랜섬웨어는 전 세계 금융 서비스 (finserv) 조직을 계속 괴롭히고 있습니다.에 따르면 2021년에는 finserv 조직의 55% 이상이 랜섬웨어 공격의 피해를 입었습니다. Sophos의 금융 서비스 부문 랜섬웨어 현황 보고서 이는 2020년의 34% 에서 크게 증가한 수치입니다.이러한 공격은 리소스를 소진하고 사회보장번호와 같은 매우 민감한 고객 데이터를 노출시켜 비즈니스를 중단시킬 위험이 있습니다.
공격자들은 랜섬웨어는 실행 및 확장이 매우 쉬우며, 암호화폐와 같은 새로운 디지털 결제 방법을 사용하면 신원을 숨기고 종이 흔적을 쉽게 남길 수 있다는 사실을 알고 있습니다. 이 모든 것이 finserv 보안 부서를 경계하게 했습니다.보스턴 컨설팅 그룹에 따르면 finserv 조직은 가능성이 300배 더 높습니다 사이버 공격의 표적이 될 것입니다.
이러한 공격의 급증은 다음과 같은 여러 요인에 기인할 수 있습니다.
- Finserv 조직은 더 큰 위험에 처해 있습니다.
Finserv 조직은 지구상에서 가장 민감한 데이터를 보유하고 있으며 필요한 경우 몸값을 지불하기 위해 가장 큰 예산을 책정합니다.위협 행위자들은 잘 알고 있습니다. IBM의 X-Force 위협 인텔리전스 지수 2022에 따르면 2021년에 finserv가 두 번째로 공격을 많이 받은 산업이 된 이유가 바로 여기에 있습니다. - 랜섬웨어는 그 어느 때보다 표적이 되고 있습니다.
위협 행위자는 더 이상 비효율적인 “스프레이 앤 스프레이” 접근 방식에 의존할 필요가 없습니다.대신 특정 표적에 대한 공격 계획을 세워 훨씬 더 실제적인 접근 방식을 취합니다.소셜 엔지니어링을 사용하면 특정 대상에 대한 대량의 데이터를 수집하고 사용자 또는 사용자 그룹이 악성 링크를 클릭하거나 악성 첨부 파일을 다운로드하도록 유도하는 맞춤형 콘텐츠를 만들 수 있습니다. - 랜섬웨어는 눈에 잘 띄지 않게 숨어있을 수 있습니다.
오늘날의 랜섬웨어 공격은 정교하고 회피하며, Java 통신 및 VPN과 같이 겉보기에 무해해 보이는 기술을 활용하여 네트워크 전체에 확산됩니다.위협 행위자들은 웹 브라우저를 표적으로 삼고 있습니다. 바로 다음과 같은 새로운 범주의 위협입니다. 고도로 회피적인 적응형 위협 (HEAT)이는 기존의 보안 방어를 우회합니다.이러한 HEAT 공격은 다음과 같은 목적으로 사용될 수 있습니다. 랜섬웨어 페이로드 그리고 주로 분산된 인력, 앱의 현대화, SaaS (Software as a Service) 플랫폼의 확산으로 인해 만들어진 오늘날의 확장된 공격 표면을 활용하십시오. 이러한 공격 표면은 눈에 잘 띄지 않는 곳에 숨어 기존 보안 솔루션을 우회하는 데 탁월합니다. - 랜섬웨어는 매우 수익성이 높습니다.
위협 행위자는 더 이상 적은 금액에 만족하지 않습니다.Sophos에 따르면 랜섬웨어 문제의 정교함과 빈도가 계속 증가함에 따라 2021년에는 finserv 조직의 랜섬이 128,000달러에서 273,000달러로 두 배 이상 증가했습니다.안타깝게도 finserv 조직이 거액의 랜섬을 기꺼이 지불하려는 바람에 스스로 영구화되는 악순환이 벌어지고 있습니다.더 많은 돈을 지불할수록 공격의 수익성이 높아져 겉보기에 쉬워 보이는 보상을 받기 위해 더 많은 범죄자를 끌어들일 수 있습니다. - 랜섬웨어 위험은 절대 사라지지 않습니다.
한 번 감염되면 다시는 착취당할 위험이 사라지지 않습니다.위협 행위자는 데이터나 시스템에 접근하지 못하게 하는 것만으로는 만족하지 않습니다.또한 민감한 데이터를 대중이나 경쟁업체에 노출하겠다고 위협하여 추가 지불을 요구하기도 합니다.이를 이중 갈취 공격이라고 하는데, 같은 사건으로 몇 번이고 피해를 입을 수 있다는 위협은 몸값 요구에 굴복하더라도 결코 안전하지 않다는 것을 의미합니다.
