3단계: 진입하기 어렵게 만들기

이 단계에서는 진입점에서 위험을 증분적으로 제거하여 공격자가 온-프레미스나 클라우드 인프라에 진입하기 매우 어렵게 만듭니다.

중요

이들 중 상당수는 익숙하고 빠르게 수행하기 쉽지만, 3단계에 대한 작업이 1단계와 2단계에서 진행 속도를 늦추지 않아야 한다는 것이 매우 중요합니다.

다음 섹션을 참조하세요.

원격 액세스

원격 액세스 연결을 통해 조직 인프라넷에 대한 액세스 권한을 부여하는 것은 랜섬웨어 공격자의 공격 벡터입니다. 온-프레미스 사용자 계정이 손상되면 공격자는 인트라넷에서 자유롭게 로밍하여 인텔리전스를 수집하고 권한을 상승시키고 랜섬웨어를 설치할 수 있습니다. 2021년 식민지 파이프라인 사이버 공격이 한 예입니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 원격 액세스 솔루션 보호를 전반적으로 설명합니다.

Lead 구현자 책임성
CISO 또는 CIO 경영진 스폰서쉽
중앙 IT 인프라/네트워크 팀에서 프로그램 리드 결과 및 팀 간 협업 추진
IT 및 보안 설계자 구성 요소가 아키텍처에 통합되는 순위 지정
중앙 IT ID 팀 Azure AD 및 조건부 액세스 정책 구성
중앙 IT 운영 환경에 변경 사항 구현
워크로드 소유자 앱 게시에 대한 RBAC 권한 지원
보안 정책 및 표준 표준 및 정책 문서 업데이트
보안 규정 준수 관리 규정을 준수하도록 모니터링
사용자 교육 팀 워크플로 변경 사항에 대한 참고 자료 업데이트 및 교육과 변경 관리 수행

구현 검사 목록

이러한 모범 사례를 적용하여 랜섬웨어 공격으로부터 원격 액세스 인프라를 보호합니다.

완료 작업 설명
소프트웨어 및 어플라이언스 업데이트를 유지 관리합니다. 제조업체 보호(보안 업데이트, 지원 상태) 누락이나 무시를 방지합니다. 공격자는 아직 공격 벡터로 패치되지 않은 잘 알려진 취약성을 사용합니다.
조건부 액세스를 사용하여 제로 트러스트 사용자 및 디바이스 유효성 검사를 적용하여 기존 원격 액세스에 대한 Azure AD(Azure Active Directory)를 구성합니다. 제로 트러스트는 조직에 대한 액세스 보호를 여러 수준으로 제공합니다.
기존 타사 VPN 솔루션(Cisco AnyConnect, Palo Alto Networks GlobalProtect&Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA))의 보안을 구성합니다. 원격 액세스 솔루션에 기본 제공되는 보안을 활용합니다.
원격 액세스를 제공하려면 Azure P2S(Point-to-Site) VPN을 배포합니다. Azure AD 및 기존 Azure 구독과의 통합을 활용합니다.
Azure AD 애플리케이션 프록시를 사용하여 온-프레미스 웹앱을 게시합니다. Azure AD 애플리케이션 프록시로 게시한 앱에서는 원격 액세스 연결이 필요 없습니다.
Azure Bastion을 사용하여 Azure 리소스에 대한 액세스를 보호합니다. SSL을 통해 Azure 가상 머신에 안전하고 원활하게 연결합니다.
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). 기준 보안 기능 및 설정을 조사하는 랜섬웨어 활동의 위험을 줄입니다.

이메일 및 협업

전자 메일 및 공동 작업 솔루션에 대한 모범 사례를 구현하여 공격자가 악용하기 어렵게 만드는 동시에 작업자가 외부 콘텐츠에 쉽고 안전하게 액세스할 수 있도록 합니다.

공격자는 이메일 및 파일 공유와 같은 권한 있는 협업 도구를 사용하여 악성 콘텐츠를 전송하고 사용자가 이를 실행하도록 유도하여 환경에 자주 침입합니다. Microsoft는 완화가 강화되어 이러한 공격 벡터로부터 보호가 크게 증가하도록 투자하고 있습니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 이메일 및 협업 솔루션 보호를 전반적으로 설명합니다.

