보호, 감지 및 대응하는 데 도움이 되는 Azure 기능 및 리소스

아티클
10/18/2023

Microsoft는 조직이 대량의 일상적인 공격 및 정교한 표적 공격 모두에서 발견된 랜섬웨어 공격 기술을 타도하기 위해 활용할 수 있는 Azure 네이티브 보안 기능에 투자했습니다.

주요 기능은 다음과 같습니다.

기본 위협 탐지: 클라우드용 Microsoft Defender는 XDR(Extended Detection and Response)이라고도 하는 고품질 위협 탐지 및 대응 기능을 제공합니다. 이를 통해 다음을 수행할 수 있습니다.
- 원시 활동 로그를 사용하여 사용자 지정 경고를 빌드하는 데 부족한 보안 리소스의 시간과 재능을 낭비하지 않습니다.
- 보안 팀이 Azure 서비스 사용을 신속하게 승인할 수 있도록 하는 효과적인 보안 모니터링을 보장합니다.
암호 없는 다단계 인증: Microsoft Entra 다단계 인증, Microsoft Entra Authenticator 앱 및 Windows Hello는 이러한 기능을 제공합니다. 이렇게 하면 흔히 볼 수 있는 암호 공격(Microsoft Entra ID에서 볼 수 있는 ID 공격의 99.9%를 차지)으로부터 계정을 보호할 수 있습니다. 보안이 완벽하지는 않지만 암호 전용 공격 벡터를 제거하면 Azure 리소스에 대한 랜섬웨어 공격 위험이 크게 감소합니다.
네이티브 방화벽 및 네트워크 보안: Microsoft는 Azure에 네이티브 DDoS 공격 완화, 방화벽, 웹 애플리케이션 방화벽 및 기타 많은 컨트롤을 빌드했습니다. 이러한 '서비스형' 보안은 보안 제어의 구성 및 구현을 간소화하는 데 도움이 됩니다. 이를 통해 조직은 네이티브 서비스 또는 가상 어플라이언스 버전의 친숙한 공급업체 기능을 사용하여 Azure 보안을 간소화할 수 있습니다.

Microsoft Defender for Cloud

클라우드용 Microsoft Defender는 Azure, 온-프레미스, 기타 클라우드에서 실행되는 워크로드에 대해 위협 방지 기능을 제공하는 기본 제공 도구입니다. 이는 하이브리드 데이터, 클라우드 네이티브 서비스 및 서버를 랜섬웨어 및 기타 위협으로부터 보호하고 SIEM 솔루션 및 Microsoft의 방대한 위협 인텔리전스와 같은 기존 보안 워크플로와 통합되어 위협 완화를 간소화합니다.

클라우드용 Microsoft Defender는 Azure 환경 내에서 직접 모든 리소스에 대한 보호를 제공하고, Azure Arc를 사용하여 온-프레미스 및 다중 클라우드 가상 머신과 SQL 데이터베이스로 보호를 확장합니다.

Azure 서비스 보호
하이브리드 워크로드 보호
AI 및 자동화를 사용하여 보안 간소화
모든 클라우드에서 Linux 및 Windows 서버에 대한 고급 맬웨어 및 위협을 감지하고 차단
위협으로부터 클라우드 네이티브 서비스 보호
랜섬웨어 공격으로부터 데이터 서비스 보호
연속 자산 검색, 취약성 관리 및 위협 모니터링을 사용하여 관리되거나 관리되지 않는 IoT 및 OT 디바이스 보호

클라우드용 Microsoft Defender는 리소스에 대한 랜섬웨어, 고급 맬웨어 및 위협을 감지하고 차단하는 도구를 제공합니다.

리소스를 안전하게 유지하는 것은 클라우드 공급자인 Azure와 여러분, 그리고 고객 간의 공동 노력입니다. 클라우드로 이동할 때 워크로드가 안전한지 확인해야 하며, 이와 동시에 IaaS(Infrastructure as a Service)로 전환하는 경우 PaaS(platform as a Service) 및 SaaS(Software as a Service)에 있을 때 보다 고객의 책임이 더 커집니다. 클라우드용 Microsoft Defender는 네트워크를 강화하고 서비스를 보호하며 보안 태세를 극대화하는 데 필요한 도구를 제공합니다.

클라우드용 Microsoft Defender는 데이터 센터의 보안 상태를 강화하고, 온-프레미스뿐 아니라 Azure에 있는지 여부와 관계없이 클라우드의 전체 하이브리드 워크로드에 대해 지능형 위협 방지 기능을 제공하는 통합된 인프라 보안 관리 시스템입니다.

