Illumio로 락비트 랜섬웨어 공격을 억제하는 방법

더 랜섬웨어 위험 많은 조직에서 가장 중요하게 생각하는 부분입니다.

새로운 공격이 끊임없이 헤드라인을 장식하고 있기 때문에 피하는 것은 불가능합니다.이 시점에서 대부분의 조직은 언젠가는 보안 침해가 발생할 것이라는 가정 하에 운영됩니다.사이버 재해를 방지하는 가장 좋은 방법은 이에 대한 계획을 세우고 그에 따라 조직을 보호하는 것입니다.

Illumio는 조직이 동서 측면 확산을 막아 사이버 재해를 예방할 수 있도록 지원합니다.Illumio를 사용하면 이러한 침해가 발생하면 신속하게 차단할 수 있습니다.Illumio는 하이재킹한 첫 번째 워크로드 이후에도 공격이 진행되지 못하게 하여 귀중한 데이터 손실을 방지합니다.

오늘은 LockBit의 실제 사용 사례를 통해 다음을 설명하겠습니다.

• 락빗이란 무엇입니까?
• 현실 세계에서는 어떤 모습일까요?
• Illumio를 사용하여 이 문제를 단계별로 해결할 수 있는 방법

보안 침해는 무섭지만 Illumio가 대비하는 데 도움을 줄 수 있습니다.

자세히 알아보기 일루미오 제로 트러스트 세그멘테이션.

락빗이란 무엇입니까?

락비트 는 2019년부터 서비스형 랜섬웨어를 운영하며 화제가 되고 있는 그룹입니다.일반적으로 ABCD 랜섬웨어로 알려져 있지만, LockBit은 이제 주요 위협으로 성장하여 다음과 같은 이유로 큰 위협으로 성장했습니다. 2022년에 알려진 공격의 48%.

LockBit은 이메일 첨부 파일과 연쇄적인 파일 시스템 감염을 통해 조직을 표적으로 삼는 악성 소프트웨어입니다.기업과 개인에게 초점을 맞추는 다른 유형의 랜섬웨어와 달리 LockBit은 주로 기업과 정부 기관에 영향을 미칩니다.

일단 감염되면 락비트는 SMB 및 PowerShell을 통해 네트워크의 다른 장치를 통해 확산됩니다.이러한 공격의 초점은 윈도우와 리눅스 디바이스에 있습니다.

이 조직의 실제 사례를 살펴보겠습니다.

실제 사례: Lockbit 랜섬웨어 공격

이는 전 세계 기업과 기관에 영향을 미치고 있습니다.최근 여름, 15만 명 이상의 직원을 고용하고 있는 대규모 다국적 기업이 랜섬웨어에 시달렸습니다.LockBit은 이 공격에 책임이 있으며 데이터를 훔칠 수 있었다고 주장했습니다.

조직은 IT 시스템에 대한 제어를 유지할 수 있었고 IT 시스템의 완전한 무결성을 복원하기 위한 방어 조치를 취했습니다.그들은 제3자와 협력하여 사건을 조사하기 시작했습니다.늦가을 현재, 그들은 여전히 이 문제를 조사하고 있었습니다.

이러한 상황이 발생하면 해결하는 데 엄청난 비용과 시간이 소요될 수 있습니다.3개월이 지난 후에도 조사는 계속 진행되었습니다.이는 모든 유형의 공격에 시달리는 조직에서 흔히 볼 수 있는 현실입니다.

Illumio는 조직이 이러한 상황에 신속하게 대응하여 불가피한 침해로 인한 영향을 제한할 수 있도록 지원합니다.이를 통해 비용이 많이 드는 조사에 소요되는 시간과 비용을 절약할 수 있습니다.

Illumio를 사용하여 이 랜섬웨어 시나리오에 접근하는 방법

가시성이 핵심

락비트가 저희 윈도우 10 시스템 중 하나에 들어갔을 수도 있다는 경고를 받았습니다.이 상황에서 가장 중요한 첫 번째 단계는 영향을 받을 수 있는 잠재적 장치의 수를 파악하는 것입니다.