Lead 구현자 책임성
CISO, CIO 또는 ID 디렉터 경영진 스폰서쉽
보안 아키텍처 팀의 프로그램 리드 결과 및 팀 간 협업 추진
IT 설계자 구성 요소가 아키텍처에 통합되는 순위 지정
클라우드 생산성 또는 최종 사용자 팀 Defender for Office 365, ASR 및 AMSI 사용
보안 아키텍처 / 인프라 + 엔드포인트 구성 지원
사용자 교육 팀 워크플로 변경 사항에 대한 참고 자료 업데이트
보안 정책 및 표준 표준 및 정책 문서 업데이트
보안 규정 준수 관리 규정을 준수하도록 모니터링

구현 검사 목록

이러한 모범 사례를 적용하여 랜섬웨어 공격자로부터 이메일 및 협업 솔루션을 보호합니다.

완료 작업 설명
AMSI for Office VBA를 사용합니다. Defender for Endpoint와 같은 엔드포인트 도구를 사용하여 Office 매크로 공격을 검색합니다.
Defender for Office 365나 유사한 도구를 사용하여 고급 이메일 보안을 구현합니다. 이메일은 공격자의 일반적인 진입점입니다.
ASR(공격 표면 감소) 규칙을 배포 하여 다음을 비롯한 일반적인 공격 기술을 차단합니다.

- 자격 증명 도난, 랜섬웨어 활동, PsExec 및 WMI의 의심스러운 사용과 같은 엔드포인트 남용

- Office 애플리케이션에서 시작된 고급 매크로 작업, 실행 파일 콘텐츠, 프로세스 만들기 및 프로세스 삽입과 같은 Office 문서 작업 무기화

참고: 먼저 이러한 규칙을 감사 모드에 배포하고 부정적인 영향을 평가한 후 차단 모드에 배포하세요.
ASR은 특별히 일반적인 공격 방법 완화를 대상으로 하는 공격에 대한 보안을 강화합니다.
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다.

엔드포인트

관련 보안 기능을 구현하고 엔드포인트(디바이스) 및 애플리케이션에 대한 소프트웨어 유지 관리 모범 사례를 엄격하게 준수하여 인터넷 트래픽 및 콘텐츠에 직접 노출되는 애플리케이션 및 서버/클라이언트 운영 체제의 우선 순위를 지정합니다.

인터넷에 노출된 엔드포인트는 조직 자산에 대한 공격자 액세스를 제공하는 일반적인 항목 벡터입니다. 예방 컨트롤을 사용하여 일반적인 OS 및 애플리케이션 취약성 차단의 우선 순위를 지정하여 다음 단계를 실행하지 못하게 합니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 엔드포인트 보호를 전반적으로 설명합니다.

Lead 구현자 책임성
가동 중지 시간과 공격 손상 모두의 비즈니스 영향에 대한 책임이 있는 비즈니스 리더십 경영진 스폰서쉽(유지 관리)
중앙 IT 운영 또는 CIO 경영진 스폰서쉽(기타)
중앙 IT 인프라 팀의 프로그램 리드 결과 및 팀 간 협업 추진
IT 및 보안 설계자 구성 요소가 아키텍처에 통합되는 순위 지정
중앙 IT 운영 환경에 변경 사항 구현
클라우드 생산성 또는 최종 사용자 팀 공격 표면 감소 사용
워크로드/앱 소유자 변경 사항에 대한 유지 관리 기간 식별
보안 정책 및 표준 표준 및 정책 문서 업데이트
보안 규정 준수 관리 규정을 준수하도록 모니터링

구현 검사 목록

이러한 모범 사례를 모든 Windows, Linux, MacOS, Android, iOS 및 기타 엔드포인트에 적용합니다.

완료 작업 설명
공격 표면 감소 규칙, 변조 보호첫 사이트에서 차단을 사용하여 알려진 위협을 차단합니다. 이러한 기본 제공 보안 기능을 사용하지 않으면 공격자가 조직에 침입하는 원인이 됩니다.
보안 기준을 적용하여 인터넷에 연결된 Windows 서버와 클라이언트, Office 애플리케이션을 강화합니다. 최소한의 보안 수준으로 조직을 보호하고 해당 위치에서 빌드합니다.
다음과 같이 소프트웨어를 유지 관리합니다.

