일루미오가 하이브리드 멀티 클라우드 환경에서 랜섬웨어의 횡방향 이동을 차단하는 방법

2019년 3월, 세계 최대 알루미늄 제조업체 중 하나인 Norsk Hydro의 화요일 아침은 랜섬웨어로 인해 시스템이 정지되기 전까지 여느 때와 다름없이 시작되었습니다.

공격자들은 하룻밤 사이에 회사의 글로벌 네트워크에 있는 수천 대의 서버와 PC를 암호화했습니다. 이로 인해 여러 국가의 공장은 디지털 시스템을 중단하고 수동 작업으로 전환해야 했고, IT 팀은 피해를 최소화하고 재구축하기 위해 고군분투했습니다.

랜섬웨어가 경계를 벗어나면 전 세계적으로 빠르게 운영을 중단시킬 수 있다는 점을 극명하게 보여준 사례입니다.

안타깝게도 이러한 사례는 예외가 아닌 규칙이 되어가고 있습니다.

오늘날의 복잡한 하이브리드 멀티 클라우드 환경에서는 랜섬웨어가 빠르게 침투하고 확산됩니다. 그렇기 때문에 측면 이동은 이제 사이버 공격에서 가장 위험한 단계입니다.  

이것이 바로 조직에 예방 이상의 것이 필요한 이유입니다. 침해 차단, 공격 경로 가시성, 랜섬웨어를 실시간으로 차단할 수 있는 방법이 필요합니다.

이 게시물에서는 Illumio가 어떻게 숨겨진 공격 경로에 빛을 비추고 침해를 차단하여 랜섬웨어가 하이브리드 멀티 클라우드를 중단시키기 전에 측면 확산을 막는지 살펴봅니다.

랜섬웨어의 핵심 문제: 측면 이동

최신 랜섬웨어는 하이브리드 IT의 측면 이동을 악용하여 성공합니다.  

공격자는 한 대의 컴퓨터를 침입한 후 그곳에 머무르지 않습니다. 이들은 클라우드 워크로드, 가상 머신, 엔드포인트 전반에서 활동하며 가치가 높은 표적을 찾아 피해를 증폭시킵니다.

이러한 움직임은 네트워크 내부에서 동서방향으로 발생하며, 경계 방어에 초점을 맞춘 기존 보안 도구에서는 보이지 않는 경우가 많습니다.  

이것이 바로 하이브리드 환경에서의 랜섬웨어가 위험한 이유입니다. 공격자는 일단 내부에 들어가면 거의 탐지되지 않고 활동할 수 있습니다.

하이브리드 인프라는 이 문제를 더욱 복잡하게 만듭니다. 이제 애플리케이션은 온프레미스 데이터 센터, 퍼블릭 클라우드, 컨테이너 클러스터 및 SaaS 통합에 걸쳐 있습니다.  

워크로드는 끊임없이 변화합니다. 트래픽 흐름은 역동적이고 일시적입니다. 기존의 예방 및 탐지 도구는 이러한 수준의 복잡성에 적합하게 설계되지 않았습니다.

랜섬웨어 확산을 방지하려면 조직은 탐지 및 대응 방식을 재고해야 합니다. 세분화된 가시성은 하이브리드 IT 랜섬웨어 예방의 기본입니다.

탐지만으로는 랜섬웨어 공격을 막을 수 없는 이유

보안팀은 이미 피해가 시작된 후에 경고를 보내는 탐지 도구에 의존하는 경우가 너무 많습니다.  

기존 시스템이 이상 징후를 감지했을 때는 이미 랜섬웨어가 시스템을 암호화하거나 백업을 삭제했거나 관리자 자격 증명을 제어하고 있을 수 있습니다.

여기서 핵심 지표는 속도입니다. 랜섬웨어 차단을 위해서는 평균 탐지 시간(MTTD)과 평균 대응 시간(MTTR)이 매우 중요합니다. 그러나 여전히 많은 SOC 팀은 공격자가 환경을 어떻게 이동했는지 파악하는 데 몇 시간 또는 며칠이 걸립니다.

이러한 지연으로 인해 고립된 사고가 비즈니스 전반의 위기로 번질 수 있습니다.

