검색
이 검색 상자를 닫습니다.

전체적인 보안으로 랜섬웨어로부터 파일 데이터 스토리지 보호

작성자 :

랜섬웨어의 경우 3온스의 예방이 치료의 XNUMX배 가치가 있습니다.

데이터 손실이 자연 재해로 인한 것인지 랜섬웨어 공격으로 인한 것인지 여부에 관계없이 비즈니스 연속성 계획은 데이터 복구와 관련하여 거의 동일하게 보일 수 있습니다. 올해 초, 나는 Qumulo의 내장 보안 제어 전체적인 보안 태세의 일환으로 맬웨어로부터 데이터를 보호하는 데 도움이 됩니다.  

이 시리즈에서는 다음과 같은 맥락에서 랜섬웨어에 초점을 맞출 것입니다. 비즈니스 연속성 및 재해 복구 RaaS(ransomware as-a-service)의 도래와 막대한 몸값이 지불되면서 공격이 증가하고 있기 때문입니다. 예를 들어, FBI는 수사를 100개 이상의 RaaS 변종으로 만들어졌으며 그 중 다수는 여러 랜섬웨어 캠페인에 사용되었습니다. 하는 동안 최근 랜섬웨어 사건 h많이 알려졌지만 피해자의 평판을 보호하기 위해 더 많은 것이 비공개로 유지되었습니다.

비즈니스 크리티컬 데이터는 몸값을 위해 암호화되고 사이버 범죄자는 비즈니스 연속성을 위해 돈을 받고 있습니다. 

소포스의 말에 따르면 2021년 랜섬웨어 현황, 5,400개 이상의 국가를 대표하는 30명의 의사 결정권자의 데이터를 기반으로 한 보고서(평균적으로 조직은 몸값을 지불한 후 데이터의 65%만 돌려받았습니다. 그러나 비즈니스 연속성 비용, 가동 중지 시간은 조직에 가장 큰 피해를 줍니다. 보고서에 따르면 중간 규모 조직이 지불하는 평균 몸값은 미화 170,404달러입니다. 그러나 다운타임, 인력 시간, 장치 비용, 네트워크 비용, 기회 상실, 몸값 지불 등을 고려하여 랜섬웨어 공격을 수정하기 위한 평균 비용은 미화 1.85만 달러였습니다.

랜섬웨어는 어떻게 침입합니까? 내가 방법을 세게 해줘…

사이버 범죄자는 영리한 전술을 사용하여 여러 계층에서 회사 환경에 침투합니다. 랜섬웨어를 배포합니다. 가장 일반적인 것 중 하나는 소셜 엔지니어링입니다. 회사 내부자가 속여서 자격 증명을 공유하거나 맬웨어를 다운로드하고 위협을 유입시키는 피싱 이메일입니다. 

USB 드라이브, 파트너 네트워크, 패치되지 않은 취약점, 쉽게 얻을 수 있는 암호 등은 모두 맬웨어가 침입할 수 있는 잠재적인 위협 요소입니다. 새로운 하이브리드 작업 모델은 더 많은 것을 만들 수 있습니다. 그렇기 때문에 침입을 방지하기 위해 보안에 대한 전체적인 접근 방식을 취하는 것이 중요합니다. 랜섬웨어 감지 발생하면 네트워크의 다른 부분으로 확산되지 않도록 합니다. 마지막으로 전체적인 접근 방식에는 데이터를 포함하는 비즈니스 연속성 계획이 포함됩니다. 백업 및 재해 복구 랜섬웨어에서.  

랜섬웨어: 공격의 해부 

랜섬웨어는 네트워크 장치, IoT 장치, 데스크톱 컴퓨터, 서버, 디지털 카메라, 프린터 및 zip 드라이브를 포함하여 운영 체제 또는 디지털 연결이 있는 거의 모든 장치를 감염시킬 수 있습니다. 대부분의 랜섬웨어 공격의 목표는 데이터를 추출하거나 데이터를 암호화하여 조직에서 데이터 암호 해독 키에 대한 비용을 지불하도록 하는 것입니다. 공격은 일반적으로 단계적으로 발생합니다.

