Qumulo의 Detective Controls 사용 방법은 XNUMX부작으로 구성된 시리즈의 세 번째 블로그입니다. 보안 제어 및 데이터 보호 기능 Qumulo의 파일 데이터 플랫폼에서 . 이 시리즈의 첫 번째 항목, 2부에서 다룬 보안 아키텍처를 소개했습니다. 예방적 통제, 그리고 이제 우리는 탐지에 집중할 것입니다.
가능한 한 빨리 악성 활동을 발견하려면 탐지 통제가 필수적입니다. 이상적으로는 이러한 종류의 활동을 감지해야 합니다. 전에 스토리지 시스템에 도달합니다.
구현 전체적인 보안 접근 여기에는 네트워크, 컴퓨팅, 장치 및 이벤트 모니터링 기술이 포함됩니다. 데이터 상관관계 및 분석은 스토리지 시스템에 내장된 사일로 솔루션보다 선호됩니다.
XNUMXD덴탈의 Qumulo 파일 데이터 플랫폼 감사 기능을 통해 모든 주요 ISV 보안 솔루션을 지원합니다. 또한 Qumulo의 API를 사용하면 악의적인 활동이 감지될 경우 모든 공격 표면에서 자동화된 완화 조치를 시작할 수 있습니다.
데이터 침해로부터 보호하기 위한 전체적인 보안 접근 방식
에 대한 전체적인 보안 접근 방식 랜섬웨어 탐지 의심스러운 이벤트에 대한 조치를 분석, 상관 관계 및 자동화하기 위해 가능한 한 많은 장치에서 데이터를 캡처합니다.
감사
Qumulo Core의 감사 로깅파일 데이터 플랫폼의 핵심인 는 파일 시스템과 관리 작업을 추적하기 위한 메커니즘을 제공합니다. 연결된 클라이언트가 클러스터에 요청을 보내면 시도된 각 작업을 설명하는 로그 메시지가 생성됩니다. 그런 다음 이러한 로그 메시지는 RFC 5424에 따라 현재 감사 구성에 의해 지정된 원격 syslog 인스턴스로 네트워크를 통해 전송됩니다. 이러한 모든 로그 이벤트의 대상 인스턴스는 Qumulo 클러스터 외부에 있으므로 나중에 조작하거나 삭제할 수 없습니다.
탐정 통제를 위한 Qumulo 접근 방식의 장점은 다음과 같습니다.
- Qumulo는 시장에서 일반적인 보안 정보 및 이벤트 관리 소프트웨어(SIEM)로 읽고, 구문 분석하고, 인덱싱할 수 있는 업계 표준 syslog 형식을 사용합니다.
- 모든 데이터 액세스 및 관리 작업이 캡처됩니다.
- 검증된 솔루션에는 다음이 포함됩니다. 스플 렁크, 탄성 검색및 AWS 클라우드워치
중앙 집중식 SIEM 접근 방식의 장점은 모든 데이터 센터 또는 클라우드 인스턴스 및 서비스에 대한 공통 솔루션이 존재한다는 것입니다. 데이터를 쉽게 수집하고 인덱싱, 필터링, 분석, 검색 및 시각화할 수 있습니다. 의심스러운 활동이 감지되면 자동화 또는 반자동 작업이 트리거될 수 있습니다. 악성코드를 식별하고 차단하기 때문에 가장 효과적인 접근 방식입니다. 전에 스토리지 시스템에 도달합니다.
바이러스 백신 검사
안티바이러스(AV) 예방의 첫 번째 라인은 데이터 센터 보안 하부 구조. 여기에는 방화벽, 네트워크 스캐닝, 서버 및 데스크톱 클라이언트가 포함될 수 있습니다. 맬웨어가 스토리지 시스템에 도달하면 데이터가 손상될 수 있다는 점을 이해하는 것이 중요합니다. 그럼에도 불구하고 우리는 여전히 스토리지 시스템에서 AV 솔루션에 대한 끊임없는 요청을 보고 있으며 여기에 몇 가지 옵션이 있습니다.
- 주문형 스캔: Qumulo는 시장에 있는 모든 주요 바이러스 백신 솔루션의 주문형 검사를 지원합니다. 정기적으로 예약할 수 있으며 사용량이 적은 시간에 실행하는 것이 좋습니다. 여러 스캐너를 클러스터의 모든 노드에 대해 동시에 병렬로 실행할 수 있기 때문에 Qumulo의 주문형 스캔은 확장 NAS보다 훨씬 빠르게 완료할 수 있습니다.
