Ransomware 공격자에게 비용을 지불해야 합니까? 마이크로소프트는 아니라고 말한다

랜섬웨어는 크고 작은 PC 사용자에게 영향을 미치며, 최근 여러 지방 자치 단체에서 데이터를 암호화하고 컴퓨팅 인프라가 다시 작동하도록 하기 위해 지불을 요구하는 소프트웨어로 인해 몇 주 동안 심각한 피해를 입고 불구가 되었습니다. 랜섬웨어는 종종 백업 시스템도 표적으로 삼기 때문에 정상으로 알려진 백업으로 복원하는 것이 불가능합니다.

몸값 요구와 중요한 기반 시설, 그리고 수십만 명의 무력화된 행정 기능에 직면했을 때 많은 도시에서 몸값을 지불하려는 유혹을 받았으며 일부는 실제로 굴복했습니다.

그러나 Microsoft는 테러리스트에게 절대 굴복하지 말라고 조언합니다.

우리는 랜섬웨어 피해자가 어떤 형태의 몸값 요구도 지불하도록 권장하지 않습니다. 몸값을 지불하는 것은 종종 비용이 많이 들고 위험하며 공격자가 작전을 계속할 수 있는 능력을 재충전할 뿐입니다. 결론적으로 이것은 공격자들의 등을 가볍게 두드리는 것과 같습니다. 주목해야 할 가장 중요한 점은 랜섬웨어 암호 해독 키를 얻기 위해 사이버 범죄자에게 비용을 지불한다고 해서 암호화된 데이터가 복원된다는 보장이 없다는 것입니다.

불행히도 Microsoft는 대신 수행할 작업을 확장하지 않고 다음과 같이 예방이 치료보다 낫다고 제안합니다.

… 모든 조직은 사이버 보안 사고를 발생 여부가 아니라 발생 시점의 문제로 취급해야 합니다. 이러한 사고방식을 갖는 것은 조직이 그러한 사건이 발생했을 때 신속하고 효과적으로 대응하는 데 도움이 됩니다.

Microsoft는 다음 전략을 권장합니다.

1. 효과적인 이메일 필터링 솔루션 사용

이에 따르면 24년 Microsoft 보안 인텔리전스 보고서 2018권, 스팸 및 피싱 이메일은 여전히 ​​랜섬웨어 감염의 가장 일반적인 전달 방법입니다. 랜섬웨어의 진입점을 효과적으로 차단하려면 모든 조직에서 조직에 들어오고 나가는 모든 이메일 콘텐츠와 헤더에서 스팸, 바이러스 및 기타 지능형 악성코드 위협을 검사하도록 하는 이메일 보안 서비스를 채택해야 합니다. 엔터프라이즈급 이메일 보호 솔루션을 채택하면 조직에 대한 대부분의 사이버 보안 위협이 들어오고 나갈 때 차단됩니다.

2. 정기적인 하드웨어 및 소프트웨어 시스템 패치 및 효과적인 취약점 관리

많은 조직이 여전히 오래된 사이버 보안 권장 사항 중 하나와 사이버 보안 공격에 대한 중요한 방어 수단 중 하나를 채택하지 못하고 있습니다.소프트웨어 공급업체가 릴리스하는 즉시 보안 업데이트 및 패치를 적용합니다. 이 실패의 두드러진 예는 2017년 인터넷 역사상 가장 큰 글로벌 사이버 보안 공격 중 하나인 WannaCry 랜섬웨어 사건이었습니다. 첫 번째 공개된 사건보다 거의 두 달 전에 패치를 적용했습니다. 정기적인 패치와 효과적인 취약성 관리 프로그램은 랜섬웨어 및 기타 형태의 맬웨어로부터 방어하기 위한 중요한 조치이며 모든 조직이 랜섬웨어의 희생자가 되지 않도록 하는 올바른 방향입니다.