  1. 네트워크 및 최소 하나의 초기 장치에 액세스
  2. 정보를 수집하기 위해 가능한 한 많은 추가 장치를 감염
  3. 데이터 추출
  4. 다음과 같은 추가 모듈을 배포합니다. 예를 들어 데이터 암호화
  5. 갈취를 위해 데이터 암호화

첫 번째 단계에서 침입자는 인프라(사용자, 데이터 흐름, 네트워크 토폴로지, 장치)에 대한 더 많은 정보를 계속 수집합니다. 그런 다음 나중 단계에서 데이터를 추출하거나 추가 맬웨어를 로드하여 데이터에 액세스하고 파일을 암호화할 수 있는 다른 스레드를 시작합니다. 

그렇기 때문에 감염을 예방하거나 감염이 발생한 네트워크 및 컴퓨팅 장치의 지점에서 초기 단계를 감지하기 위해 공격 벡터에 중점을 둔 효율적인 위험 관리 전략이 필요합니다. 데이터 저장은 감염 주기의 마지막에 있습니다. 멀웨어가 오래 실행될수록 감염이 더 확산되어 재해 복구 및 작업 재개가 복잡해집니다.

Qumulo의 전체적 보안 아키텍처: 개요 

에 대한 전체적인 보안 접근 방식 랜섬웨어 탐지 분석 및 상관 관계 분석을 위해 진입점에서 의심스러운 이벤트를 식별하기 위해 가능한 한 많은 장치에서 데이터를 캡처합니다. 탐지되면 랜섬웨어가 파일 저장소를 포함한 후속 계층에 액세스하지 못하도록 차단하는 조치가 취해집니다.

네트워크, 컴퓨팅, 장치 및 이벤트 모니터링 기술을 포함하는 전체론적 보안 접근 방식 구현 데이터 상관관계 및 분석, 스토리지 시스템에 내장된 사일로 보안 솔루션보다 선호됩니다. 목표는 랜섬웨어가 파일 데이터 근처에 접근하지 못하도록 하는 것입니다.

Qumulo 파일 데이터 플랫폼 보안을 핵심으로 하여 구축되었으며 데이터를 안전하게 유지하도록 설계된 광범위한 현대 기술 및 데이터 서비스를 포함합니다. Qumulo의 소프트웨어 아키텍처는 고유하게 개발된 프로토콜 스택이 있는 특수 목적 파일 시스템입니다. 파일 데이터 액세스 프로토콜에 타사 코드를 사용하지 않습니다. 격주 소프트웨어 업데이트에는 Qumulo 이미지 및 운영 체제가 포함되며 일반적인 취약점 및 노출(CVE) 문제를 포함하여 업데이트 및 수정 사항이 Qumulo에 의해 내장됩니다. 

이러한 이유로 Qumulo는 세 가지 도메인에 걸쳐 전체적인 보안 전략을 지원할 수 있습니다. 예방 및 탐지는 이 문서에서 다루고 복구 및 재개는 두 부분으로 구성된 이 시리즈의 두 번째 문서에서 다룹니다.

  1. 위험 표면을 줄이기 위한 예방 
  2. 의심스러운 활동을 조기에 발견하고 중지하기 위한 탐지 
  3. 비즈니스 연속성을 지원하기 위한 복구 및 재개 

Qumulo 파일 데이터 플랫폼

 

전체적 영역: 예방

가장 일반적인 맬웨어 공격 익스플로잇은 스토리지 시스템 외부에서 발생하며 이러한 공격이 시스템에 도달하지 못하도록 방지하고 싶습니다. 랜섬웨어의 첫 번째 목표는 방화벽 뒤에서 네트워크에 침입하여 악의적인 행위자가 공격을 감시하고 이동하고 계획할 수 있는 곳입니다. 다음은 랜섬웨어 및 기타 익스플로잇에 사용할 수 있는 위협 표면을 줄이기 위해 Qumulo 파일 시스템 소프트웨어에 내장된 사용하기 쉬운 여러 보안 기능입니다. 

  • 잠긴 Linux OS – 위험 노출을 줄이기 위한 최소한의 Ubuntu 이미지
  • 격주 제품 업데이트 - 내장된 보안 기능 및 패치 포함
  • 파일 시스템은 사용자 공간(LD/LDAP)에서 완전히 실행됩니다.
  • RBAC(역할 기반 액세스 제어) - 각 사용자 그룹이 사전 정의된 역할로 수행할 수 있는 작업을 지정하고 최소 권한을 위임합니다.
  • 네트워크의 호스트에 대한 SMB 및 NFS 파일 액세스 제한 
  • 액세스 기반 열거(ABE) – 권한 필요
  • SMB 공유를 숨기는 기능(공유를 마운트하려면 정확한 경로가 필요함)
  • 데이터 암호화(미사용 데이터는 기본적으로 암호화됨)
  • 유선상의 데이터를 암호화하고 공유별로 설정할 수 있습니다.

