랜섬웨어 차단을 위한 취약성 평가

에서 이전 게시물, 랜섬웨어 및 기타 멀웨어를 억제하기 위한 첫 단계로 위험 기반 가시성을 살펴보았습니다.

이 게시물에서는 이러한 취약성을 연결 패턴에 매핑하는 방법, 즉 애플리케이션과 프로세스가 서로 통신하고 네트워크를 통해 통신하는 방법을 설명합니다.

랜섬웨어의 확산을 적극적으로 차단하고 방지하기 전에 필요한 마지막 단계입니다.

커뮤니케이션에 관한 풍부한 데이터로 가시성 강화

일반적인 프로덕션 환경에서는 거의 모든 것이 서브넷, VLAN, 영역 내의 애플리케이션 및 시스템 등 다른 모든 것과 통신할 수 있습니다.이를 통해 비즈니스 시스템은 데이터를 공유하고 외부와 통신하면서 작업을 수행할 수 있습니다.하지만 이로 인해 문제가 생기기도 합니다.맬웨어가 이러한 환경의 일부를 감염시키면 매우 빠르게 확산될 수 있습니다.

프로덕션 환경에서 멀웨어가 확산되는 것을 막으려면 한 애플리케이션 또는 시스템에서 다른 애플리케이션이나 시스템으로 이동할 때 악용하는 포트를 차단해야 합니다.하지만 시스템이 필요한 작업을 계속 수행할 수 있도록 어떤 포트를 열어 두어야 하는지도 알아야 합니다.

따라서 랜섬웨어와 기타 멀웨어의 확산을 막으려면 자산 간 통신에 대한 실시간 가시성이 필요합니다.결국 불필요하게 열려 있는 포트를 식별할 수 없다면 해당 포트를 닫을 수 없습니다.

또한 잠재적 위험이 가장 큰 포트를 파악해야 합니다.그래야만 이 인텔리전스를 활용하여 비즈니스를 중단시키지 않는 사전 및 사후 제어를 구현할 수 있습니다.이렇게 하면 운영에 부정적인 영향을 주지 않으면서 보안 침해 노출을 네트워크의 진입 지점으로만 제한할 수 있습니다.

이러한 위험 기반 가시성 또한 인시던트가 발생하기 전에 패치의 우선 순위를 지정할 수 있습니다.

대규모 네트워크를 담당하는 IT 부서가 모든 시스템에 항상 패치를 적용할 수는 없기 때문에 우선 순위 지정이 필수적입니다.일부 패치는 반드시 다른 패치보다 먼저 해결되어야 합니다.물론 잠재적 위험이 가장 큰 시스템을 수정하는 데 우선 순위를 두는 것이 좋습니다.문제는 이런 것들이 어떤 것들인가 하는 것입니다.

이 질문에 대한 답은 대부분 네트워크 연결에 달려 있습니다.

완전히 격리된 상태로 운영되는 서버의 취약성은 수천 명의 다른 사람들이 액세스할 수 있는 데이터 센터 한가운데에 있는 시스템의 취약점보다 위협이 훨씬 적다는 점을 고려해 보십시오.또한 일부 개방형 포트는 다른 포트보다 네트워크 자산에 더 큰 위험을 초래한다는 점도 고려하십시오.

필요한 것은 특정 시스템과 관련하여 특정 포트 집합으로 인한 위험과 해당 시스템이 서로 연결되는 방식 및 광범위한 인터넷에 연결되는 방식을 정량화하는 방법입니다.

가장 위험한 포트 식별

사실 일부 포트는 다른 포트보다 더 위험합니다.더 위험한 포트에는 Microsoft Active Directory 및 기타 핵심 서비스에서 사용하는 고도로 연결된 포트가 포함됩니다.IT 인프라에 대한 시스템 폴링 및 보고 시 위험도 커집니다.

P2P 포트는 원격 데스크톱 관리 및 파일 공유 애플리케이션과 같은 서비스에 사용되는 포트를 포함하여 심각한 위험을 초래합니다.심지어 많은 소셜 미디어 애플리케이션도 이러한 방식으로 작동합니다.보안 실무자가 밤에도 깨어있게 하는 모든 트래픽 패턴에 맞게 특별히 설계되었습니다.맬웨어가 이러한 포트를 노리는 경우가 많기 때문에 보안 전문가들이 걱정하는 이유는 이러한 포트가 어디에나 있고 일반적으로 개방되어 있고 임의의 방식으로 “통신”하기 때문입니다.

마지막으로 FTP 및 텔넷과 같은 구형 통신 프로토콜은 조직 정책에 따라 아무도 사용하지 않더라도 기본적으로 계속 사용되는 경향이 있으며 잘 알려진 취약점을 나타냅니다.따라서 특히 매력적인 표적이 되고 있습니다.

하지만 일부 포트가 다른 포트보다 더 큰 위험을 수반한다는 사실을 아는 것도 한 가지입니다.널리 퍼져 있는 기업 네트워크에서 이를 찾아 수량화하는 것은 별개입니다.또한 이러한 모든 자산이 어떻게 연결되는지도 알아야 합니다.

이것이 바로 Illumio에서 제공하는 시각화가 필요한 이유입니다.

연결 위험의 정량화

Illumio는 Rapid7 및 Qualys와 같은 취약성 스캐너의 데이터를 Illumio의 데이터 위에 오버레이합니다. 애플리케이션 맵 그리고 이들이 어떻게 연결되는지 — 형성 취약점 맵.

