보안 QRadar SIEM IBM Security QRadar SIEM을 통한 랜섬웨어 감지 및 방지
IBM Security® QRadar® SIEM은 랜섬웨어가 데이터를 인질로 잡기 전에 랜섬웨어를 탐지할 수 있도록 도와줍니다.
데모 요청
사무실에서 화이트보드에 글씨를 쓰고 있는 사람
랜섬웨어 감지 및 대응

랜섬웨어는 사이버 범죄 중 가장 강력한 비즈니스 모델로 성장해 매년 기업에 수십억 달러에 이르는 손실을 입히고 있습니다. 사이버 범죄자는 랜섬웨어 공격 시 중요 데이터를 훔치거나 암호화한 다음 안전한 반환을 대가로 금전을 요구합니다. 이러한 공격은 소비자 대상 골칫거리에서 고급 암호화 기능을 갖춘 정교한 악성코드로 진화해 산업과 지역 및 비즈니스를 막론하고 모든 조직에 위협이 되고 있습니다.

랜섬웨어 및 기타 악성코드로부터 기업을 보호하려면 신속한 대응이 필요합니다. 대량의 파일이 암호화되고 디바이스가 감염되는 과정이 초 단위로 발생해 막대한 피해와 손실액을 초래하기 때문입니다. IBM Security QRadar SIEM은 이러한 위협을 신속하게 감지하고 정보를 바탕으로 즉각적인 조치를 취할 수 있어 공격으로 인한 피해를 예방하거나 최소화할 수 있도록 도와드립니다.
랜섬웨어의 위험에 대해 알아보기

랜섬웨어 완벽 가이드 읽기

2023년 데이터 유출 손실액 보고서 읽기
QRadar SIEM 솔루션 개요 보기
랜섬웨어의 위협

랜섬웨어와의 싸움에서는 조기 탐지 및 예방이 필수적입니다. QRadar SIEM은 중요한 위협에 대한 실행 가능한 인사이트를 제공하는 지능형 보안 분석으로 지원합니다.

 21%

전체 사이버 공격의 21%가 랜섬웨어¹

 4.54

랜섬웨어 공격으로 인한 평균 손실액 454만 달러(USD)2

 146%

새로운 코드로 Linux 랜섬웨어가 146% 증가3
랜섬웨어 대응 솔루션 QRadar SIEM

랜섬웨어는 대부분의 악성코드와 마찬가지로 여러 단계를 거칩니다. QRadar SIEM은 알려진, 그리고 알려지지 않은 랜섬웨어의 발생을 전 단계에 걸쳐 탐지할 수 있으며, 신속한 탐지는 피해 확산을 조기에 예방할 수 있습니다. QRadar는 수백 가지 사용 사례가 포함된 컨텐츠 확장 기능을 제공하고 전 단계에 걸쳐 경고를 생성합니다. 콘텐츠 확장 기능은 App Exchange를 통해 배포되며 최신 사용 사례를 얻을 수 있는 기능을 제공합니다. IBM Security® X-Force® Threat Intelligence 콜렉션은 IP 주소, 악성코드 파일 해시, URL 등과 같은 알려진 최신 침해 지표(IOC)를 찾는 데 도움이 되는 사용 사례의 참조 자료로 활용됩니다.

대부분의 '알려진' 악성코드 및 랜섬웨어는 초기 단계에서 찾을 수 있습니다. QRadar SIEM은 알려지지 않은 랜섬웨어를 발견하기 위해 랜섬웨어 동작 감지에 중점을 둔 사용 사례를 제공합니다. QRadar SIEM Use Case Manager는 종료점, 응용프로그램 서버(AS)(온프레미스 및 클라우드) 및 네트워크 디바이스(방화벽)에 대한 가시성을 통해 IT 및 OT 인프라에 걸친 랜섬웨어 동작 패턴을 감지할 수 있습니다. Use Case Manager는 MITRE ATT&CK 매트릭스로 이러한 단계에 적용되는 사용 사례 또는 규칙을 시각화해줍니다.
유포 단계(MITRE ATT&CK 전술: 초기 액세스)

이 단계의 랜섬웨어는 기존의 악성코드와 비슷해 보입니다. 피싱 기법을 사용하여 직원이 의심 없이 이메일, 허니팟, 소셜 미디어 또는 문자 메시지의 링크나 실행 파일을 클릭하도록 조작합니다.

