차례:
비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (십월 2024)
우리는 랜섬웨어가 가장 파괴적인 맬웨어 변종 중 하나라는 것을 알고 있습니다. 잘못된 링크를 클릭하고 조직의 데이터가 암호화 된 횡설수설의 늪이나 서버 운영 체제 (OS) 및 기타 중요한 파일이 하루 만에 사라지는 것에 대해 이야기하고 있습니다. 몸값을 지불 할 수 있지만 비용이 많이들뿐만 아니라 나쁜 사람이 데이터를 돌려 줄 것이라는 보장도 없습니다.
랜섬웨어 공격을 피하는 방법
첫 번째 단계는 엔드 포인트 탐지 및 응답 소프트웨어 개발자 Cybereason의 CISO (Chief Information Security Officer) 인 이스라엘 바락이 "IT 및 보안 위생"이라고하는 것입니다. 이는 취약점을 피하고 이메일 및 웹 트래픽을 필터링 함을 의미합니다. 또한 사용자 교육을 제공하고 OS, 응용 프로그램 및 보안 제품에 대한 패치가 완전히 최신 상태인지 확인해야합니다.
두 번째 단계는 비즈니스 연속성 및 복구 전략을 세우는 것입니다. 이것은 실제로 상황이 좋지 않기를 바라는 대신 나쁜 일이 발생할 때 계획을 세우는 것을 의미합니다. Barak은 여기에는 백업을 준비하고 테스트 한 후 영향을받는 서비스를 어떻게 복구 할 것인지, 복구를위한 컴퓨팅 리소스를 얻을 수있는 곳을 파악하고 실제로 테스트했기 때문에 전체 복구 계획이 효과가 있다는 것을 알 수 있습니다.
세 번째 단계는 맬웨어 방지 보호 기능을 갖추는 것입니다. 바락은 여기에는 네트워크에 들어가는 맬웨어로부터의 보호와 시스템에서 실행되는 맬웨어에 대한 보호가 포함된다고 말했다. 다행스럽게도 대부분의 맬웨어는 맬웨어 작성자가 성공적인 루틴을 자주 공유하기 때문에 쉽게 발견 할 수 있습니다.
랜섬웨어가 다른 이유
불행히도, 랜섬웨어는 다른 맬웨어와 다릅니다. 바락은 랜섬웨어가 컴퓨터에 잠깐 상주하기 때문에 암호화가 완료되고 랜섬웨어 메시지를 보내기 전에 탐지를 피하는 것이 어렵지 않다고 말했다. 또한 다른 유형의 맬웨어와 달리 실제로 파일 암호화를 수행하는 맬웨어는 암호화가 시작되기 직전에 피해자의 컴퓨터에 도착할 수 있습니다.
비교적 최근에 사용 된 두 가지 유형의 맬웨어 (Ryuk 및 SamSam)가 운영자의 지시에 따라 시스템에 입력됩니다. Ryuk의 경우 해당 운영자는 아마도 북한에 있고 SamSam은이란에있을 것입니다. 각각의 경우 공격은 시스템에 들어갈 수있는 자격 증명을 찾는 것으로 시작합니다. 일단 운영자는 시스템의 내용을 검사하고, 암호화 할 파일을 결정하고, 권한을 높이고, 맬웨어 방지 소프트웨어를 찾아서 비활성화하고, 백업 할 링크도 암호화하거나, 경우에 따라 백업을 비활성화합니다. 그런 다음 몇 달 동안 준비한 후 암호화 맬웨어가로드되어 시작됩니다. 작업자가 개입하기에는 너무 빨리 작업이 완료 될 수 있습니다.
"SamSam에서는 기존 피싱을 사용하지 않았습니다"라고 사이버 보안 솔루션 개발자 인 Comodo Cybersecurity 및 전 백악관 CIO 부사장 Carlos Solari는 설명했습니다. "그들은 웹 사이트를 사용하고 사람들의 자격 증명을 훔 쳤고 무차별 암호를 사용했습니다."
Solari는 이러한 침입은 끝날 때까지 악성 코드가 없기 때문에 자주 탐지되지 않는다고 말했다. 그러나 그는 적절하게이 시점에서 공격을 막을 방법이 있다고 말했다. 일반적으로 범죄자들은 네트워크의 디렉토리 서비스를 따라 가서 공격을 준비하는 데 필요한 관리 수준의 권한을 얻을 수 있다고 공격했다. 이 시점에서 침입 탐지 시스템 (IDS)이 변경 사항을 감지 할 수 있으며, 네트워크 운영자가 무엇을 찾아야하는지 시스템을 잠그고 침입자를 쫓아 낼 수 있습니다.
Solari는 "주의를 기울이면 누군가가 내부에 있다는 것을 알게 될 것"이라고 말했다. "내부 및 외부 위협 인텔리전스를 찾는 것이 중요합니다. 시스템에서 이상을 찾고 있습니다."
자신을 보호하는 방법
소규모 기업의 경우 Solari는 기업이 MDR (Managed Detection and Response) SOC (Security Operations Center)를 서비스로 찾도록 제안합니다. 그는 대기업이 MSSP (Managed Security Services Provider)를 찾고 싶을 수도 있다고 덧붙였다. 두 솔루션 모두 주요 랜섬웨어 공격 전 준비를 포함하여 보안 이벤트를 감시 할 수 있습니다.
