랜섬웨어와 강탈은 대상 조직, 국가/지역 안보, 경제 안보, 공중 보건 및 안전에 부정적인 영향을 주는 고수익 저비용 비즈니스입니다. 간단한 단일 PC 랜섬웨어로 시작된 것이 모든 유형의 회사 네트워크와 클라우드 플랫폼을 대상으로 하는 다양한 강탈 기술을 포함하도록 성장했습니다.
팁 (조언)
이 문서에서는 Azure 특정 랜섬웨어 보호에 중점을 둡니다. 모든 Microsoft 플랫폼에 대한 포괄적인 지침은 랜섬웨어 및 강탈로부터 조직 보호를 참조하세요.
Azure에서 실행되는 고객이 랜섬웨어 공격으로부터 보호되도록 하기 위해 Microsoft는 클라우드 플랫폼의 보안에 많은 투자를 하고 Azure 클라우드 워크로드를 보호하는 데 필요한 보안 제어를 제공합니다.
Azure 네이티브 랜섬웨어 보호를 사용하고 이 문서에서 권장하는 모범 사례를 구현하여 조직이 Azure 자산에 대한 잠재적 랜섬웨어 공격을 방지, 보호 및 감지하도록 하는 조치를 취하고 있습니다.
이 문서에서는 랜섬웨어 공격에 대한 주요 Azure 네이티브 기능 및 방어 조치와 해당 기능을 사전에 사용하여 Azure 클라우드의 자산을 보호하는 방법에 대한 지침을 제공합니다.
Azure 클라우드 리소스의 대상 지정 방법
클라우드 인프라를 공격할 때 악의적인 사용자는 고객 데이터 또는 회사 비밀에 액세스하기 위해 여러 리소스를 공격하는 경우가 많습니다. 클라우드 “킬 체인” 모델은 공격자가 퍼블릭 클라우드에서 실행되는 리소스에 대한 액세스를 시도하는 방식을 노출, 액세스, 수평 이동, 작업이라는 4단계 프로세스를 통해 설명합니다.
- 노출 단계에서는 공격자가 인프라에 액세스할 수 있는 기회를 찾습니다. 예를 들어 공격자는 권한 있는 사용자가 액세스할 수 있도록 고객 관련 애플리케이션이 열려 있어야 한다는 것을 알고 있습니다. 해당 애플리케이션은 인터넷에 노출되므로 공격에 취약합니다.
- 공격자는 노출을 악용하여 퍼블릭 클라우드 인프라에 액세스하려고 합니다. 손상된 사용자 자격 증명, 손상된 인스턴스 또는 잘못 구성된 리소스를 통해 액세스할 수 있습니다.
- 수평 이동 단계에서는 공격자가 액세스할 수 있는 리소스와 해당 액세스 범위를 발견합니다. 인스턴스에 대한 공격이 성공하면 공격자는 데이터베이스 및 기타 중요한 정보에 액세스할 수 있습니다. 그런 다음, 공격자가 추가 자격 증명을 검색합니다. 클라우드용 Microsoft Defender 데이터에 따르면 공격을 신속하게 알리는 보안 도구가 없을 경우 조직에서 위반을 발견하는 데 평균 101일이 걸립니다. 반면, 공격자는 일반적으로 위반 발생 후 24~48시간 내에 네트워크를 완전히 제어할 수 있습니다.
- 수평 이동 후 공격자가 수행하는 작업은 주로 수평 이동 단계에서 액세스할 수 있었던 리소스에 따라 다릅니다. 공격자는 데이터 반출 또는 데이터 손실을 유발하거나 기타 공격을 시작하는 작업을 수행할 수 있습니다. 엔터프라이즈의 경우 데이터 손실의 평균 재정적 영향은 현재 123만 달러에 이르고 있습니다.
Azure 관련 공격 벡터
Azure 환경을 대상으로 하는 경우 랜섬웨어 공격자는 종종 다음을 악용합니다.
- 잘못 구성된 Azure 리소스: 액세스 제어가 약한 공개적으로 노출된 스토리지 계정, 데이터베이스 또는 가상 머신
- Compromised Azure 자격 증명: Azure 리소스에 대한 접근 권한을 제공하는 탈취된 Microsoft Entra ID 계정, 서비스 주체 또는 관리 ID
- 취약한 Azure VM: RDP(원격 데스크톱 프로토콜) 또는 SSH를 통해 액세스할 수 있는 패치되지 않은 가상 머신
- 약한 네트워크 보안: 잘못 구성된 NSG(네트워크 보안 그룹) 또는 Azure Firewall 규칙
- 부적절한 백업 보호: 불변성 또는 MFA 보호가 부족한 Azure Backup 구성
- 부실한 ID 보안: Microsoft Entra ID 계정이 다단계 인증 또는 조건부 액세스 정책이 없는 경우
클라우드용 Microsoft Defender는 Azure 환경에서 이러한 취약성을 지속적으로 모니터링합니다. 공격 기술 및 방어 전략에 대한 포괄적인 지침은 랜섬웨어란?
랜섬웨어에 대한 Azure 네이티브 보호
Azure는 공격 수명 주기의 모든 단계에서 랜섬웨어 공격을 방어하는 기본 제공 기능을 제공합니다. 몸값 지불에 대한 최선의 방어는 Azure의 강력한 보안 도구를 사용하여 예방 조치를 구현하고 영향을 받은 자산을 복구하여 비즈니스 운영을 신속하게 복원하는 기능을 보장하는 것입니다.
주요 Azure 네이티브 보호 기능은 다음과 같습니다.
- 클라우드용 Microsoft Defender - 랜섬웨어별 검색 기능을 사용하여 Azure 워크로드에 대한 XDR(위협 탐지 및 대응) 제공
- Azure Backup - 복구 옵션을 보장하기 위해 일시 삭제 및 MFA 보호를 사용하여 변경할 수 없는 백업을 제공합니다.
- Azure Firewall 프리미엄 - 랜섬웨어 C&C(명령 및 제어) 통신을 감지하고 차단하는 IDPS 포함
- Microsoft Entra ID 보호 - Azure 리소스를 대상으로 하는 자격 증명 도난 및 의심스러운 인증 패턴 검색
- Azure Policy - Azure 리소스에 보안 구성 및 규정 준수 적용
- Microsoft Sentinel - 랜섬웨어별 검색 분석을 사용하여 SIEM/SOAR 기능을 제공합니다.
랜섬웨어를 보호, 감지 및 응답하는 데 도움이 되는 Azure 기능에 대한 자세한 내용은 보호, 감지 및 대응에 도움이 되는 Azure 기능 및 리소스를 참조하세요.
다음 단계
Azure 특정 랜섬웨어 보호 지침을 계속 따라가십시오.
- 랜섬웨어 공격 준비 - Azure 백업 및 복구 전략
- 랜섬웨어 공격 감지 및 대응 - 클라우드용 Microsoft Defender 사용
- 보호, 검색 및 대응에 도움이 되는 Azure 기능 및 리소스 - Azure 보안 기능
- Azure Firewall Premium을 사용하여 랜섬웨어 공격에 대한 보안 방어 개선
- 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획