대신 조직에 필요한 것은 이를 가능하게 하는 플랫폼입니다:

• 공격에 악용되기 전에 가능한 모든 공격 경로를 확인하세요. ‍
• 클라우드 및 데이터 센터 워크로드 전반에서 악의적인 움직임을 실시간으로 탐지하세요. ‍
• 손상된 시스템을 격리하고 추가 확산을 방지하기 위해 즉시 조치를 취하세요.

랜섬웨어가 확산되기 전에 차단하는 Illumio

오늘날의 하이브리드 멀티 클라우드 환경에서는 더 많은 알림만으로는 랜섬웨어를 차단할 수 없습니다. 공격자가 어디로 이동하는지 실시간으로 파악하고 확산을 막을 수 있어야 합니다.

일루미오가 바로 그런 서비스를 제공합니다. 일루미오 플랫폼은 클라우드 탐지 및 대응(CDR)을 위한 일루미오 인사이트와 실시간 침해 차단 및 측면 이동 보호를 위한 일루미오 세분화를 결합합니다.

이러한 솔루션을 함께 사용하면 보안 팀이 랜섬웨어 동작을 조기에 탐지하고, 위험한 워크로드를 즉시 격리하며, 향후 확산을 차단하는 세분화 정책을 시행할 수 있는 가시성, 제어 및 민첩성을 확보할 수 있습니다.

기존 도구는 정적 규칙이나 사후 로그에 의존하는 반면, Illumio는 동적인 하이브리드 환경 전반에서 침해를 차단하기 위해 특별히 설계되었습니다. 워크로드와 애플리케이션이 실제로 통신하는 방식을 감시하여 클라우드, 데이터 센터, 엔드포인트, 컨테이너 전반의 횡방향 트래픽에 대한 실시간 가시성을 제공합니다.

Illumio Insights

일루미오 인사이트는 랜섬웨어 방어에 새로운 차원의 가시성을 제공합니다.  

알려진 위협을 스캔하는 대신 랜섬웨어가 한 워크로드에서 다음 워크로드, 클라우드와 온프레미스 환경 사이, 가장 중요한 시스템으로 어떻게 이동할 수 있는지 모델링합니다.

AI 보안 그래프를 활용한 AI 기반 분석은 공격자가 악용할 수 있는 고위험 경로를 찾아냅니다. 그런 다음, 이러한 격차를 해소하기 위한 세분화 정책을 자동으로 추천하며, 이 정책은 Illumio 세분화를 통해 즉시 시행할 수 있습니다.

인사이트 에이전트 기능은 또한 보안 운영 센터(SOC) 분석가, CISO, 인프라 엔지니어 및 애플리케이션 소유자에게 맞춤화된 역할별 대시보드를 제공합니다. 즉, 각 팀은 가장 관련성이 높은 위험을 파악하고 대응 방법을 정확히 알고 있습니다.

Illumio Segmentation

일루미오 세분화는 이러한 인사이트를 실행으로 옮깁니다.  

몇 번의 클릭만으로 네트워크를 재설계하거나 복잡한 방화벽 규칙을 작성하지 않고도 손상된 워크로드를 격리하고, 최소 권한 액세스를 적용하고, 랜섬웨어가 다른 시스템으로 이동하는 것을 방지할 수 있습니다.

세분화는 워크로드 수준에서 작동하기 때문에 퍼블릭 클라우드, 프라이빗 데이터센터, 하이브리드 인프라 및 컨테이너에서 원활하게 작동합니다.  

가상 로컬 영역 네트워크(VLAN)나 엄격한 조닝에 의존하지 않습니다. 환경 변화에 따라 실시간으로 적응하여 비즈니스 속도에 맞는 확장 가능한 랜섬웨어 세분화 솔루션을 제공합니다.

일루미오가 랜섬웨어의 측면 이동을 방지하는 4가지 방법

Illumio는 엔드투엔드 가시성과 제어 기능을 제공하여 하이브리드 IT에서 랜섬웨어가 확산되는 것을 방지합니다:

1. 발생하기 전에 시각화하기

대부분의 도구는 랜섬웨어가 수행한 작업을 알려줍니다. 일루미오가 움직이기 전에 무엇을 할 수 있는지 보여줍니다.

일루미오 인사이트는 환경의 실시간 트래픽 패턴과 관계를 매핑하여 침해의 잠재적 폭발 반경을 파악합니다. 이를 통해 보안팀은 노출된 경로와 유해한 조합을 선제적으로 식별하여 공격자가 이를 악용하기 전에 이를 세분화할 수 있습니다.

