랜섬웨어 공격의 자동 전파 방지
유월 29일 (2021년) 이프타흐 케셰트
랜섬웨어 공격은 기업의 사이버 보안 문제 중 높은 순위를 차지합니다. 오늘날 일반적인 관행은 다음으로부터 보호하는 것입니다. 배달 와 실행 이러한 공격의 단계. 그러나 거의 모든 기업은 사전 예방적 예방 능력이 부족합니다. 자동 전파 of 랜섬 배달 및 실행 보호를 우회한 페이로드입니다. 이러한 전파는 감염된 단일 엔드포인트와 대규모 기업 폐쇄의 차이이므로 이를 방지할 수 있는 능력이 부족하면 심각한 보안 격차가 발생합니다. Silverfort의 Unified Identity Protection 플랫폼은 현재 사용할 수 있는 유일한 솔루션을 제공합니다. MFA 자동화된 랜섬웨어 전파를 효과적으로 방지하여 악성 페이로드가 초기에 감염된 시스템 이상으로 확장되지 않도록 합니다.
차례
자동 전파는 랜섬웨어 공격의 X 요소입니다.
2017년 랜섬웨어 공격은 골칫거리에서 심각한 위험으로 변모했습니다. WannaCry 와 NotPetya 공격은 전 세계 기업에 큰 피해를 입혔으며 전체 추정 피해액은 약 15억 달러에 달했습니다. 이러한 공격은 암호화 페이로드 과 자동 전파. 이러한 방식으로 단일 기업 작업자가 무기화된 이메일을 열도록 소셜 엔지니어링을 수행하면 해당 작업자의 엔드포인트뿐만 아니라 기업 환경의 다른 모든 시스템의 데이터가 암호화됩니다. 이 새로운 현실은 강제로 기업 보안 의사결정권자는 보안 요구사항의 우선순위를 재설정하여 엔터프라이즈 랜섬웨어 보호 그들의 목록의 맨 위에.
랜섬웨어 공격 분석: 전달, 실행, 전파
랜섬웨어 공격은 다음과 같은 연속 단계로 구성됩니다.
배송 보호 – 확인됨
전달 단계의 목적은 대상 시스템에 랜섬웨어 페이로드를 배치하는 것입니다. 공격자는 무기화된 피싱 이메일, 손상된 RDP 액세스 및 목록을 이끄는 워터링 홀을 통해 이를 달성할 수 있는 다양한 방법이 있습니다. 에서 가져온 아래 표 스태티스타 웹사이트, 배달 벡터의 보다 자세한 분포를 보여줍니다.
랜섬웨어 전달에 대한 보호는 이메일을 스캔하여 사용자 상호 작용 전에 위험한 콘텐츠를 탐지하고 제거하는 이메일 보안 게이트웨이, 잠재적인 맬웨어의 다운로드를 방지하는 엔드포인트 보호 플랫폼, RDP 연결의 MFA를 통해 수행됩니다. 손상된 자격 증명.
실행 보호 – 선택됨
실행 단계는 워크스테이션 또는 서버에 성공적으로 전달된 랜섬웨어 페이로드가 시스템의 데이터 파일을 암호화하려는 의도로 실행되기 시작하는 단계입니다.
이 테이블, 조립 카스퍼스키 랩, 최고 성능의 랜섬웨어군을 보여줍니다.
기업은 워크스테이션과 서버에 EPP(Endpoint Protection Platform)를 배포하여 실행 단계로부터 보호합니다. EPP는 랜섬웨어로 탐지되는 모든 프로세스의 실행을 종료하여 악의적인 암호화를 완전히 방지하는 것을 목표로 합니다.
전파 보호 – 맹점!
전파 단계는 랜섬웨어 페이로드가 손상된 자격 증명으로 악의적인 인증을 통해 엔터프라이즈 환경의 다른 많은 시스템에 복사되는 단계입니다. 가장 취약한 공격 표면 중 하나는 공유 폴더입니다. 엔터프라이즈 환경에서 모든 사용자는 적어도 일부에 액세스할 수 있으므로 랜섬웨어가 전파될 수 있는 길을 닦습니다.
앞서 설명한 바와 같이 대량 피해가 발생하는 단계이다. 그러나 오늘날 이 단계는 기업 보안 태세의 사각지대입니다. 오늘날 자동화된 랜섬웨어 전파를 실시간으로 방지할 수 있는 보안 솔루션은 없습니다. 실제로, 이는 랜섬웨어 변종이 배달 및 실행 보안 조치를 우회하는 데 성공하고 이러한 변종이 항상 수행하는 경우 일정 비율이 기업 환경 내에서 전파되어 도달할 수 있는 모든 시스템을 암호화할 수 있음을 의미합니다. 그리고 EPP가 새로운 변종의 맬웨어로부터 보호하는 능력이 향상되는 동안 위협 행위자는 더 회피적이고 은밀한 페이로드를 만들어서 이러한 우회 가능성이 높은 시나리오를 만들고 있습니다.
