홈
보안
QRadar
SIEM
랜섬웨어는 사이버 범죄 중 가장 강력한 비즈니스 모델로 성장해 매년 기업에 수십억 달러에 이르는 손실을 입히고 있습니다. 사이버 범죄자는 랜섬웨어 공격 시 중요 데이터를 훔치거나 암호화한 다음 안전한 반환을 대가로 금전을 요구합니다. 이러한 공격은 소비자 대상 골칫거리에서 고급 암호화 기능을 갖춘 정교한 악성코드로 진화해 산업과 지역 및 비즈니스를 막론하고 모든 조직에 위협이 되고 있습니다.
랜섬웨어 및 기타 유형의 멀웨어로부터 조직을 보호하려면 신속한 대응이 필요합니다. 대량의 파일이 암호화되고 디바이스가 감염되는 과정이 초 단위로 발생해 막대한 피해와 손실액을 초래하기 때문입니다. IBM QRadar SIEM은 이러한 위협을 신속하게 탐지하고 정보를 바탕으로 즉각적인 조치를 취할 수 있어 공격으로 인한 피해를 예방하거나 최소화할 수 있도록 도와드립니다.
랜섬웨어와의 싸움에서는 조기 탐지 및 예방이 필수적입니다. QRadar SIEM은 중요한 위협에 대한 실행 가능한 인사이트를 제공하는 지능형 보안 분석으로 지원합니다.
전체 사이버 공격 유형 중 랜섬웨어의 비율입니다.¹
랜섬웨어 공격으로 인한 평균 손실액은 513만 달러입니다(USD).¹
보안 AI 및 자동화를 사용하는 조직은 데이터 유출 식별 및 억제에까지 걸린 시간이 108일 더 짧았습니다.¹
랜섬웨어는 대부분의 맬웨어와 마찬가지로 여러 단계를 거칩니다. QRadar SIEM은 알려진, 그리고 알려지지 않은 랜섬웨어의 발생을 전 단계에 걸쳐 탐지할 수 있으며, 신속한 탐지는 피해 확산을 조기에 예방할 수 있습니다. QRadar는 수백 가지 사용 사례가 포함된 콘텐츠 확장 기능을 제공하고 전 단계에 걸쳐 알림을 생성합니다. 콘텐츠 확장 기능은 App Exchange를 통해 배포되며 최신 사용 사례를 얻을 수 있는 기능을 제공합니다.
대부분의 '알려진' 악성코드 및 랜섬웨어는 초기 단계에서 찾을 수 있습니다. QRadar SIEM은 알려지지 않은 랜섬웨어를 발견하기 위해 랜섬웨어 동작 감지에 중점을 둔 사용 사례를 제공합니다. QRadar SIEM Use Case Manager는 종료점, 응용프로그램 서버(AS)(온프레미스 및 클라우드) 및 네트워크 디바이스(방화벽)에 대한 가시성을 통해 IT 및 OT 인프라에 걸친 랜섬웨어 동작 패턴을 감지할 수 있습니다. Use Case Manager는 MITRE ATT&CK 매트릭스로 이러한 단계에 적용되는 사용 사례 또는 규칙을 시각화해줍니다.
이 단계의 랜섬웨어는 기존의 악성코드와 비슷해 보입니다. 피싱 기법을 사용하여 직원이 의심 없이 이메일, 허니팟, 소셜 미디어 또는 문자 메시지의 링크나 실행 파일을 클릭하도록 조작합니다.
유포 패턴 및 알려진 랜섬웨어를 찾기 위한 QRadar SIEM 사용 사례:
- 이메일에 임베드된 실행 파일
- 적대적인 호스트와의 이메일 또는 웹 통신
- 의심스러운 이메일 제목
스톱워치가 시작되는 순간입니다. 이제 랜섬웨어가 사용자 환경 안에 있습니다. 랜섬웨어가 유포 단계에서 탐지를 피하기 위해 '드롭퍼'를 사용했다면, 이제 드롭퍼가 '실제 실행 파일'을 다운로드해 실행합니다.
감염 동작 방식을 찾기 위한 QRadar SIEM 사용 사례:
- 악성 파일 또는 프로세스 탐지
- 악성 IOC 탐지
- 파일 디코딩 또는 다운로드 후 의심스러운 활동
랜섬웨어는 컴퓨터를 스캔해 관리 권한을 분석/탈취하고, 시스템 시작 시 실행되며, 복구 모드를 비활성화하고, 섀도우 사본을 삭제하는 등의 동작을 수행합니다.
스테이지별 동작 방식을 탐지하기 위한 QRadar SIEM 사용 사례:
- 새도우 사본 삭제 시도, 백업
- 부트 구성에서 복구가 비활성화됨
이제 랜섬웨어가 시작 단계부터 시스템을 장악해 네트워크(공격 경로), 사전 정의된 확장명이 있는 폴더 및 파일 등의 정찰 단계를 시작합니다.