2. 측면 움직임이 발생하면 감지

랜섬웨어는 빠르게 확산됩니다. Illumio는 이를 더 빠르게 감지합니다.

인사이트는 위협이 아직 알려진 시그니처를 트리거하지 않았더라도 워크로드 전반의 행동 변화를 지속적으로 모니터링하여 의심스러운 피벗과 동서 트래픽 이상 징후를 표시합니다.  

랜섬웨어가 피해를 입은 후뿐만 아니라 움직이는 랜섬웨어를 포착하는 데 필요한 가시성입니다.

3. 감염된 워크로드를 즉시 격리합니다.

위협이 감지되면 Illumio Segmentation을 통해 즉시 대응할 수 있습니다.

전체 환경을 중단하거나 느린 수동 개입에 의존하는 대신 원클릭 정책 적용을 통해 감염된 시스템을 외과적으로 격리할 수 있습니다. 이렇게 하면 폭발 반경이 제한되고 영향을 받지 않는 서비스의 가동 시간이 유지됩니다.

4. 탄력적인 세분화 전략 구축

Illumio는 지속적으로 트래픽을 분석하고 노출을 줄이는 새로운 정책을 추천하여 시간이 지남에 따라 제로 트러스트 아키텍처를 발전시킬 수 있도록 지원합니다.

이를 통해 전체 하이브리드 및 멀티 클라우드 인프라에서 랜섬웨어 차단 전략이 최신 상태로 유지되고, 적응력이 뛰어나며, 시행 가능하도록 보장합니다.

Illumio가 기존 랜섬웨어 보호 도구를 능가하는 이유

방화벽, 엔드포인트 탐지 또는 기존 네트워크 세분화와 같은 많은 레거시 보안 솔루션은 여전히 오래된 가정에 따라 작동합니다. 공격자를 차단할 수 있고, 환경이 변하지 않으며, 알림이 사용자를 보호할 수 있다고 가정합니다.

실제로 랜섬웨어는 조용히 침입하여 측면으로 확산되며, 종종 사람들이 알아차리기 훨씬 전에 퍼집니다.

방화벽 기반 도구는 여전히 네트워크에 들어오고 나가는 트래픽인 남북 트래픽에 초점을 맞추고 있습니다.  

하이브리드 인프라 내부의 동서 이동을 추적하거나 차단하는 데 어려움을 겪습니다. 대부분 집중적인 수동 구성, 정적 범위 정의, 사전 정의된 영역이 필요하며, 이 중 어느 것도 동적인 클라우드 워크로드를 따라잡지 못합니다.

그리고 언제 응답해야 할까요? 사용자 지정 규칙을 작성하거나 랜섬웨어가 확산된 후 몇 시간이 걸릴 수 있는 변경 사항을 기다릴 수밖에 없습니다.

이와는 대조적으로 Illumio는 기존 도구가 놓치고 있는 부분을 파악합니다.  

워크로드 간의 실시간 커뮤니케이션에 대한 즉각적인 가시성을 제공합니다. 랜섬웨어가 가장 가능성이 높은 경로를 표시합니다. 또한 측면 이동이 시작되기 몇 분 전에 이러한 경로를 차단할 수 있습니다.

공격이 확산될 때까지 기다렸다가 조치를 취하지 마세요.

랜섬웨어는 피해를 입히는 데 몇 주가 걸리지 않습니다. 몇 분이면 충분합니다.

백신에 경고등이 켜지거나 로그에 플래그가 트리거될 때쯤이면 공격자는 이미 측면으로 이동하여 민감한 시스템에 액세스하고 주요 워크로드를 암호화했을 수 있습니다.

일루미오를 사용하면 이러한 변화에 앞서나갈 수 있습니다.

랜섬웨어 확산을 방지하고, 침해를 신속하게 차단하며, 하이브리드 환경을 내부로부터 보호할 수 있도록 도와줍니다.

현재 도구로 랜섬웨어의 측면 이동을 막을 수 없다면 접근 방식을 재고해야 할 때입니다.

일루미오 인사이트 무료 체험 를 통해 몇 분 만에 탐지에서 봉쇄로 전환하는 방법을 알아보세요.