자동화된 랜섬웨어 전파로부터 보호하는 데 있어 어려운 점은 무엇입니까?
이 보안 허점의 근본 원인을 더 잘 이해하기 위해 자동화된 랜섬웨어 전파가 작동하는 방식을 살펴보겠습니다.
랜섬웨어 페이로드가 처음 실행된 환자 제로 엔드포인트가 있습니다. 환경의 다른 시스템으로 전파하기 위해 맬웨어는 손상된 자격 증명을 사용하고 다음을 수행합니다. 표준 인증 – 다른 시스템에 유효한(아직 손상된) 사용자 이름과 자격 증명을 제공합니다. 이 활동을 하는 동안 100% 악성 문맥, 본질적으로 합법적인 인증과 동일합니다. 환경에서. ID 공급자에게는 방법이 없습니다. Active Directory 이 경우 – 이 악성 컨텍스트를 식별하고 연결을 승인합니다.
따라서 여기에 랜섬웨어 보호의 사각지대가 있습니다. 한편으로는 어떠한 보안 제품도 실시간으로 인증을 차단할 수 없으며, 다른 한편으로는 이를 수행할 수 있는 유일한 제품인 ID 공급자는 식별할 수 없습니다. 합법적인 인증과 악의적인 인증 사이.
여기는 Silverfort 통합 인증 신원 보호 플랫폼이 등장합니다.
솔루션: 통합 ID 보호 플랫폼
Silverfort 최초로 목적에 맞게 제작된 제품을 개척했습니다. 통합 신원 보호 손상된 자격 증명을 활용하여 기업 리소스에 액세스하는 공격을 사전에 방지하는 플랫폼입니다. Silverfort 혁신적인 에이전트리스 기술을 활용하여 엔터프라이즈 환경에서 ID 공급자와 기본적으로 통합하여 지속적인 모니터링을 적용합니다. 위험도 분석 모든 온프레미스 및 클라우드 리소스에 대한 모든 액세스 시도에 대한 액세스 정책 시행. 이런 식으로, Silverfort 위험 기반 인증 및 MFA 확장 이전에는 결코 보호할 수 없었던 리소스 및 액세스 인터페이스로 – ...을 포함하여 Active Directory 자동화된 랜섬웨어 전파에 의존하는 명령줄 원격 액세스 인터페이스.
그래서 어떻게 Silverfort 자동화된 랜섬웨어 전파에 대한 실시간 보호를 제공합니까?
앞에서 설명한 것처럼 자동화된 전파는 손상된 자격 증명을 사용한 인증을 활용하여 공유 폴더에 대한 특별한 성향을 가진 대상 환경에 확산됩니다. 방법을 이해합시다 Silverfort 이 위험을 해결합니다.
지속적인 모니터링
Silverfort 사용자 계정의 인증 및 액세스 시도를 지속적으로 분석하여 사용자와 시스템의 정상적인 활동 모두에 대한 고정밀 행동 프로파일을 구축합니다.
위험 분석
자동화된 전파의 경우 단일 시스템에서 여러 번의 동시 로그인 시도가 발생하며 사용자 계정. Silverfort의 위험 엔진은 이 비정상적인 동작을 즉시 식별하고 사용자 계정과 시스템의 위험 점수를 모두 높입니다.
액세스 정책 시행
Silverfort 사용자는 실시간 위험 점수를 활용하여 보호 조치를 트리거하는 액세스 정책을 생성할 수 있습니다. MFA로 인증 또는 액세스를 완전히 차단합니다. 자동화된 랜섬웨어 전파에 대한 정책은 사용자 계정의 위험 점수가 '높음' 또는 '심각'인 경우 MFA를 요구하며 모든 액세스 인터페이스(Powershell, CMD 및 CIFS)에 적용됩니다. 공유 액세스 네트워크 폴더에.
이 정책을 활성화하면 랜섬웨어가 다른 시스템으로 확장을 시도할 때마다 MFA 인증 없이는 연결이 허용되지 않습니다. 자격 증명이 손상된 실제 사용자. 효과적으로 전파가 방지되고 공격이 환자가 없는 단일 엔드포인트에 포함된다는 의미입니다.
결론: 자동화된 전파를 방지하기 위해 전용 ID 보호 접근 방식이 필요합니다.
자동화된 전파는 랜섬웨어 공격에서 가장 치명적인 구성 요소이며 오늘날 기업에 도입하는 위험의 핵심 게임 체인저입니다. 와 함께 Silverfort의 통합 ID 보호 플랫폼을 사용하면 마침내 이 중요한 사각지대를 덮고 점검하여 시도된 랜섬웨어 공격에 대한 기업의 탄력성을 실질적으로 높일 수 있습니다.