사용 일루미오의 일루미네이션 플러스, OS (운영 체제) 를 기반으로 트래픽을 그룹화할 수 있습니다.

이를 통해 OS별로 내 디바이스를 명확하게 볼 수 있습니다.Windows 10 디바이스와 조직 전체의 다른 디바이스 간에 활성 트래픽이 있는지 확인할 수 있어 정보에 입각한 다음 조치를 결정할 수 있습니다.한 가지 중요한 점은 이 트래픽을 실시간으로 볼 수 있기 때문에 기다리거나 이전 버전인지 걱정할 필요가 없다는 것입니다.조직 내의 최신 정보에 액세스할 수 있다는 것을 알고 있습니다.

이제 Windows 10 디바이스와 조직 전체의 다른 디바이스 간에 트래픽이 발생하고 있으므로 이러한 디바이스 간의 트래픽을 차단하기 위한 계획을 신속하게 수립해야 합니다.LockBit은 일반적으로 SMB와 PowerShell을 사용하여 네트워크 전체를 이동한다는 것을 알고 있으므로 몇 가지 위협 분석부터 시작하겠습니다.

다음으로, 영향을 받는 장치를 격리하고 필요하지 않다고 생각되는 곳이면 어디에서든 SMB 및 PowerShell을 종료하겠습니다.

거부 규칙을 신속하게 구축하여 확산을 방지합니다.

이렇게 하려면 Illumio 내에서 거부 규칙을 만들어야 합니다.제품에서는 이러한 내용을 다음과 같이 부릅니다. 집행 경계.먼저 블록 SMB 및 PowerShell과 같은 이름으로 새 규칙을 생성하겠습니다.

저장을 클릭하면 Illumio가 즉시 새 규칙으로 인해 차단될 수 있는 모든 연결을 볼 수 있는 페이지로 안내합니다.규칙을 적용하기 전에 영향을 받는 부분을 확인하고 어떤 영향을 받을 수 있는지 파악할 수 있는 좋은 방법입니다.

어떤 트래픽이 영향을 받을지 검토한 후 프로비전을 클릭하여 새 정책을 적용합니다.예를 들어 Windows 워크스테이션이 SMB를 통해 지정된 파일 서버에 계속 액세스하도록 허용하는 등 이 트래픽을 계속 유지해야 하는 경우 허용 규칙을 사용하여 예외를 적용할 수 있습니다.

지금 보호

Illumio는 버튼 클릭 한 번으로 영향을 받는 모든 워크로드에 변경 사항을 즉시 적용합니다.이를 통해 비즈니스에 중요한 상황에서 조직을 신속하게 보호할 수 있습니다.

영향을 받은 디바이스를 격리하고 나머지 네트워크와의 통신을 제한하는 규칙을 마련했기 때문에 추가 확산 위험을 제거했습니다.이제 격리된 장치를 검토하는 작업을 시작할 수 있습니다.

더 읽어보기 비숍 폭스 보고서 이는 Illumio가 엔드포인트 탐지 및 대응 (EDR) 솔루션에 비해 10분 이내에 랜섬웨어를 차단한다는 것을 증명합니다.

Illumio로 확산되는 랜섬웨어에 미리 대비하세요

Illumio와 같은 솔루션을 사용하면 조직에서 장치 간 원치 않는 트래픽의 확산을 사전에 제어할 수 있습니다.Illumio는 공격의 동서 방향 이동을 제한하여 탐지 및 대응 도구에 위협을 식별하는 데 필요한 시간을 제공합니다.

Illumio는 EDR, NDR, XDR 및 경계 방화벽과 같은 기존 보안 도구와 함께 작동하여 성능을 개선합니다. 사이버 레질리언스.

연락처 Illumio는 이제 전례 없는 빠른 보안 침해 억제를 선보일 예정입니다.