것으로 간주되는 애플리케이션은 모두 제거합니다.승인되지 않은 소프트웨어가 있는지 조사하세요.
• 엔드포인트 및 탐지 대응 도구를 구현합니다. 엔드포인트 및 탐지 대응 도구는 특정 사이버 보안 환경에 대한 SecOps 팀의 가시성을 향상시키는 것으로 알려져 있습니다. 즉, 악의적인 사이버 공격자와 잠재적 위협을 조기에 식별하고 더 효과적으로 완화할 수 있습니다.
• 보안 사용자 계정. 관리자 계정을 정기적으로 감사하고 최소 권한 (제로 트러스트) 및 업무 분리 원칙에 따라 액세스 제어를 구성합니다.또한 조직은 정기적으로 로그를 감사하여 새 계정이 합법적인 사용자인지 확인해야 합니다.

더 많은 RaaS 모델과 랜섬웨어 변종이 밝혀짐에 따라 조직은 잠재적인 위협 벡터 또는 취약성을 조기에 식별하고 최소화하는 것이 필수적입니다.위에서 설명한 권장 사항 중 오늘날 조직이 실천해야 하는 중요한 모범 사례 중 하나는 세그멘테이션입니다.

Illumio 제로 트러스트 세그멘테이션이 도움을 줄 수 있는 방법

일루미오 랜섬웨어 중지 기존 네트워크 세그멘테이션과는 달리 다음과 같은 이점을 제공하여 조직과 함께 발전합니다.

• 간단하고 빠른 세분화. Illumio를 사용하면 자동 정책 생성을 사용하여 애플리케이션, 사용자 및 특정 자산을 몇 분 만에 분류할 수 있습니다.
  
  Conti의 경우 랜섬웨어가 서버 메시지 블록을 악용했습니다 (중소 기업) 및 원격 데스크톱 프로토콜 (RDP) 를 사용하여 옆으로 이동합니다.와일루미오 코어, 꼭 필요한 경우를 제외하고 부동산 전체에서 이러한 두 프로토콜을 모두 차단하는 간단한 정책을 작성하여 위험 노출을 신속하고 효과적으로 줄일 수 있습니다.
• 동적 환경에 따라 확장되는 정책. Illumio는 기존 인프라를 사용하여 정책을 적용하므로 네트워크가 발전함에 따라 네트워크도 함께 확장됩니다.
• 호스트 레벨에서의 세그멘테이션 기존 호스트 기반 방화벽을 사용하면 인프라를 건드리거나 케이블을 이동할 필요 없이 단일 클라우드 인스턴스에서 모든 세그멘테이션 정책을 관리할 수 있습니다.

Illumio가 성공적인 보안 침해 범위를 제한하여 위험을 크게 줄일 수 있는 방법에 대해 자세히 알아보십시오. 백서를 읽고, 랜섬웨어가 사이버 재해가 되지 않도록 방지하는 방법블로그 게시물을 확인해 보세요.Illumio를 사용하여 랜섬웨어와 싸워야 하는 9가지 이유.

Conti 랜섬웨어 갱단에 대한 추가 정보는 공식 사이트를 참조하십시오. 자문페이지.