2단계: 손상 범위 제한

이 단계에서는 권한 있는 역할을 보호하여 공격자가 데이터 및 시스템에 잠재적인 손상을 입힐 수 있는 대규모 액세스 범위를 확보하지 못하도록 합니다.

권한 있는 액세스 전략

권한 있는 액세스 손상 위험이 줄어들도록 포괄적인 전략을 구현해야 합니다.

다른 모든 보안 제어는 권한 있는 액세스를 가진 공격자에 의해 환경에서 손쉽게 무효화될 수 있습니다. 랜섬웨어 공격자는 권한 있는 액세스를 빠른 경로로 사용하여 공격 및 후속 강탈을 위해 조직의 모든 중요한 자산을 제어합니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어에 대한 권한 있는 액세스 전략을 설명합니다.

Lead 구현자 책임성
CISO 또는 CIO 경영진 스폰서쉽
프로그램 리드 결과 및 팀 간 협업 추진
IT 및 보안 설계자 구성 요소가 아키텍처에 통합되는 순위 지정
ID 및 키 관리 ID 변경 구현
중앙 IT 생산성/최종 사용자 팀 디바이스 및 Office 365 테넌트에 변경 사항 구현
보안 정책 및 표준 표준 및 정책 문서 업데이트
보안 규정 준수 관리 규정을 준수하도록 모니터링
사용자 교육 팀 암호 참고 자료 업데이트

구현 검사 목록

이 검사 목록이 있는 https://aka.ms/SPA의 참고 자료를 사용하여 여러 부분으로 구성된 전략을 구축합니다.

완료 작업 설명
엔드투엔드 세션 보안을 적용합니다. 관리 인터페이스에 대한 액세스를 허용하기 전에 사용자 및 디바이스의 신뢰 유효성을 명시적으로 검사합니다( Azure Active Directory 조건부 액세스 사용).
ID 시스템을 보호하고 모니터링합니다. 디렉터리, ID 관리, 관리자 계정과 그룹, 동의 부여 구성 등 권한 상승 공격을 예방합니다.
측면 통과를 완화합니다. 로컬 계정 암호, 서비스 계정 암호 또는 기타 비밀을 사용하여 단일 디바이스 손상이 여러 또는 모든 다른 디바이스 제어에 즉시 영향을 미치지 않는지 확인합니다.
신속한 위협 대응을 보장합니다. 환경에서 악의적 사용자의 액세스와 시간을 제한합니다. 자세한 내용은 검색 및 대응을 참조하세요.

구현 결과 및 타임라인

30~90일 후에 다음 결과를 얻도록 해야 합니다.

  • 보안 워크스테이션을 사용하려면 관리자의 100%가 필요합니다.
  • 100% 로컬 워크스테이션/서버 암호가 임의로 지정됩니다.
  • 100% 권한 상승 완화가 배포됨

검색 및 대응

조직에는 엔드포인트, 이메일 및 ID에 대한 일반적인 공격의 즉각적인 반응 검색과 수정이 필요합니다. 몇 분이면 됩니다. 신속하게 일반적인 공격 진입점을 수정하여 조직을 측면 통과하는 공격자 시간을 제한해야 합니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어에 대한 검색과 대응 기능의 향상을 설명합니다.

Lead 구현자 책임성
CISO 또는 CIO 경영진 스폰서쉽
보안 작업에서 프로그램 리드 결과 및 팀 간 협업 추진
중앙 IT 인프라 팀 클라이언트 및 서버 에이전트/기능 구현
보안 운영 새 도구를 보안 작업 프로세스에 통합
중앙 IT 생산성/최종 사용자 팀 엔드포인트용 Defender, Office 365용 Defender, Defender for Identity 및 Cloud Apps용 Defender에 대한 기능 사용
중앙 IT ID 팀 Azure AD 보안 및 Defender for Identity 구현
보안 설계자 구성, 표준 및 도구에 대한 조언
보안 정책 및 표준 표준 및 정책 문서 업데이트
보안 규정 준수 관리 규정을 준수하도록 모니터링

구현 검사 목록

이러한 모범 사례를 적용하여 검색 및 대응을 향상시킵니다.

완료 작업 설명
일반적인 진입점 우선 순위를 지정합니다.

- Microsoft 365 Defender와 같은 통합 XDR(확장 검색 및 대응) 도구를 사용하여 고품질 경고를 제공하고 대응하는 동안 마찰과 수동 단계를 최소화합니다.

- 암호 스프레이와 같은 무차별 암호 대입 시도를 모니터링합니다.
랜섬웨어(및 기타) 연산자는 엔드포인트, 이메일, ID 및 RDP를 진입점으로 사용합니다.
악의적 사용자가 다음과 같이 보안을 중지하는지(공격 체인의 일부인 경우가 많음) 모니터링합니다.

- 이벤트 로그 삭제(특히 보안 이벤트 로그 및 PowerShell 작업 로그)

- 보안 도구 및 컨트롤을 사용하지 않도록 설정
공격자는 보안 검색 시설을 대상으로 하여 공격을 보다 안전하게 계속합니다.
상용 맬웨어를 무시하지 마세요. 랜섬웨어 공격자는 어둠의 시장에서 정기적으로 대상 조직에 대한 액세스를 구매합니다.
DART(Microsoft 검색 및 대응 팀)와 같은 외부 전문가를 프로세스에 통합하여 전문 지식을 보완합니다. 검색 및 복구 경험이 중요합니다.
Defender for Endpoint를 사용하여 손상된 컴퓨터를 신속하게 격리합니다. Windows 11 및 10 통합을 사용하면 이 작업을 쉽게 수행할 수 있습니다.

다음 단계

Phase 3. Make it hard to get in

3단계로 계속 진행하여 위험을 증분적으로 제거하여 공격자가 환경에 진입하기 어렵게 만듭니다.

추가 랜섬웨어 리소스

Microsoft의 주요 정보:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Cloud Apps용 Microsoft Defender:

Microsoft 보안 팀 블로그 게시물: