랜섬웨어 공격 방지

랜섬웨어 공격자는 사이버 보안 조치를 피할 수 있는 방법이 있지만 보안 담당자는 비즈니스를 보호할 수 있어야 합니다. 감염 위험을 줄이기 위한 몇가지 전술에는 백업, 사용자 교육, 의심스러운 이메일 격리 및 콘텐츠 필터링이 포함됩니다.

몸값을 지불해야 합니까?

사이버 보안 연구원은 비용을 지불하는 것에 동의하지 않습니다. FBI는 몸값 지불에 반대합니다. 일부 피해자는 비용을 지불하고 파일에 액세스합니다. 일부는 돈을 지불하고도 액세스할 수 없습니다. Petya의 경우 개발자는 데이터를 해독하는 방법 없이 소프트웨어를 만들었습니다.

전반적으로 전문가들은 손실을 줄이고 몸값을 지불하지 않을 것을 제안합니다. 그러나 데이터 손실은 조직에 큰 영향을 미칠 수 있어 해커가 요구하는 돈이 증가하고 있습니다. Petya 개발자는 원래 비트코인으로 300달러를 요구했습니다. 최신 랜섬웨어 버전은 수십만 달러의 암호 화폐를 요구합니다. 랜섬웨어 비즈니스 모델은 그 배후에있는 악의적인 행위자가 계속해서 금전적 이득이 있기 때문에 존재합니다. 몸값 지불이 중단되면 랜섬웨어 비즈니스 모델이 무너질 것입니다.

몸값을 지불한다고 해서 데이터 복원을 위한 개인 키를 받을 수 있다는 보장은 없습니다. 대신 일상적인 작업에서 보호 조치를 통해 데이터를 보호하십시오. 공격이 있다 하더라도 파일을 원래 상태로 되돌릴 수 있습니다. 백업이 중요한 이유입니다.

보호 조치

  • 백업
  • 사용자 교육
  • 의심스러운 이메일 격리
  • 콘텐츠 필터링
     

랜섬웨어를 탐지하도록 사용자 교육

사용자 교육은 감염 위험을 크게 줄입니다. 랜섬웨어 공격은 일반적으로 악성 이메일로 시작됩니다. 사용자는 랜섬웨어, 피싱 및 소셜 엔지니어링을 포함한 사이버 위협을 식별하도록 교육을 받을 수 있습니다. 악성 메시지를 식별하도록 훈련된 사용자는 감염된 첨부 파일을 열 가능성이 적습니다.

해커는 때때로 공격에 소셜 엔지니어링을 사용합니다. 소셜 엔지니어링은 공격자가 네트워크에서 더 높은 권한을 가진 특정 사용자를 표적으로 삼는 것입니다. 공격자는 이러한 사용자가 로컬 스토리지에 더 중요한 데이터를 가지고 있거나 비즈니스에 중요한 시스템 및 인프라에 액세스 할 수 있다고 믿습니다. 이것은 기업이 몸값을 지불할 기회를 증가시킵니다.

소프트웨어 패치 및 업데이트 유지

펌웨어, 멀웨어 방지 응용 프로그램, 운영 체제 및 타사 소프트웨어에 최신 패치가 설치되어 있는지 확인하십시오. 새로운 랜섬웨어 버전이 정기적으로 출시되며 소프트웨어 업데이트를 통해 멀웨어 방지 프로그램이 새로운 위협을 확인할 수 있습니다.

WannaCry는 운영 체제 위협의 예입니다. 미국 NSA(National Security Agency)에서 개발한 익스플로잇인 EternalBlue를 통합했습니다. Windows 운영 체제 서버 메시지 블록(SMB) 프로토콜의 약점을 활용했습니다. Microsoft는 감염 30일 전에 WannaCry를 막기 위한 패치를 발표했습니다. 패치가 없으면 Windows 운영 체제가 취약합니다.

최근에는 ZeroLogon이 랜섬웨어 공격에 사용되는 것을 확인했습니다.

상시 백업

랜섬웨어에서 복구하는 가장 좋은 방법은 백업에서 데이터를 복원하는 것입니다. 백업은 암호화된 파일이 아닌 소스에서 데이터를 복원하여 몸값 요구를 우회합니다. 해커는 이를 알고 있으므로 네트워크에서 백업 파일을 검색하는 랜섬웨어를 개발합니다. 백업에서 복원 한 후에도 네트워크에서 랜섬웨어를 제거해야 합니다.

멀웨어가 백업 파일을 암호화하지 못하도록 방법은 백업 사본을 오프사이트에 보관하는 것입니다. 클라우드 백업은 오프사이트 백업 솔루션이 필요한 기업을 위한 일반적인 선택입니다. 클라우드 백업을 사용하면 랜섬웨어 및 기타 사이버 보안 위협으로부터 파일 사본을 안전하게 보관할 수 있습니다.

랜섬웨어 탐지

랜섬웨어 공격은 일반적으로 실행 파일 또는 실행 파일을 다운로드하여 실행하는 스크립트에서 발생합니다. 모든 랜섬웨어 공격이 즉각적인 것은 아닙니다. 일부 랜섬웨어는 특정 날짜까지 휴면 상태를 유지합니다. 예를 들어, CryptoLocker 모방범인 Locker라는 랜섬웨어 유형은 페이로드를 실행한 2015년 5월 25일 자정까지 침묵했습니다.

Cryptolocker 메시지


네트워크 관리자는 의심스러운 네트워크 트래픽을 모니터링하는 애플리케이션으로 랜섬웨어를 탐지합니다. 응용 프로그램은 멀웨어가 많은 수의 파일 이름을 바꿀 때 알림을 보냅니다. 멀웨어 방지 소프트웨어는 수천 가지 유형의 랜섬웨어로부터 보호합니다. 랜섬웨어가 실행되기 전에 식별하는 디지털 서명이 포함되어 있습니다. 개발자가 아직 알지 못하는 취약점을 표적으로 삼는 제로데이 공격을 항상 포착할 수 있는 것은 아닙니다.

현재 멀웨어 방지 솔루션에는 인공지능(AI), 기계 학습 및 행동 모니터링이 포함됩니다. 이러한 솔루션은 변경 및 파일 액세스 요청에 대해 현재 파일 상태를 벤치마킹합니다. 관리자에게 의심스러운 활동을 경고하여 공격을 조기에 해결하고 파일 암호화 및 데이터 파괴를 방지할 수 있습니다.

조기 발견은 예방에 도움이 됩니다

효과적인 랜섬웨어 방지에는 우수한 모니터링 애플리케이션, 빈번한 파일 백업, 멀웨어 방지 소프트웨어 및 사용자 교육이 필요합니다. 사이버 방어가 위험을 완전히 줄이지는 않지만 공격자가 성공할 가능성을 크게 제한 할 수 있습니다.

관련 연구

관련 기사