 

전체적 영역: 탐지

현대와의 통합 보안 정보 및 이벤트 관리(SIEM) 솔루션은 장치에서 데이터를 캡처하고 맬웨어 감염을 감지하고 중지하기 위한 전체적인 접근 방식을 제공합니다. 탐지 제어의 한 가지 중요한 측면은 중앙 이벤트 캡처 및 상관 관계입니다. 중앙 집중식 SIEM 접근 방식의 장점은 모든 데이터 센터 또는 클라우드 인스턴스 및 서비스에 대한 공통 솔루션을 제공한다는 것입니다. 데이터를 쉽게 수집하고 인덱싱, 필터링, 분석, 검색 및 시각화할 수 있습니다. 의심스러운 활동이 감지되면 자동화 또는 반자동 작업이 트리거될 수 있습니다. 이것은 랜섬웨어가 파일 시스템에 도달하기 전에 식별되고 중지되기 때문에 가장 효과적인 접근 방식입니다. 

 

Qumulo는 다음을 포함하여 시장에 출시된 SIEM 솔루션에 업계 표준 syslog 형식의 감사 로그를 보냅니다. Splunk, Elastic Search, AWS Cloudwatch 및 Azure Sentinel.

또한 IDS(침입 탐지 시스템)는 위험한 네트워크 트래픽 패턴을 탐지할 수 있습니다. 예를 들어, 익스플로잇 기술과 관련된 데이터 패킷을 추출하는 데 사용되는 비정상적인 DNS(도메인 이름 서버) 쿼리가 있습니다. 많은 기업들이 일부 공격 범주를 차단하는 고급 방화벽 및 악용 탐지 기능을 갖춘 탐지 제어를 위해 IPS(침입 방지 시스템)를 사용하고 있습니다.

Qumulo API를 사용하여 자동화된 응답 구현

XNUMXD덴탈의 Qumulo 파일 데이터 플랫폼 감사 기능을 통해 시장의 모든 주요 보안 소프트웨어를 지원합니다. 또한 Qumulo의 API를 사용하면 악의적인 활동이 감지될 경우 모든 공격 표면에서 자동화된 완화 조치를 시작할 수 있습니다. 직접 API 호출로 Qumulo API를 활용하는 방법은 여러 가지가 있으며 Qumulo는 Python 라이브러리를 제공하여 API 스크립트 개발 및 쿠물로 코어 CLI.

네트워크에서 IDS 시스템이 파일에 대해 의심스럽거나 악의적인 활동을 감지하면 시스템이 자동화된 이벤트를 트리거하여 위험을 완화할 수 있습니다. Qumulo는 자동화를 허용하는 풍부한 REST API 보안 이벤트의 경우 맬웨어 완화 작업을 포함하여 클러스터의 모든 종류의 관리 작업:

  • 디렉토리에 대한 할당량을 설정하거나 전체 시스템을 0으로 설정하십시오. 새로운 쓰기 활동은 금지됩니다(그러나 덮어쓰기는 여전히 가능함).
  • 읽기 전용 또는 제한된 IP 주소로 공유 설정
  • 사용자에 대한 권한 제거
  • 스냅샷 생성 또는 복원
  • 바이러스 백신 주문형 검사 시작

최근의 역사는 훌륭한 보안 통제라도 랜섬웨어에 의해 극복될 수 있음을 보여주었습니다. 따라서 작업을 복구하고 재개할 수 있는 수단이 필요합니다. Qumulo의 파일 시스템은 몇 가지 매우 효과적이고 구현하기 쉬운 재해 복구 전략을 지원합니다. 데이터 서비스 다음을 포함하여 Qumulo Core에 내장된 삭제 코딩, 변경 불가능한 스냅샷, 클라우드 백업 및 스냅샷 정책 복제. 

. 이 시리즈의 다음 기사, 세 번째 전체론적 영역인 데이터 r을 다룰 것입니다.랜섬웨어 공격 후 복구 및 운영 재개(롤백). 

상세보기

문의하기

관련 게시물

위쪽으로 스크롤