NetFlow 및 JFlow를 실행하는 라우터, 스위치, 클라우드 시스템, 운영 체제 연결 테이블 등과 같은 소스에서 연결 데이터를 가져오는 방식으로 작동합니다.그런 다음 이 정보를 취약성 스캐너의 데이터와 결합합니다.

다음으로 Active Directory, 구성 관리 데이터베이스, 보안 정보 관리 시스템, IP 주소 관리 시스템 등의 소스에서 사용자 및 시스템 ID 정보를 가져옵니다.

결과 맵을 통해 모든 시스템에 대한 위험 조정 정보를 실시간으로 확인할 수 있습니다.여기에는 운영 체제, 사용자 랩톱, 클라우드 애플리케이션 및 컨테이너, 메인프레임, 로드 밸런서, 네트워크 디바이스, 방화벽 등이 포함됩니다.그 결과 위험을 명확하게 이해할 수 있는 종합적인 가시성이 확보됩니다.

예를 들어 데이터베이스 서버는 10대에만 연결하면 되는데 서브넷에 있는 300대의 컴퓨터에 대한 개방형 연결을 유지합니까?Illumio의 맵은 이를 우려 사항으로 강조 표시하므로 조치를 취할 수 있습니다.

Illumio를 사용하면 네트워크와 데이터 센터 내에서 자산이 데이터를 교환하는 방식 외에도 자산이 외부 세계와 얼마나 많이, 얼마나 자주 통신하는지 알 수 있습니다.이러한 지식은 어떤 시스템에 어떤 제어를 적용할지, 어떤 패치에 우선 순위를 부여할지 결정하는 데 도움이 될 수 있습니다.

취약성 노출 점수가 운영 효율성을 개선하는 방법

Illumio는 위험을 더욱 쉽게 평가할 수 있도록 취약성, 연결 및 세분화 정책 정보를 결합하여 모든 정보를 다음과 같이 요약합니다. 취약점 노출 점수.이 단일 숫자를 통해 애플리케이션 실행 상황에서의 상대적 위험 노출을 빠르게 이해할 수 있습니다.

많은 Illumio 고객은 이 지표만으로도 모든 패치를 항상 최신 상태로 유지할 수 없는 상황을 보완하기 위해 시스템을 세분화하는 데 필요한 정보를 얻을 수 있다는 사실을 알게 됩니다.세그멘테이션이란 가장 취약한 포트를 가능한 가장 작은 반경으로 줄이는 것, 즉 가능한 적은 수의 다른 자산과 통신하는 것을 의미합니다.

Illumio의 취약성 점수를 사용하면 해당 문제 영역을 신속하게 찾아내어 작업을 중단하지 않고 가능한 범위 내에서 세분화를 통해 문제를 분리한 다음 현실적으로 유지할 수 있는 일정에 따라 패치를 적용할 수 있습니다.즉, 취약점 점수와 세분화를 통해 취약점 해결을 위한 효과적인 우선 순위를 지정할 수 있습니다.

Illumio는 전체 환경에 대한 포괄적인 위험 기반 뷰를 제공합니다.이를 통해 활성 흐름을 확인하고, 멀웨어가 사용하는 개방형 포트를 기반으로 한 위험 분석을 오버레이하고, 해당 위험을 정량화할 수 있습니다.환경을 변경한 후에는 시간이 지남에 따라 위험 점수가 어떻게 변하는지 확인하고 반복하여 확인할 수 있으므로 IT 및 보안 팀은 위험에 대해 보고하고 취약점을 분류할 수 있는 강력한 도구를 얻을 수 있습니다.

위험한 포트를 차단하는 정책 생성

또한 Illumio는 패치를 적용하기 전에 또는 영향을 받는 시스템에 액세스할 수 없는 경우 워크로드 간 포트를 차단하여 위험을 적극적으로 완화할 수 있습니다.워크로드를 패치할 수 있을 때까지 데이터 흐름을 패치하는 것으로 생각하면 됩니다.

또한 Illumio는 다음과 같은 내장 워크플로우의 일부로 포트 차단 정책을 제안할 수 있습니다. 정책 생성기.

제안된 정책을 저장한 다음 Illumio가 애플리케이션 전반에 걸쳐 제안된 정책을 프로비전하도록 할 수 있습니다.이 도구를 사용하면 패치를 배포하는 데 며칠 또는 몇 주 동안 일일이 시간을 허비하지 않아도 단 몇 번의 클릭만으로 몇 초 만에 환경을 보호할 수 있습니다.

취약성 평가를 위한 강력한 도구

전체적으로 Illumio는 IT 및 보안 전문가에게 모든 애플리케이션 통신에 대한 풍부한 위험 기반 가시성을 제공하고 위험 조정 기반으로 통신을 차단하여 랜섬웨어의 확산을 막을 수 있도록 합니다.

Illumio는 예방적 제어 기능을 구현할 뿐만 아니라 적극적인 세그멘테이션 정책을 통해 랜섬웨어를 차단하여 사고 대응 능력을 강화할 수 있습니다.

자세히 알아보려면:

• e북을 읽고, 랜섬웨어 공격을 차단하는 방법.
• 웹 세미나에서 실제 사용 중인 취약점 맵을 확인하세요. 랜섬웨어가 발생합니다.확산을 막아드립니다: 취약성 평가.