네트워크를 모니터링하는 것 외에도 네트워크를 범죄자들이 다루기 어려운 곳으로 만드는 것이 중요합니다. Malwarebyte Labs의 이사 인 Adam Kujawa에 따르면, 침입자가 단순히 네트워크를 통해 이동하고 모든 것에 액세스 할 수 없도록 네트워크를 세그먼트 화하는 것이 중요합니다. Kujawa는 "모든 데이터를 같은 곳에 보관해서는 안된다"고 말했다. "더 깊은 보안 수준이 필요합니다."
그러나 랜섬웨어 공격에 앞서 침입 단계를 탐지하지 못한 것으로 밝혀지면 파일 암호화를 시작할 때 맬웨어의 행동 탐지와 같은 다른 계층이나 응답이 있습니다.
Barak은“우리가 추가 한 것은 랜섬웨어에 일반적인 행동에 의존하는 행동 메커니즘입니다. 그는 이러한 소프트웨어는 파일 암호화 또는 백업 지우기와 같은 랜섬웨어가 수행하고있는 작업을 관찰 한 다음 프로세스가 손상되기 전에 프로세스를 종료하는 조치를 취한다고 말했습니다. "전례없는 랜섬웨어에 대비하여 더욱 효과적입니다."
조기 경고 및 보호
초기 경고의 한 형태를 제공하기 위해 Barak은 Cybereason이 또 다른 조치를 취한다고 말했습니다. "우리가 한 일은 예외 메커니즘을 사용하는 것"이라고 그는 말했다. "Cybereason 소프트웨어가 엔드 포인트를 사용하면 하드 드라이브의 폴더에 위치하여 랜섬웨어가 먼저 암호화하려고하는 일련의 기본 파일을 만듭니다." 그는 그 파일에 대한 변경 사항이 즉시 감지된다고 말했다.
그런 다음 Malwarebytes의 Cybereason 소프트웨어 또는 이와 유사한 소프트웨어가 프로세스를 종료하고 많은 경우 더 이상 피해를 입을 수 없도록 맬웨어를 컨테이너화합니다.
따라서 랜섬웨어 공격을 방지 할 수있는 여러 방어 계층이 있으며, 모든 기능을 갖추고 제 위치에 있으면 성공적인 공격이 발생하기 위해 일련의 실패를 따라야합니다. 그리고 체인의 어느 곳에서나 이러한 공격을 막을 수 있습니다.
대속을 지불해야합니까?
그러나 몸값을 지불하고 즉시 작업을 복원하기로 결정했다고 가정 해보십시오. Barak은“일부 조직의 경우 실행 가능한 옵션입니다.
운영 중단 비용이 복원 비용보다 나은지 결정하기 위해 업무 중단 비용을 평가해야합니다. Barak은 비즈니스 랜섬웨어 공격의 경우 "대부분의 경우 파일을 다시 가져옵니다"라고 말했습니다.
그러나 바락은 몸값을 지불하는 것이 가능하다면 다른 고려 사항이 있다고 말했다. "서비스 회수 비용을 협상 할 수있는 메커니즘을 사전에 준비하려면 어떻게해야합니까? 어떻게 지불합니까? 어떻게 이러한 유형의 지불을 중개하기위한 메커니즘을 구성합니까?"
Barak에 따르면 거의 모든 랜섬웨어 공격에는 공격자와의 통신 수단이 포함되어 있으며 대부분의 기업은 랜섬웨어 공격자가 일반적으로 열려있는 거래를 협상하려고합니다. 예를 들어, 암호화 된 머신의 일부만 필요하고 해당 머신의 리턴을 협상하기 만하면됩니다.
- 2019 년 최고의 랜섬웨어 보호 2019 년 최고의 랜섬웨어 보호
- 샘 샘 랜섬웨어 해커가 5.9 백만 달러에 샘 샘 랜섬웨어 해커가 $ 5.9 백만에 레이크
- SamSam Ransomware 공격 뒤에이란 인 2 명, 미국 청구 SamSam Ransomware 공격 뒤에이란 인 2 명, 미국 청구
"계획은 미리 마련되어야한다. 어떻게 대응하고 누가 의사 소통하며 몸값을 어떻게 지불 할 것인가?" 바락이 말했다.
지불은 실행 가능한 옵션이지만, 대부분의 조직에 대해서는 응답이 아닌 마지막 도랑 옵션으로 남아 있습니다. 해당 시나리오에서 제어 할 수없는 많은 변수가 있으며, 한 번 지불하면 향후 더 많은 현금에 대해 공격받지 않을 것이라고 절대 보장 할 수 없습니다. 더 나은 계획은 대부분의 맬웨어 공격을 차단하고 성공한 몇 가지를 물리 치기에 어려운 견고한 방어를 사용하는 것입니다. 그러나 무엇을 결정하든 사실상 모든 솔루션에는 종교적으로 백업해야한다는 점을 기억하십시오. 지금하고, 자주하고, 자주 시험하여 일이 원활하게 작동하는지 확인하십시오.