랜섬웨어를 방지하는 방법
랜섬웨어를 방지하려면 finserv 조직이 기존의 탐지 및 대응 접근 방식에서 접근 방식으로 전환해야 합니다. 제로 트러스트 사고 방식.이러한 사전 예방적 접근 방식은 모바일, 분산 및 종종 관리되지 않는 엔드포인트를 보호하고, 네트워크에 대한 공격의 측면 확산을 막고, SOC (Security Operations Center) 팀에 가해지는 압력을 완화합니다.
또한 finserv 조직은 클라우드에서 인터넷과 사용자 장치 사이의 추상화된 계층 역할을 할 수 있는 격리 기술을 통해 보안을 강화할 수 있습니다.모든 콘텐츠는 네트워크를 통해 라우팅됩니다. 보안 웹 게이트웨이 (SWG), 클라우드의 엘라스틱 샌드박스에서 실행됩니다.이를 통해 악의적이든 아니든 모든 코드가 엔드포인트에서 실행되는 것을 방지하여 악의적인 공격자의 네트워크 액세스를 효과적으로 차단할 수 있습니다.오늘날 많은 사람들이 하루 중 4분의 3을 웹 브라우저를 사용한다는 점을 감안하면 격리를 통해 악성 페이로드를 전달하지 못하도록 HEAT 공격으로부터 사용자를 보호할 수도 있습니다.모든 웹 통신은 즉시 인증될 수 있으므로 보안에 대한 제로 트러스트 접근 방식을 통해 위치에 관계없이 장치, 애플리케이션 및 사용자를 보호할 수 있습니다.
격리 기술을 기반으로 하는 Zero Trust가 랜섬웨어 공격을 차단하는 데 도움이 되는 세 가지 방법은 다음과 같습니다.
1.격리는 취약점을 자동으로 차단합니다.
랜섬웨어는 개방형 RDP 포트 및 보안되지 않은 VPN과 같은 기존 네트워크 구성의 취약점을 악용하는 것을 좋아합니다.안타깝게도 공격 대상 영역이 확장됨에 따라 보안 팀이 이러한 진입점을 완전히 차단하는 것은 사실상 불가능합니다.너무 많고, 너무 분산되어 있고, 너무 자주 잊혀집니다.그러나 격리 기술을 사용하면 의심스러운 트래픽이든 아니든 모든 트래픽이 클라우드의 격리 계층을 통해 라우팅되기 때문에 이러한 포트가 닫혀 있든 없든 상관 없습니다.트래픽은 엔드포인트에서 절대 실행되지 않으므로 랜섬웨어가 네트워크에 침입할 수 있는 발판을 마련할 수 없습니다.
2.격리는 비정상적인 행동을 감지하는 데 도움이 됩니다.
클라우드의 추상화된 계층을 통해 모든 트래픽을 라우팅하면 finserv 조직은 표면적으로는 무해해 보일 수 있는 비정상적인 행동을 식별하고 차단하는 데 필요한 가시성을 얻을 수 있습니다.예를 들어 적절한 자격 증명을 가진 사용자는 서버의 재무 정보에 액세스할 수 있어야 합니다.하지만 사용자가 알바니아에서 로그인하는 경우에는 어떻게 될까요?아니면 전체 급여 데이터베이스를 알 수 없는 Google 드라이브에 다운로드하려고 하면 어떻게 될까요?개체, 위치, 실행 중인 명령에 대한 가시성을 확보하면 사이버 보안에 대한 제로 트러스트 접근 방식이 가능합니다.
3.격리를 통해 복구 계획을 실행할 수 있습니다.
대부분의 랜섬웨어는 인간의 오류 가능성에 의존합니다.누군가 링크를 클릭해야 합니다.누군가 손상된 웹사이트를 방문해야 합니다.누군가가 허위 웹 양식에 자격 증명을 입력해야 합니다.실수가 발생할 경우 조직은 상황을 평가하고 차선책을 결정하기 위한 복구 계획을 마련하는 것이 중요합니다.“손실된 데이터를 복구할 수 있을까요?” 와 같은 질문에 답하기, “이것이 운영에 어떤 영향을 미칠까요?”, “우리는 다른 곳에서도 취약한가요?”그리고 가장 중요한 것은 “우리가 몸값을 지불해야 할까요?”네트워크에 대한 컨텍스트와 가시성이 필요합니다.격리 기술은 이를 가능하게 합니다.
지금 바로 조치를 취하세요
랜섬웨어는 오늘날 finserv 조직의 최대 관심사이며, 특히 HEAT 공격이 공격자들 사이에서 계속 인기를 얻으면서 향후에도 계속해서 보안 팀을 괴롭힐 것입니다.격리 기술을 기반으로 하는 보안에 제로 트러스트 접근 방식을 취하면 자주 성공하고 파괴적인 이러한 공격에 대한 최상의 방어 수단이 됩니다.