- 클라이언트 측 스캔: 스캔-온 열기가 필요하고 Qumulo에서 완전히 지원되는 경우 선호되는 방법입니다. 일반적으로 클라이언트에서 악성 페이로드를 실행하기 때문에 보안 조치에 투자하는 것이 가장 좋습니다. Qumulo는 서명(고급 공격자가 쉽게 수정할 수 있음)을 기반으로 하지 않고 바이너리 지문 및 AI 기술을 기반으로 하는 차세대 바이러스 백신을 채택할 것을 제안합니다. 또한 적절한 패치 관리 전략과 합법적이고 IT에서 제어하는 소프트웨어만 실행할 수 있는 화이트리스트 접근 방식은 공격 표면과 전반적인 발병 위험을 줄이는 데 유용합니다.
- 온액세스 스캔 (AV 클라이언트 SW 제외): 일부 공급업체는 ICAP 프로토콜을 사용하여 이를 수행합니다. 파일이 열리면 이 프로토콜도 지원해야 하는 바이러스 백신 SW 인스턴스로 전송됩니다. 그런 다음 파일이 열리기 전(열릴 때 스캔) 또는 후에(닫을 때 스캔) 파일이 스캔됩니다. 이 접근 방식의 일반적인 문제는 다음 섹션에서 설명합니다.
온액세스 스캔 문제
온액세스 스캔(클라이언트에서 수행되지 않은 경우)은 실제로 다음과 같은 상당한 문제를 보여주었습니다.
- 허용되지 않는 응답 시간: 0.5-5ms 범위의 일반적인 응답 시간을 제공하는 매우 빠르고 확장 가능한 확장형 NAS 시스템을 구입했습니다. 검색 열기를 위한 바이러스 백신 엔진을 추가한 경우 응답 시간은 일반적으로 몇 초로 늘어납니다(네트워크, 검색 엔진, 하드웨어 및 파일 크기에 따라 다름). 이는 일반적으로 사용자와 응용 프로그램이 빠른 응답 시간을 요구하는 고급 솔루션에 적합하지 않습니다.
- 엄청나게 많은 양의 스캐닝 서버: 온액세스 스캔에는 스캐너용으로 매우 큰 서버 팜이 필요합니다. 일반적으로 스토리지 노드당 1-2개의 물리적 서버. 이것은 좋은 접근 방식이 아니며 바이러스는 데스크톱 컴퓨터, 서버, 네트워크 장치와 같은 소스에서 캡처해야 합니다.
데이터 침해로부터 방어하기 위한 모범 사례
스토리지 시스템에서 바이러스 백신 검색의 단점을 피하기 위해 Qumulo는 다음 모범 사례를 권장합니다.
- 온액세스 검색이 필요한 경우 클라이언트 측 에이전트를 사용하십시오. 모든 주요 플랫폼에서 사용할 수 있으며 상당한 단점이 없습니다.
- 선택한 안티바이러스 솔루션과 함께 Qumulo에서 주문형 또는 예약된 검사를 사용하십시오. 정기적으로 그리고 사용량이 적은 시간에 예약할 수 있습니다.
- 정기적인 스냅샷을 찍습니다(백서의 마지막 블로그인 시정 제어에서 다룹니다).
백서 다운로드: 맬웨어 대응을 위한 보안 아키텍처 및 모범 사례
랜섬웨어 탐지
랜섬웨어는 악성코드의 일종 기업 또는 정부의 민감한 데이터에 액세스하려는 시도. 이는 데이터를 암호화하고 추출하여 작동하며, 이때 공격 배후의 악의적인 행위자는 일반적으로 데이터를 해독하기 위한 키에 대한 지불을 요구합니다.
랜섬웨어 공격은 일반적으로 단계적으로 발생합니다.
- 네트워크 및 하나 이상의 초기 장치에 액세스
- 정보를 수집하기 위해 가능한 한 많은 추가 장치를 감염
- 데이터 추출
- 랜섬웨어 배포: 추가 모듈 로드 예를 들어 데이터를 암호화합니다.
- 갈취를 위해 데이터 암호화
일반적인 랜섬웨어 공격 벡터
랜섬웨어 배포에는 많은 공격 벡터가 있습니다. 몇 가지 일반적인 예는 다음과 같습니다.