유포 패턴 및 알려진 랜섬웨어를 찾기 위한 QRadar SIEM 사용 사례:

  • 이메일에 임베드된 실행 파일
  • 적대적인 호스트와의 이메일 또는 웹 통신
  • 의심스러운 이메일 제목
감염 단계(MITRE ATT&CK 전술: 실행, 지속성)

스톱워치가 시작되는 순간입니다. 이제 랜섬웨어가 사용자 환경 안에 있습니다. 랜섬웨어가 유포 단계에서 탐지를 피하기 위해 '드롭퍼'를 사용했다면, 이제 드롭퍼가 '실제 실행 파일'을 다운로드해 실행합니다.

감염 동작 방식을 찾기 위한 QRadar SIEM 사용 사례:

  • 악성 파일 또는 프로세스 탐지
  • 악성 IOC 탐지
  • 파일 디코딩 또는 다운로드 후 의심스러운 활동
스테이징 단계(MITRE ATT&CK 전술: 지속성, 권한 에스컬레이션, 방어 회피, 증명서 액세스)

랜섬웨어는 컴퓨터를 스캔해 관리 권한을 분석/탈취하고, 시스템 시작 시 실행되며, 복구 모드를 비활성화하고, 섀도우 사본을 삭제하는 등의 동작을 수행합니다.

스테이지별 동작 방식을 탐지하기 위한 QRadar SIEM 사용 사례:

    • 새도우 사본 삭제 시도, 백업
    • 부트 구성에서 복구가 비활성화됨
    정찰 단계(MITRE ATT&CK 전술: 발견, 수평 이동, 콜렉션)

    이제 랜섬웨어가 시작 단계부터 시스템을 장악해 네트워크(공격 경로), 사전 정의된 확장명이 있는 폴더 및 파일 등의 정찰 단계를 시작합니다.

    정찰 동작 방식을 찾기 위한 QRadar SIEM 사용 사례:

    • 새도우 사본 삭제 시도, 백업
    • 데이터 전송 크기 제한
         QRadar의 종료점 모니터링 필수 사항
    암호화 단계(MITRE ATT&CK 전술: 유출, 영향)

    진짜 피해는 지금부터 시작됩니다. 대체로 각 파일의 사본 만들기, 사본 암호화 및 새 파일을 원래 위치로 배치하는 작업등이 수행됩니다. 원본 파일은 시스템에서 유출되거나 삭제될 수 있어, 공격자가 탈취한 파일을 공개하겠다고 피해자를 위협해 금전을 갈취하거나 훔친 문서를 유출할 기회를 제공합니다. 

    암호화 동작을 찾기 위한 QRadar SIEM 유스 케이스의 예:

    • 과도한 파일 삭제 또는 생성
    • 동일한 컴퓨터에서 의심스러운 양의 파일명이 변경되거나 이동됨(UNIX)
    • 데이터 전송 크기 제한
         데이터 유출을 모니터링하는 데 도움이 필요하세요?
    랜섬 통보

    피해 발생 후 사용자는 암호 해독 키를 대가로 금전을 지불하는 방법에 대한 알림을 받습니다. 이 단계에서는 암호 해독 지시사항 파일을 생성하는 것을 제외하고 탐지할 수 있는 것은 많지 않습니다.

    랜섬 알림 동작 방식을 찾기 위한 QRadar SIEM 사용 사례:

    • 랜섬웨어 암호 해독 지시사항이 생성됨

    랜섬웨어를 찾기 위한 사용 사례는 App Exchange 에 있는 다음 컨텐츠 확장에서 사용할 수 있습니다(ibm.com 외부 링크).

         각 단계에 대한 QRadar SIEM 사용 사례에 대해 자세히 알아보기
    랜섬웨어 공격에 대한 계획 수립

    초기 감염이 발생한 후부터는 시간과의 싸움입니다. 감지가 빠를수록 신속한 인시던트 대응(IR) 계획으로 위협에 대응할 수 있으며, IR 계획이 강력할수록 랜섬웨어의 단계적 확산을 더욱 신속하게 막을 수 있습니다. NIST (ibm.com 외부 링크) 및 SANS (ibm.com 외부 링크)에는 오랜 시간에 거쳐 검증된 IR 가이드라인이 있습니다. 모든 IR 계획에는 몇 가지 중요한 요소가 포함됩니다.