3. 최신 안티바이러스와 EDR(Endpoint Detection and Response) 솔루션 사용

바이러스 백신 솔루션을 소유하는 것만으로는 바이러스 및 기타 고급 컴퓨터 위협에 대한 적절한 보호가 보장되지 않지만 바이러스 백신 솔루션을 소프트웨어 공급업체와 함께 최신 상태로 유지하는 것이 매우 중요합니다. 공격자는 새로운 바이러스 및 익스플로잇 생성에 막대한 투자를 하는 반면 공급업체는 바이러스 백신 데이터베이스 엔진에 대한 매일 업데이트를 릴리스하여 따라잡기 게임을 하게 됩니다. 안티바이러스 솔루션의 소유 및 업데이트를 보완하는 것은 엔드포인트에서 대량의 데이터를 수집 및 저장하고 실시간 호스트 기반 파일 수준 모니터링 및 시스템 가시성을 제공하는 EDR 솔루션을 사용하는 것입니다. 이 솔루션에서 생성된 데이터 세트 및 경고는 지능형 위협을 차단하는 데 도움이 될 수 있으며 종종 보안 사고에 대응하는 데 활용됩니다.

4. 표준 자격 증명에서 관리 자격 증명과 권한 자격 증명을 분리합니다.

사이버 보안 컨설턴트로 일하면서 내가 일반적으로 고객에게 제공하는 첫 번째 권장 사항 중 하나는 시스템 관리 계정을 표준 사용자 계정과 분리하고 이러한 관리 계정을 여러 시스템에서 사용할 수 없도록 하는 것입니다. 이러한 권한 있는 계정을 분리하면 적절한 액세스 제어가 시행될 뿐만 아니라 단일 계정의 손상이 전체 IT 인프라의 손상으로 이어지지 않도록 합니다. 또한 MFA(Multi-Factor Authentication), PIM(Privileged Identity Management) 및 PAM(Privileged Access Management) 솔루션을 사용하는 것은 권한 있는 계정 남용을 효과적으로 방지하고 자격 증명 공격 표면을 줄이는 전략적 방법입니다.

5. 효과적인 애플리케이션 화이트리스트 프로그램 구현

IT 인프라 내에서 실행할 수 있는 애플리케이션을 제한하는 것은 랜섬웨어 방지 전략의 일부로 매우 중요합니다. 애플리케이션 화이트리스트는 조직에서 테스트 및 승인한 애플리케이션만 인프라 내 시스템에서 실행할 수 있도록 합니다. 이는 지루할 수 있고 여러 IT 관리 과제를 제시하지만 이 전략은 효과적인 것으로 입증되었습니다.

6. 중요 시스템 및 파일을 정기적으로 백업

알려진 양호한 상태로 복구하는 기능은 모든 정보 보안 사고 계획, 특히 랜섬웨어에서 가장 중요한 전략입니다. 따라서 이 프로세스의 성공을 보장하기 위해 조직은 모든 ​​중요한 시스템, 응용 프로그램 및 파일이 정기적으로 백업되고 이러한 백업이 복구 가능한지 확인하기 위해 정기적으로 테스트되는지 확인해야 합니다. 랜섬웨어는 발견되는 모든 파일을 암호화하거나 파괴하는 것으로 알려져 있으며 종종 복구할 수 없게 만들 수 있습니다. 따라서 영향을 받는 모든 파일이 랜섬웨어 공격의 영향을 받지 않는 보조 위치에 저장된 양호한 백업에서 쉽게 복구될 수 있다는 것이 가장 중요합니다.

마이크로소프트도 제공 랜섬웨어 공격을 시뮬레이션하는 도구.  Microsoft Secure Score는 조직에서 사용자, 데이터 및 장치를 보호하기 위해 활성화할 컨트롤을 결정하는 데 도움이 됩니다. 또한 조직은 내장된 머신 러닝을 사용하여 유사한 프로필과 점수를 비교할 수 있습니다. 공격 시뮬레이터 엔터프라이즈 보안 팀이 모의 랜섬웨어 및 피싱 캠페인을 포함한 시뮬레이션된 공격을 실행할 수 있습니다. 이렇게 하면 직원의 응답을 학습하고 그에 따라 보안 설정을 조정하는 데 도움이 됩니다.

Microsoft는 물론 사용자 데이터의 대량 조작을 감지하고 추적을 중단하도록 설계된 클라우드 백업 도구도 제공합니다.

에서 자세한 내용을 읽어보십시오 Microsoft의 탐지 및 대응 팀 블로그는 여기를 참조하세요.