- 스피어 피싱 이메일(첫 번째 위협)
- 수정/패치되지 않은 OS 취약점 활용
- 트로이 목마 소프트웨어
- 중간자 (man-in-the-middle) 공격
- 웹 서버 익스플로잇
- 교차 사이트 스크립팅
- SQL 인젝션
- 도메인 스푸핑
- 급수 구멍 웹 사이트
효율적인 탐지 통제 및 예방 전략
효율적인 예방 전략이 필요합니다. 감염 단계의 시작. 공격 벡터를 살펴보면 이것이 주로 저장 장치가 아님이 분명합니다. 즉, 스토리지 시스템에 격리된 맬웨어 방지 솔루션을 사용하는 것이 효율적인 전략이라고 생각하지 마십시오. 이것은 확실히 사실이 아닙니다. 왜요? 랜섬웨어 공격 중에는 네트워크 장치, IoT 장치, 데스크톱 컴퓨터, 서버, 카메라, 프린터 등 기본적으로 운영 체제가 있는 모든 장치가 감염되기 때문입니다. 멀웨어는 활성화되기 전에 꽤 오랜 시간 동안 그곳에 머물러 있습니다. 첫 번째 단계에서 침입자는 인프라(사용자, 데이터 흐름, 네트워크 토폴로지, 장치)에 대한 더 많은 정보를 계속 수집합니다. 그런 다음 공격의 후반 단계에서 데이터 유출 및/또는 추가 모듈 로드를 시작하여 데이터 액세스 및 파일 암호화와 같은 다른 스레드를 시작합니다.
따라서 효율적인 예방 전략은 감염 초기 단계에서 시작해야 한다는 것이 분명해졌습니다. 스토리지 시스템은 공격 단계의 맨 끝에 있습니다. 네트워크와 악성코드가 실행되고 실행되는 모든 종류의 컴퓨팅 장치에서 훨씬 더 일찍 감염을 캡처하고 중지해야 합니다.
또한 네트워크에서 모든 잠재적 장치가 제거되지 않았기 때문에 종종 치료 노력 후에 재감염이 발생합니다. 이것은 네트워크, 서버, 애플리케이션(예: 이메일)에서 초기 단계에서 맬웨어를 캡처하는 또 다른 강력한 이유입니다.
현대 보안 정보 및 이벤트 관리(SIEM) 솔루션은 모든 잠재적인 장치에서 데이터를 캡처하고 맬웨어 감염을 감지하고 방지하기 위한 전체적인 접근 방식을 제공합니다. 탐지 제어의 한 가지 중요한 측면은 중앙 이벤트 캡처 및 상관 관계입니다. 또한, 침입 탐지 시스템(IDS)은 위험한 네트워크 트래픽의 패턴을 탐지할 수 있습니다. 예를 들어 데이터를 추출하는 데 사용되는 비정상적인 DNS(도메인 이름 서버) 쿼리, 익스플로잇 기술과 관련된 패킷입니다.
많은 기업에서 일부 공격 범주를 차단하는 데 도움이 될 수 있는 고급 방화벽 및 악용 탐지 기능이 있는 탐지 제어를 위해 IPS(침입 방지 시스템)를 사용하고 있습니다.
Qumulo API를 사용하여 자동화된 응답 구현
IDS 시스템이 파일에 대해 의심스럽거나 악의적인 활동을 감지하면 시스템이 자동화된 이벤트를 트리거할 수 있습니다. Qumulo는 자동화를 허용하는 풍부한 REST API 클러스터에 대한 모든 종류의 관리 작업. 다음은 보안 이벤트의 경우 완화 작업의 예입니다.
- 디렉토리 또는 전체 시스템에 대한 할당량을 0으로 설정합니다. 이 경우 새로운 쓰기 활동이 방지됩니다(그러나 덮어쓰기는 여전히 가능할 수 있음).
- 읽기 전용으로 공유 설정 또는 IP 주소 제한
- 사용자에 대한 권한 제거
- 스냅샷 생성 또는 복원
- 바이러스 백신 주문형 검사 시작
Qumulo API를 활용하는 방법에는 여러 가지가 있습니다.
- 직접 API 호출
- Qumulo에서 제공하는 Python 라이브러리를 사용하여 API 스크립트 개발 간소화
- 사용 쿠물로 CLI
진행 중인 사이버 보안 위반 시도("이벤트") 또는 성공적인 보안 위반("사고")을 감지하여 위험을 완화하기 위해 보안 모범 사례와 함께 Qumulo의 탐지 제어를 사용하는 것이 좋습니다.
이 시리즈의 마지막 항목에서는 수정 제어를 다루거나 보안 아키텍처 백서를 다운로드하여 계속 진행합니다.
자세히 알아보기
백지: 맬웨어 대응을 위한 보안 아키텍처 및 모범 사례
문의하기
- 시승하기. 대화형 Hands-On Lab에서 Qumulo를 시연합니다.
- Qumulo 블로그 구독 고객 사례, 기술 통찰력, 업계 동향 및 제품 뉴스를 제공합니다.