정찰 동작 방식을 찾기 위한 QRadar SIEM 사용 사례:
- 새도우 사본 삭제 시도, 백업
- 데이터 전송 크기 제한
진짜 피해는 지금부터 시작됩니다. 대체로 각 파일의 사본 만들기, 사본 암호화 및 새 파일을 원래 위치로 배치하는 작업등이 수행됩니다. 원본 파일은 시스템에서 유출되거나 삭제될 수 있어, 공격자가 탈취한 파일을 공개하겠다고 피해자를 위협해 금전을 갈취하거나 훔친 문서를 유출할 기회를 제공합니다.
암호화 동작을 찾기 위한 QRadar SIEM 유스 케이스의 예:
- 과도한 파일 삭제 또는 생성
- 동일한 컴퓨터에서 의심스러운 양의 파일명이 변경되거나 이동됨(UNIX)
- 데이터 전송 크기 제한
피해 발생 후 사용자는 암호 해독 키를 대가로 금전을 지불하는 방법에 대한 알림을 받습니다. 이 단계에서는 암호 해독 지시사항 파일을 생성하는 것을 제외하고 탐지할 수 있는 것은 많지 않습니다.
랜섬 알림 동작 방식을 찾기 위한 QRadar SIEM 사용 사례:
- 랜섬웨어 암호 해독 지시사항이 생성됨
랜섬웨어를 찾기 위한 사용 사례는 App Exchange에 있는 다음 콘텐츠 확장에서 사용할 수 있습니다.
초기 감염이 발생한 후부터는 시간과의 싸움입니다. 탐지가 빠를수록 신속한 인시던트 대응(IR) 계획으로 위협에 대응할 수 있으며, IR 계획이 강력할수록 랜섬웨어의 단계적 확산을 더욱 신속하게 막을 수 있습니다. NIST 및 SANS는 오랜 시간에 걸쳐 검증된 IR 가이드라인을 보유하고 있습니다. 모든 IR 계획에는 몇 가지 중요한 요소가 포함됩니다.
백업 준비랜섬웨어 공격에 대비한 오프라인 백업은 매우 중요합니다. 백업 위치와 시스템 복원 방법은 확실하게 파악해야 합니다. 각각의 중요 IT 자산과 그에 대응하는 연락망을 IR 프로세스에 포함합니다.
팀, 도구 및 역할 식별 랜섬웨어가 초기 감염에서 암호화에 이르기까지 다양한 단계를 거침에 따라 대응 팀의 구성도 바뀝니다. 이는 조직 전반에서 더 많은 사람들이 참여해야 한다는 뜻입니다. 제삼자 서비스 기관의 도움을 받거나, 불법 침해 시엔 사법 기관, 외부 규제 기관 및 고객에게 연락하는 것을 의미할 수 있습니다. 언제 누구에게 연락해야 하는지 아는 것이 중요합니다. 연락처 목록을 최신 상태로 유지하는 것도 중요하지만, 컨택 역할을 프로세스에 통합하는 것도 효과적인 대응에 있어 매우 중요합니다. 종이와 PDF만으로도 충분하다고 여길 수 있으나, 팀 전원이 랜섬웨어 대응 프로세스, 조치 및 기록 문서에 액세스할 수 있는 올바른 도구와 자동화 기능을 갖추는 것이 핵심입니다.
잘 정의된 프로세스 및 자동화. IR 프로세스에는 여러 작업과 결정 지점이 포함될 수 있습니다. NIST 및 SANS에서 설명한 단계에 맞춰 프로세스를 조정하는 것이 좋습니다. 예를 들어 IR 프로세스를 다음과 같은 단계로 구성할 수 있습니다.
- 발견 및 식별
- 강화 및 유효성 검사
- 억제 및 수정
- 복구 및 통신
QRadar SOAR는 IR 프로세스를 정의하고 분석가가 신속하게 단계를 진행하기 위해 실행해야 할 많은 작업을 자동화할 수 있는 플레이북을 제공합니다. QRadar SOAR의 불법 침해 대응은 노출된 PI를 토대로 필요한 규제 기관 보고 작업을 생성할 수 있습니다.
IT 자산, 소유자, PI의 재고. 시스템이 감염되면 보안 분석가는 시스템 소유자와 애플리케이션 및 데이터를 파악해야 합니다. ServiceNow 또는 SAP와 같은 자산 관리 솔루션은 시스템 연락처를 관리하는 데 도움이 될 수 있습니다. IBM Guardium Discover and Classify는 각 소스에서 데이터 소스와 PI를 찾는 데 유용하게 사용됩니다. 따라서 데이터 유출이 발생할 경우 분석가는 관련 규정이 있는지 여부를 파악합니다.
LA 시와 LA Cyber Lab, IBM은 위협 인텔리전스를 제공하고 취약한 지역 비즈니스를 강화하기 위해 협력합니다.
베트남의 부동산 투자 및 개발 회사는 데이터를 통합하고 로그를 분석하고 인시던트의 우선 순위를 지정하여 위협을 탐지하고 응답할 수 있습니다.
데이터 조치는 고성능 IBM Flash System 스토리지에서 QRadar SIEM 솔루션을 호스팅함으로써 대안금융기관에 향상된 보안을 제공합니다.