클라우드용 Defender의 위협 방지를 사용하면 Azure의 PaaS(Platforms as a Service)뿐 아니라 IaaS(서비스 제공 인프라) 계층 및 비 Azure 서버에서도 위협을 탐지하고 방지할 수 있습니다.

Defender for Cloud의 위협 방지에는 사이버 킬 체인 분석에 따라 환경에서 경고의 상관 관계를 자동으로 지정하는 융합 킬 체인 분석이 포함되어 공격 캠페인의 전체 스토리, 시작 위치 및 리소스에 대한 영향의 종류를 더 잘 이해할 수 있습니다.

주요 기능:

지속적인 보안 평가: 보안 업데이트가 누락되었거나 안전하지 않은 OS 설정 및 취약한 Azure 구성이 있는 Windows 및 Linux 컴퓨터를 식별합니다. 모니터링하려는 선택적 관심 목록 또는 이벤트를 추가합니다.
실행 가능한 권장 지침: 우선 순위가 지정된 실행 가능한 보안 권장 지침을 사용하여 보안 취약성을 빠르게 수정할 수 있습니다.
중앙 집중식 정책 관리: 모든 하이브리드 클라우드 작업에 걸쳐 보안 정책을 중앙에서 관리하여 회사 또는 규정 보안 요구 사항을 준수할 수 있습니다.
업계에서 가장 광범위한 위협 인텔리전스: 전 세계 Microsoft 서비스와 시스템에서 전송하는 수조 개에 달하는 신호를 사용하여 새로운 위협과 지속적으로 발전하는 위협을 식별하는 Microsoft Intelligent Security Graph를 활용할 수 있습니다.
고급 분석 및 기계 학습: 기본 제공 동작 분석 및 기계 학습을 사용하여 알려진 공격 패턴 및 위반 후 작업을 식별합니다.
적응형 애플리케이션 제어: Machine Learning을 통해 제공되며 특정 작업에 맞게 조정되는 허용 목록 권장 사항을 적용하여 맬웨어 및 기타 원치 않는 애플리케이션을 차단할 수 있습니다.
우선 순위가 지정된 경고 및 공격 타임라인: 먼저 단일 공격 캠페인에 매핑되는 우선 순위가 지정된 경고 및 인시던트로 가장 중요한 위협에 집중합니다.
간편한 조사: 시각적인 대화형 환경을 통해 공격의 범위와 영향을 빠르게 조사할 수 있습니다. 임시 쿼리를 통해 보안 데이터를 보다 상세하게 탐색할 수 있습니다.
자동화 및 오케스트레이션: Azure Logic Apps에 기본 제공되는 통합을 사용하여 위협을 신속하게 해결하기 위해 일반적인 보안 워크플로를 자동화합니다. 경고를 기존 티켓 시스템으로 라우팅하거나 인시던트 대응 작업을 트리거할 수 있는 보안 플레이북을 만듭니다.

Microsoft Sentinel

Microsoft Sentinel은 kill 체인의 전체 보기를 만드는 데 도움이 됩니다.

Sentinel을 사용하면 Defender가 악의적 사용자를 제거하는 시간을 가속화할 수 있도록 기본 제공 커넥터 및 업계 표준을 사용하여 보안 원본에 연결한 다음, AI를 활용하여 여러 원본에 걸친 여러 낮은 충실도 신호를 상호 연결하여 랜섬웨어 kill 체인 및 우선 순위가 지정된 경고의 전체 보기를 만들 수 있습니다.

Microsoft Sentinel은 점점 더 정교해지는 공격, 점점 늘어나는 경고의 양과 긴 해결 기간이라는 문제를 완화하기 위해 엔터프라이즈 전체를 폭넓은 시각으로 모니터링합니다.

온-프레미스와 여러 클라우드의 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 클라우드 규모로 데이터를 수집합니다.

Microsoft 분석 및 업계 최고의 위협 인텔리전스를 사용하여 이전에 미검사된 위협을 탐지하고 가양성을 최소화합니다.

수년간에 걸친 Microsoft 사이버 보안 성과물을 활용하여 AI를 통해 위협을 조사하고 의심스러운 대규모 활동을 헌팅합니다.

일반 작업의 기본 제공 오케스트레이션 및 자동화로 빠르게 인시던트에 대응합니다.