    백업 준비랜섬웨어 공격에 대비한 오프라인 백업은 매우 중요합니다. 백업 위치와 시스템 복원 방법은 확실하게 파악해야 합니다. 각각의 중요 IT 자산과 그에 대응하는 연락망을 IR 프로세스에 포함합니다.

    팀, 도구 및 역할 식별 랜섬웨어가 초기 감염에서 암호화에 이르기까지 다양한 단계를 거침에 따라 대응 팀의 구성도 바뀝니다. 이는 조직 전반에서 더 많은 사람들이 참여해야 한다는 뜻입니다. 제삼자 서비스 기관의 도움을 받거나, 불법 침해 시엔 사법 기관, 외부 규제 기관 및 고객에게 연락하는 것을 의미할 수 있습니다. 언제 누구에게 연락해야 하는지 아는 것이 중요합니다. 연락처 목록을 최신 상태로 유지하는 것도 중요하지만, 컨택 역할을 프로세스에 통합하는 것도 효과적인 대응에 있어 매우 중요합니다. 종이와 PDF만으로도 충분하다고 여길 수 있으나, 팀 전원이 랜섬웨어 대응 프로세스, 조치 및 기록 문서에 액세스할 수 있는 올바른 도구와 자동화 기능을 갖추는 것이 핵심입니다.

    잘 정의된 프로세스 및 자동화. IR 프로세스에는 여러 작업과 결정 지점이 포함될 수 있습니다. NIST 및 SANS에서 설명한 단계에 맞춰 프로세스를 조정하는 것이 좋습니다. 예를 들어 IR 프로세스를 다음과 같은 단계로 구성할 수 있습니다.

    1. 발견 및 식별
    2. 강화 및 유효성 검사
    3. 억제 및 수정
    4. 복구 및 통신

    QRadar SPAR는 IR 프로세스를 정의하고 분석가가 신속하게 단계를 진행하기 위해 실행해야 할 많은 작업을 자동화할 수 있는 플레이북을 제공합니다. QRadar SOAR의 불법 침해 대응은 노출된 PI를 토대로 필요한 조정기 보고 작업을 생성할 수 있습니다.

    IT 자산, 소유자, PI의 인벤토리.  시스템이 감염되면  보안 분석가는 시스템 소유자와 어플리케이션 및 데이터를 파악해야 합니다. ServiceNow 또는 SAP와 같은 자산 관리 솔루션은 시스템 연락처를 관리하는 데 도움이 될 수 있습니다. IBM Security® Discover and Classify는 각 소스에서 데이터 소스와 PI를 찾는 데 유용하게 사용됩니다. 따라서 데이터 위반이 발생할 경우 분석가는 관련 규정이 있는지 여부를 파악합니다.

     랜섬웨어 공격 계획에 대해 자세히 알아보기
    사례 연구 위협 인텔리전스를 통한 도시 방어 강화

    LA 시와 LA Cyber Lab, IBM은 위협 인텔리전스를 제공하고 취약한 지역 비즈니스를 강화하기 위해 협력합니다.

     QRadar SIEM로 위협 대응 속도의 가속화

    베트남의 부동산 투자 및 개발 회사는 데이터를 통합하고 로그를 분석하고 인시던트의 우선 순위를 지정하여 위협을 탐지하고 응답할 수 있습니다.

     IBM 솔루션 조합으로 사이버 보안 관리

    Data Action는 고성능 IBM Flash System® 스토리지에서 QRadar SIEM 솔루션을 호스팅함으로써 대안금융기관에 향상된 보안을 제공합니다.
    관련 유스 케이스

    QRadar SIEM을 사용하여 중앙에서 종료점까지 위협을 감지하면 다양한 방법으로 조직을 보호할 수 있습니다.

         위협 사냥

    IBM Security 사이버 위협 헌팅 솔루션을 보안 전략에 통합하여 위협에 보다 신속하게 응답하고 완화하세요.

     준수

    QRadar SIEM에 준수 팩을 통합하여 준수를 보장하고 보고를 자동화하세요.

     위협 감지

    QRadar SIEM의 근실시간 위협 감지 기능을 통해 사이버 공격을 신속하게 차단합니다. 
    다음 단계 안내

    QRadar SIEM의 맞춤형 데모를 예약하거나 제품 전문가와 상담하세요.

    데모 요청
    더 살펴보기 문서 지원 커뮤니티 파트너 자원