사이버 공격으로부터 데이터 보호 및 보안 유지
데이터 보호
데이터 보안
데이터 인사이트
사이버 복원력의 5단계
클라우드 및 SaaS
엔터프라이즈
업종
팁 시트
재해 복구 계획이 마련되어 있을 수 있지만 파괴적인 사이버 공격으로부터 복구하려면 다른 접근 방식이 필요합니다. 이유: 안전하게 복구하려면 신속하게 대응하고 공격이 어떻게 발생했는지 효과적으로 조사하며 위협을 완화할 수 있어야 합니다.
가장 먼저 해야 할 일은 모든 이해 관계자와 함께 교차 기능 랜섬웨어 레질리언스팀을 구성하는 것입니다. 랜섬웨어 사고는 조직 전체에 영향을 미치므로 사이버 공격 발생 시 모두 자신의 역할을 숙지하는 것이 매우 중요합니다. 모든 이해 관계자와 함께 현실적인 모의 훈련을 수행하고, 조직 전체의 랜섬웨어 정책을 만들며(최신 상태로 유지), 사이버 백업 및 운영 레질리언스 전략을 정의하는 것을 고려합니다.
업계 또는 지역에서 수집되는 정보를 통해 랜섬웨어 운영자와 해당 TTP(도구, 기술 및 절차)를 이해합니다. 이상적으로는 대역 외 통신 채널을 통해 대응팀의 모든 구성원에 대한 연락처 정보를 문서화하고 유지 관리합니다. 랜섬웨어와 유사한 행동을 보고할 수 있는 채널을 생성합니다. 사이버 위기 대응팀을 구성하고 필요한 경우, 사고 대응 조직의 서비스를 유지합니다.
중요한 자산의 취약점을 식별하고 패치를 적용합니다. 시스템을 강화하고 랜섬웨어 조직이 사용하는 주요 시스템 및 공격 벡터의 우선 순위를 지정합니다. 모든 시스템에 대한 인증 정보 및 액세스 권한이 최소 권한에 따라 관리되는지 확인합니다. 랜섬웨어의 확산을 제한하고 내부망 이동을 탐지할 가능성을 높이기 위해 네트워크 세그먼트화를 구현합니다. 그리고 조직 내에서 민감한 데이터를 포함하고 보안이 취약한 데이터 저장소를 식별합니다.
백업 시스템이 에어갭으로 충분히 분리되어 있는지, 무가 분리되어 있는지, 그리고 불변 데이터 저장소를 사용하여 공격자에 의해 손상되거나 삭제되는 것을 방지합니다. 백업 관리자 계정과 RBAC(Role-Based Access Control)에 MFA(Multifactor Authentication)를 사용합니다. 중요 시스템의 골든 마스터를 구축하고 유지 관리하여 재구축 속도를 높입니다. 그리고 백업 시스템이 랜섬웨어 사고에 대응하는 데 필요한 사이버 보안 기능을 지원할 수 있는지 확인합니다.
랜섬웨어 갱단이 사용하는 ATT&CK 기술에 대한 기존 예방 및 탐지 제어 범위의 격차를 식별합니다. 파일 암호화 또는 삭제와 같은 랜섬웨어 및 와이퍼 공격에 해당하는 엔드포인트 파일 시스템 이상 탐지를 구현합니다. 이메일 게이트웨이 필터를 구현하여 알려진 악성 지표가 있는 이메일을 차단합니다. 중요한 자산에 대한 목록/화이트리스팅을 허용하는 애플리케이션을 사용하여 승인된 소프트웨어만 실행할 수 있도록 합니다.
과거 데이터를 사용하여 침해를 사전에 찾아냅니다. CPU 및 디스크 사용률의 비정상적인 변경에 대한 메커니즘을 구현합니다. 랜섬웨어 조직이 사용하는 것으로 알려진 I2P 또는 Tor를 비롯한 비정상적인 네트워크 프로토콜을 식별합니다. 그리고 랜섬웨어 및 와이퍼 명령 & 제어에 사용되는 알려진 포트 또는 대상을 사용하여 네트워크 연결을 식별합니다.
영향을 받는 자산과 관련된 유사한 알림을 식별하고 그룹화합니다. 사고의 초기 손실 예상(폭발 반경)을 작성합니다. 데이터 유출에 사용되는 스테이징 환경을 찾고 감염된 호스트를 유선 및 무선 네트워크로부터 격리합니다. 클린룸을 활성화하고, 영향을 받은 시스템의 마지막 백업을 복원하고, 클린룸 내부의 시스템에 신뢰할 수 있는 감지/대응 도구를 다시 배포합니다. 지속성의 증거를 찾고 공격에 악용된 시스템의 취약점을 식별합니다.
내부 이해 관계자, 악의적인 추측을 방지하기 위한 언론, 규제 및 법적 의무를 준수하여 영향을 받는 데이터 주체, 규제 당국 자체에게 알립니다. 보험사, 법 집행 기관 및 국가/산업 CERT에 알립니다.
각 단계에 대한 자세한 내용은
9100083-001-EN
