RaMP 검사 목록 - 랜섬웨어 복구 준비 상태

이 RaMP(신속한 현대화 계획) 검사 목록은 랜섬웨어 공격자가 요구하는 몸값을 지불하는 실행 가능한 대안이 되도록 조직을 준비하는 데 도움이 됩니다. 조직을 장악한 공격자가 비용을 지불하도록 압박하는 방법은 다양하지만 요구 사항은 주로 다음 두 가지 범주에 집중됩니다.

  • 액세스 권한을 다시 받기 위한 지불

    공격자는 시스템 및 데이터에 대한 액세스 권한을 다시 부여하지 않을 것이라 위협하면서 지불을 요구합니다. 이는 시스템과 데이터를 암호화하고 암호 해독 키에 대한 지불을 요구함으로써 가장 자주 발생합니다.

    중요

    몸값을 지불하는 것은 보이는 것만큼 간단하고 깨끗한 해결책이 아닙니다. 오직 돈 받는 것에만 혈안이 되어 있는 범죄자들(그리고 종종 다른 사람이 제공한 도구 키트를 사용하는 상대적으로 아마추어 운영자들)을 상대하고 있기 때문에, 몸값을 지불하는 것이 실제로 얼마나 효과가 있을지에 대한 많은 불확실성이 있습니다. 시스템과 데이터의 암호를 100% 해독하는 키를 제공한다거나, 심지어 키를 제공한다는 데 관한 법적 보장이 없습니다. 이러한 시스템의 암호를 해독하는 프로세스는 자체 개발한 공격 도구를 사용하는데, 이는 종종 서툴고 수동적인 프로세스입니다.

  • 공개를 피하기 위한 지불

    공격자는 다크웹(다른 범죄자)이나 일반 대중에게 민감하거나 당혹스러운 데이터를 공개하지 않는 대가로 돈을 요구합니다.

강제로 지불(공격자의 수익성 있는 상황)을 방지하기 위해 수행할 수 있는 가장 즉각적이고 효과적인 조치는 조직이 랜섬웨어 공격에 의해 아직 감염되거나 암호화되지 않은 변경할 수 없는 스토리지에서 전체 엔터프라이즈를 복원할 수 있도록 하는 것입니다. 이 스토리지는 공격자나 사용자가 수정할 수 없습니다.

가장 민감한 자산을 식별하고 더 높은 수준의 보증으로 보호하는 것은 매우 중요하기도 하지만, 실행하는 데 시간이 오래 걸리고 어려운 프로세스입니다. 다른 영역을 유지하려고 하지는 않지만 비즈니스, IT 및 보안 이해 관계자를 모아 다음과 같은 질문을 하고 대답하는 프로세스를 시작하는 것이 좋습니다.

  • 손상될 경우 가장 큰 피해를 주는 비즈니스 자산은 무엇인가요? 예를 들어 공격자가 이를 제어하는 경우 비즈니스 리더십이 강탈 요구를 기꺼이 지불할 자산은 무엇인가요?
  • 이러한 비즈니스 자산은 파일, 애플리케이션, 데이터베이스 및 서버와 같은 IT 자산으로 어떻게 변환하나요?
  • 일반 IT 환경에 액세스 권한이 있는 공격자가 액세스할 수 없도록 이러한 자산을 보호하거나 격리할 수 있는 방법은 무엇인가요?

백업 보호

중요한 시스템과 해당 데이터가 백업되고 공격자가 의도적으로 지우거나 암호화하지 않도록 보호할 수 없도록 해야 합니다. 백업이 랜섬웨어 공격에 의해 아직 감염되거나 암호화되지 않았어야 합니다. 그렇지 않으면 복구 후 공격자가 악용할 진입점을 포함할 수 있는 파일 집합을 복원합니다.

백업에 대한 공격은 비용 지불 없이 대응할 수 있는 조직의 능력을 약화시키는 데 초점이 맞춰져 있으며, 강탈에 대한 몸값 지불을 압박하기 위해 복구에 필요한 백업 및 주요 문서가 자주 표적이 됩니다.

대부분의 조직에서는 이러한 수준의 의도적인 표적화로부터 백업 및 복원 절차를 보호하지 못합니다.

참고

또한 이러한 준비는 WannaCry 및 (Not)Petya와 같은 자연 재해 및 빠른 공격에 대한 복원력을 향상시킵니다.

랜섬웨어로부터 보호하기 위한 백업 및 복원 계획은 Azure Backup 및 기타 Microsoft 클라우드 서비스를 사용하여 비즈니스 운영의 신속한 복구를 보장하기 위해 공격 전과 공격 중에 수행할 작업을 해결합니다. 타사에서 제공하는 오프사이트 백업 솔루션을 사용하는 경우 해당 설명서를 참조하세요.

프로그램 및 프로젝트 구성원 책임

다음 표에서는 스폰서쉽/프로그램 관리/프로젝트 관리 계층과 관련하여 랜섬웨어로부터 데이터를 전체적으로 보호하고 결과를 도출하는 방법을 설명합니다.

Lead 소유자 책임성
중앙 IT 운영 또는 CIO 경영진의 지원
중앙 IT 인프라의 프로그램 리더 결과 및 팀 간 협업 추진
인프라/백업 엔지니어 인프라 백업 사용
Microsoft 365 관리자 OneDrive 및 보호된 폴더에 대한 Microsoft 365 테넌트에 대한 변경 내용 구현
보안 엔지니어 구성 및 표준에 대한 조언
IT 관리자 표준 및 정책 문서 업데이트
보안 거버넌스 및/또는 IT 관리 규정을 준수하도록 모니터링
사용자 교육 팀 OneDrive 및 보호된 폴더 사용을 권장하는 사용자에 대한 지침 확인

배포 목표

이러한 배포 목표를 충족하여 백업 인프라를 보호합니다.

완료 배포 목표 소유자
1. 복원 절차 문서, CMDB(구성 관리 데이터베이스) 및 네트워크 다이어그램과 같은 복구에 필요한 지원 문서를 보호합니다. IT 설계자 또는 구현자
2. 모든 중요한 시스템을 정기적으로 자동으로 백업하고 준수를 모니터링하는 프로세스를 설정합니다. IT 백업 관리자
3. BC/DR(비즈니스 연속성/재해 복구) 계획을 정기적으로 실행하도록 프로세스 및 일정을 설정합니다. IT 설계자
4. 백업 계획에 고의적인 지우기 및 암호화로부터 백업 보호 포함:

- 강력한 보호 – 온라인 백업(예: Azure Backup)을 수정하기 전에 대역 외 단계(예: 다단계 인증 또는 PIN)가 필요합니다.

- 가장 강력한 보호 – 온라인의 변경이 불가능한 스토리지(예: Azure Blob) 및/또는 완전한 오프라인 또는 오프사이트에 백업을 저장합니다.
IT 백업 관리자
5. 사용자가 OneDrive 백업보호된 폴더를 구성하게 합니다. Microsoft 365 생산성 관리자

다음 단계

3단계를 사용하여 데이터, 규정 준수 및 거버넌스 이니셔티브를 계속 진행합니다 . 데이터.