클라우드용 Microsoft Defender를 통한 기본 위협 방지

클라우드용 Microsoft Defender는 Azure 구독에서 가상 머신을 검사하고 기존 솔루션이 검색되지 않는 엔드포인트 보호를 배포하도록 권장합니다. 이 권장 사항은 권장 사항 섹션을 통해 액세스할 수 있습니다.

Screenshot of Microsoft Defender for Cloud overview

클라우드용 Microsoft Defender는 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션, 네트워크 등에 대한 보안 경고 및 고급 위협 방지 기능을 제공합니다. 클라우드용 Microsoft Defender가 환경의 모든 영역에서 위협을 탐지하면 보안 경고가 생성됩니다. 경고는 영향을 받는 리소스, 제안된 수정 단계, 경우에 따라 응답으로 논리 앱을 트리거하는 옵션을 자세히 설명합니다.

이 경고는 감지된 Petya 랜섬웨어 경고의 예입니다.

Example of a detected Petya ransomware alert

사용자의 데이터를 보호하는 Azure 네이티브 백업 솔루션

조직에서 랜섬웨어 공격으로 인한 손실로부터 보호하는 한 가지 중요한 방법은 다른 방어책이 실패할 경우 중요 비즈니스용 정보를 백업하는 것입니다. 랜섬웨어 공격자는 볼륨 섀도 복사본과 같은 백업 애플리케이션 및 운영 체제 기능을 중립화하는 데 많은 투자를 했으므로 악의적인 공격자가 액세스할 수 없는 백업이 있어야 합니다. 유연한 비즈니스 연속성 및 재해 복구 솔루션, 업계 최고의 데이터 보호 및 보안 도구를 갖춘 Azure 클라우드는 데이터를 보호하기 위한 보안 서비스를 제공합니다.

Azure Backup: Azure Backup 서비스는 Azure VM을 백업하는 간단하고 안전하며 비용 효율적인 솔루션을 제공합니다. 현재 Azure Backup은 Azure Virtual Machine에 대한 백업 솔루션을 사용하여 VM의 모든 디스크(OS 및 데이터 디스크)의 백업을 지원합니다.
Azure 재해 복구: 온-프레미스에서 클라우드로 또는 한 클라우드에서 다른 클라우드로 재해 복구를 사용하면 가동 중지 시간을 방지하고 애플리케이션을 가동 및 실행 상태로 유지할 수 있습니다.
Azure의 기본 제공 보안 및 관리: 기업이 클라우드 시대에 성공하려면 모든 구성 요소에 대한 가시성/메트릭 및 제어를 통해 문제를 효율적으로 파악하고, 효과적으로 최적화하고 확장할 수 있어야 하며, 속도를 보장하기 위한 보안, 규정 준수 및 정책을 마련해야 합니다.

데이터에 대한 액세스 보장 및 보호

Azure는 Microsoft로부터 150억 달러 규모의 인프라 투자를 받고 지속적인 평가와 개선을 통해 오랜 기간 동안 글로벌 데이터 센터를 관리해 온 경험이 있습니다.

주요 기능:

Azure에는 데이터가 로컬로 저장되는 LRS(로컬 중복 스토리지)와 두 번째 지역의 GRS(지역 중복 스토리지)가 함께 제공됩니다.
Azure에 저장되는 모든 데이터는 고급 암호화 프로세스로 보호되며, 모든 Microsoft의 데이터 센터에는 2단계 인증, 프록시 카드 액세스 판독기, 생체 인식 스캐너가 있습니다.
Azure는 ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 및 많은 국제 사양을 포함하여 시중의 다른 퍼블릭 클라우드 공급자보다 더 많은 인증을 보유하고 있습니다.

추가 리소스

결론

Microsoft는 클라우드의 보안과 클라우드 워크로드를 보호하는 데 필요한 보안 제어를 제공하는 데 중점을 둡니다. Microsoft는 사이버 보안의 선두 주자로서, 세상을 더 안전한 곳으로 만드는 데 책임 의식을 가지고 있습니다. 이는 보안 프레임워크, 설계, 제품, 법적 노력, 업계 파트너십 및 서비스에서 랜섬웨어 방지 및 감지에 대한 포괄적인 접근 방식에 반영됩니다.

Microsoft는 랜섬웨어 보호, 감지 및 예방을 전체적으로 처리하기 위해 사용자와 협력하기를 기대합니다.

연락 정보:

Microsoft가 클라우드를 보호하는 방법에 대한 자세한 내용을 보려면 서비스 신뢰 포털을 방문하세요.

다음 튜토리얼

백서: 랜섬웨어 공격에 대한 Azure 방어 백서를 참조하세요.

이 시리즈의 다른 문서: