랜섬웨어 감소 101: 엔드포인트 간 측면 이동

최악의 시기에는 랜섬웨어가 그 어느 때보다 큰 위협으로 떠오르고 있습니다. IT 운영을 문서 자료와 서류로 되돌리고 우리가 감당할 수 없을 때 비즈니스를 중단시킵니다.팬데믹이 한창인 가운데 우리는 계속해서 증가하고 있습니다. 헬스케어 랜섬웨어.원격으로 학습하는 자녀가 있는 우리에게는 새로운 눈의 날로서의 랜섬웨어.

성공적인 랜섬웨어 공격이 여전히 많은 이유는 무엇일까요?

래터럴 무브먼트란 무엇인가?

측면 이동은 침입자나 공격이 경계를 뚫고 주변 환경을 가로질러 다른 시스템으로 이동하는 것을 말합니다. 그 결과 크기가 훨씬 크고 비용이 많이 듭니다. 데이터 침해.이는 엔드포인트 또는 손상된 데이터 센터 워크로드에서 시작되어 수만 대의 최종 사용자 컴퓨터를 다운시키거나 가장 중요한 데이터 센터 자산을 전략적으로 목표로 삼을 수도 있습니다.

마이터의 ATT&CK 프레임워크 “공격자가 사용자 환경을 뚫고 이동하려고 합니다.” 라고 분명하게 설명합니다.즉, 위협이 거점을 확보하는 것을 막는 것뿐만 아니라 이 공격자를 막는 데에도 초점을 맞춰야 한다는 뜻입니다. 측면 이동.MITRE ATT&CK는 방어 팀의 핵심 기술로 측면 이동을 방어 전략의 핵심 기술로 꼽았습니다.

엔드포인트 간의 측면 이동을 사용하여 멀웨어가 성공적으로 전파되는 이유는 무엇일까요?왜 이런 일이 발생하는지 이해하려면 먼저 기존 방식이 얼마나 전통적인지 살펴봐야 합니다. 애플리케이션 보안 데이터 센터 보호에 효과가 있지만 항상 엔드포인트는 아닙니다.

데이터센터의 측면 이동

데이터 센터 보안은 엔드포인트에서 서버로의 클라이언트-서버 통신에 중점을 둡니다.오늘날 대부분의 브라우저 기반 비즈니스 애플리케이션에서 사용자가 브라우저 창에 애플리케이션 URL을 입력하면 브라우저가 데이터 센터 또는 퍼블릭 클라우드에서 실행되는 웹 서버에 대한 연결을 엽니다.최종 사용자 컴퓨터는 80 및 443과 같은 표준 포트를 통해 이러한 프런트 엔드 서버와 통신합니다.회사 경계의 웹 서버는 방화벽, IPS, 탐지 및 대응, 기타 데이터 센터 보안 기술로 보호됩니다.프런트 엔드 서버는 모두 데이터 센터 또는 클라우드 환경 내에 있는 비즈니스 로직, 데이터베이스 및 기타 유형의 서버에 연결됩니다.

이때 측면 이동으로 인해 손상이 발생할 수 있습니다.외부 대상 서버 또는 워크로드가 취약성으로 인해 손상되면 공격자는 손상된 워크로드에서 데이터베이스 서버와 같이 중요한 데이터가 있는 위치로 측면으로 이동할 수 있습니다.마이크로 세그멘테이션이 없는 플랫 네트워크에서는 이것이 전혀 어렵지 않습니다.

효과적으로 분할 이러한 모든 “내부” 서버는 외부 위협으로부터 보호됩니다.마이크로 세분화는 공격자 또는 위협의 확산을 방지하거나옆으로 이동데이터센터, 클라우드 또는 캠퍼스 네트워크에서는 '동서' 또는 '동서'를 말합니다.위협은 설정된 네트워크 세그먼트나 호스트 세그먼트에 격리되므로 공격자는 환경의 다른 부분으로 이동할 수 없습니다.이렇게 하면 보안 침해의 규모와 영향을 제한하여 조직을 침해로부터 더 잘 보호할 수 있습니다.

엔드포인트에서 엔드포인트로의 측면 이동

이 정도면 랜섬웨어를 차단하기에 충분하지 않은 이유는 무엇인가요?답은 랜섬웨어가 전파되기 위해 서버와 통신할 필요가 없다는 것입니다.몇 초 만에 엔드포인트에서 엔드포인트로 수만 대의 머신으로 확산될 수 있습니다.

랜섬웨어 일반적으로 엔드포인트에서 시작하여 RDP, SMB, SIP, Skype 등을 통해 다른 엔드포인트로 직접 확산됩니다. 엔드포인트 간 P2P (Peer-to-Peer) 애플리케이션은 엔드포인트와 서버 간의 통신을 포함하지 않는 이러한 측면 이동 또는 동서 연결을 생성합니다.대부분의 최신 엔터프라이즈 애플리케이션은 아웃바운드 연결 (엔드포인트가 서버와의 연결을 시작하는 엔드포인트) 에만 의존하지만 P2P 기술은 인접 엔드포인트의 인바운드 연결을 활용합니다.이러한 엔드포인트는 서버나 데이터 센터를 통해 트래픽을 제한하지 않고 통신합니다. 즉, 엔드포인트는 엔드포인트 자체에 존재하는 보안에 의존합니다.

엔드포인트 간 측면 이동 방지

엔드포인트 간의 측면 이동을 보장하는 데 있어 어떤 문제가 있습니까?

가시성 - 예를 들어 동일한 서브넷에 있는 엔드포인트 간의 측면 연결은 방화벽과 게이트웨이에 보이지 않으므로 이러한 보안 장치는 관련 위협을 탐지하고 방지하는 데 전혀 효과가 없습니다.이는 또한 원격으로 근무하는 직원의 경우 집에서 어떤 일이 벌어지고 있는지 전혀 파악할 수 없다는 의미이기도 합니다.

어때요? 엔드포인트 보안?탐지 및 대응은 가능하지만 엔드포인트에서 실행되는 EDR 및 EPP 도구는 위협에 반응합니다.즉, 작동만 한다는 뜻입니다. 후 침해는 처음부터 확산을 막기보다는 발생합니다.

엔드포인트를 위한 제로 트러스트

보안 침해 확산을 방지하기 위한 모범 사례는 다음을 채택하는 것입니다. 제로 트러스트 보안 정책.즉, 엔드포인트 간에 실행되도록 승인된 서비스를 의무적으로 허용하고 합법적인 비즈니스 목적으로만 액세스할 수 있는 권한을 부여해야 합니다.

새 직장에서 인터넷을 사용하지 않고 노트북에 Skype와 같은 P2P 앱을 다운로드하여 설치하려고 시도했다가 IT 부서에서 불쾌한 소식을 들은 적이 있다면 어떻게 작동하는지 이해할 것입니다.모든 사용자의 보호를 위해 사용자는 회사에서 승인한 리소스에만 액세스해야 합니다.

보안 위협이 진화하고 정부가 후원하는 해커들이 점점 더 정교해짐에 따라 보안 솔루션은 계속해서 관련성을 유지해야 합니다.제로 트러스트 솔루션은 1차 원칙에 기반한 보안 적용 범위와 낮은 오탐률을 제공하여 여러 시스템을 사전에 보호할 수 있습니다.Illumio Edge와 같은 소프트웨어 도구는 확장 가능한 호스트 기반 방화벽 관리를 선도하며 전례 없는 보안 보호 및 악의적인 측면 이동에 대한 방어 기능을 제공합니다.

웹사이트에서 Illumio Edge에 대해 자세히 알아보십시오. 또는 12월 21일에 등록하세요^st 웹 세미나 오늘.