- 업데이트됨: 운영 체제, 브라우저, & 이메일 클라이언트에 대한 중요한 보안 업데이트 신속하게 배포

- 지원됨: 공급업체에서 지원하는 버전에 대한 운영 체제 및 소프트웨어를 업그레이드합니다.
공격자는 제조업체 업데이트와 업그레이드를 누락하거나 무시하게 합니다.
지원되지 않는 운영 체제레거시 프로토콜 등 안전하지 않은 시스템과 프로토콜을 격리하거나 사용 중지합니다. 공격자는 레거시 디바이스, 시스템 및 프로토콜의 알려진 취약성을 조직 진입점으로 사용합니다.
호스트 기반 방화벽과 네트워크 방어로 예기치 않은 트래픽을 차단합니다. 일부 맬웨어 공격은 공격에 대한 연결을 만드는 방법으로 호스트에 대한 원치 않는 인바운드 트래픽에 의존합니다.
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다.

계정

오래된 스켈레톤 키를 사용하여 집을 현재의 절도범으로부터 보호할 수 없는 것처럼 암호는 요즘에 나타나는 일반적인 공격으로부터 계정을 보호할 수 없습니다. MFA(다단계 인증)는 한때 번거로운 추가 단계였지만, 현재의 암호 없는 인증은 사용자가 암호를 기억하거나 입력할 필요가 없는 생체 인식 방식을 사용하여 로그인 환경을 개선합니다. 또한 제로 트러스트 인프라는 신뢰할 수 있는 디바이스에 대한 정보를 저장하므로, 짜증나는 대역 외 MFA 작업을 요구하는 메시지가 감소합니다.

권한이 높은 관리자 계정부터 시작하여 암호 없는 방식이나 MFA 사용 등 이러한 계정 보안 모범 사례를 엄격하게 따릅니다.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 결과를 확인하고 추진하도록 스폰서쉽/프로그램 관리/프로젝트 관리 계층 구조 면에서 랜섬웨어로부터 계정 보호를 전반적으로 설명합니다.

Lead 구현자 책임성
CISO, CIO 또는 ID 디렉터 경영진 스폰서쉽
ID 및 키 관리 또는 보안 아키텍처 팀의 프로그램 리드 결과 및 팀 간 협업 추진
IT 및 보안 설계자 구성 요소가 아키텍처에 통합되는 순위 지정
ID 및 키 관리 또는 중앙 IT 운영 구성 변경 사항 구현
보안 정책 및 표준 표준 및 정책 문서 업데이트
보안 규정 준수 관리 규정을 준수하도록 모니터링
사용자 교육 팀 암호 또는 로그인 참고 자료 업데이트 및 교육 및 변경 관리 수행

구현 검사 목록

이러한 모범 사례를 적용하여 랜섬웨어 공격자로부터 계정을 보호합니다.

완료 작업 설명
모든 사용자에게 강력한 MFA 또는 암호 없는 로그인을 적용합니다. 다음 중 하나 이상을 사용하여 관리자 및 우선 순위 계정으로 시작합니다.

- Windows Hello 또는 Microsoft Authenticator 앱을 사용하는 암호 없는 인증

- Azure Multi-Factor Authentication

- 타사 MFA 솔루션.
공격자가 사용자 계정 암호를 확인하여 자격 증명 손상 작업을 더 어렵게 만듭니다.
암호 보안을 강화합니다.

- Azure AD 계정의 경우 Azure AD 암호 보호를 사용하여 알려진 약한 암호와 조직에 특정한 약한 용어를 추가로 검색하고 차단합니다.

- 온-프레미스 AD DS(Active Directory Domain Services) 계정의 경우 AD DS 계정으로 Azure AD 암호 보호를 확장합니다.
공격자가 일반적인 암호나 조직 이름에 따른 암호를 확인할 수 없는지 확인합니다.
기준 공격과 잠재 공격의 편차를 찾아서 수정하도록 감사하고 모니터링합니다(검색 및 대응 참조). 기준 보안 기능과 설정을 검색하는 랜섬웨어 활동의 위험을 줄입니다.

구현 결과 및 타임라인

30일 이내에 다음 결과를 얻도록 해야 합니다.

  • 직원 100%가 MFA를 적극적으로 사용
  • 높은 암호 보안 배포 100%

추가 랜섬웨어 리소스

Microsoft의 주요 정보:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Cloud Apps용 Microsoft Defender:

Microsoft 보안 팀 블로그 게시물: