카토 클라우드가 랜섬웨어 암호화 작업으로부터 계정을 보호하는 방법

이 문서에서는 카토 클라우드 보안 스택의 IPS(침입 방지 시스템) 서비스가 귀하의 네트워크에서 리소스를 악의적으로 암호화하려는 랜섬웨어 시도로부터 어떻게 네트워크를 보호하는지 설명합니다.

IPS를 활성화하여 WAN 트래픽을 차단하면 랜섬웨어가 횡적으로 이동하고 WAN에 확산하려는 시도를 방어하는 데 도움이 됩니다.

카토 보안 스택이 랜섬웨어 공격을 식별하는 방법

랜섬웨어는 조직에 가장 위험한 위협 중 하나로 계속되고 있으며, 이러한 공격은 피해자의 데이터를 잠그고 암호화할 수 있습니다. 그런 다음 데이터를 잠금 해제하고 복호화하기 위해 금전적 요구가 있습니다. 카토는 공격 체인을 가능한 빨리 차단하기 위해 보안 스택 엔진을 활용합니다.

  • IPS – 카토의 IPS에는 여러 위협 인텔리전스 소스의 데이터가 포함되어 있으며, 잠재적인 랜섬웨어를 다음과 같이 차단할 수 있습니다:

    • 다양한 위협 (예: 악성 소프트웨어 C&C, 랜섬웨어, 피싱 등)과 관련될 수 있는 의심스러운 웹사이트에 대한 접근 차단

    • 랜섬웨어를 확산하려는 시도를 하는 의심되는 악성 호스트 차단

    • 랜섬웨어의 위협 행위자가 활용할 수 있는 WAN을 통한 횡적 트래픽

  • 인터넷 방화벽 – 사용자로 하여금 멀웨어 카테고리와 같은 악의적인 웹사이트에 접근하는 것을 방지하여, 우연히 랜섬웨어를 포함할 수 있는 악성 페이로드를 다운로드하지 않도록 보호합니다.

  • 안티멀웨어 및 NG 안티-멀웨어 – 추가적인 보호 계층을 제공하며 Cato ZTNA(제로 트러스트 네트워크 액세스)에 기여합니다. 이 엔진들은 악성 다운로드 시도를 방지하고, 사용자의 디바이스에서 실행되기 전에 관련된 랜섬웨어를 차단합니다.

참고 사항

참고: 이러한 카토 보호 기능은 작업이 차단으로 설정되어 있을 때 작동합니다.

SMB 랜섬웨어 트래픽 차단

카토 보안 팀은 랜섬웨어 공격과 관련된 SMB 트래픽을 탐지하기 위해 지속적으로 트래픽 알고리즘과 휴리스틱을 개발하고 업데이트합니다. 이들은 알려진 랜섬웨어 캠페인에 대한 개인 및 오픈 소스 위협 정보의 멀웨어 데이터를 통해 보완됩니다.

카토는 다음 기술을 사용하여 WAN에서 퍼지려는 멀웨어 공격을 차단합니다:

  • 랜섬웨어에 감염된 후 다른 호스트로 랜섬웨어를 퍼뜨리려는 단일 호스트의 트래픽 차단 (WAN 내에서)

  • 신뢰도가 낮아 잠재적으로 랜섬웨어일 가능성이 있는 파일 확장자의 트래픽 차단

추가적으로, IPS가 랜섬웨어 공격을 식별하면, 감염된 호스트의 TCP 포트 445에서 발생하는 모든 트래픽을 차단합니다. 이를 통해 공격이 다른 네트워크 자산에 감염되고 영향을 미치는 것을 방지합니다.

차단된 랜섬웨어 공격 이벤트 검토

홈 > 이벤트에서 보안 이벤트를 검토하고 귀하의 계정에서 차단된 의심 랜섬웨어 공격에 대한 이벤트를 찾을 수 있습니다. 이러한 공격은 IPS 및 방화벽에 의해 차단되며, 서로 다른 이벤트 하위 유형이 있습니다. IPS 이벤트의 경우 위협 유형은 랜섬웨어로 분류될 수 있습니다.

이는 IPS에 의해 차단된 의심 랜섬웨어 공격에 대한 이벤트의 예시입니다:

Ransomware_Event.png

이 IPS 보호의 논리는 고유 KPI 기반이며, 짧은 시간 동안의 SMB 활동을 계산하여(몇 시간) 랜섬웨어 공격을 식별합니다. 이 시간 동안, IPS 엔진이 호스트가 랜섬웨어의 가능한 출처라고 판단하면, 이 호스트로부터의 모든 SMB WAN 트래픽(포트 445)을 차단합니다.

IPS가 랜섬웨어 공격을 식별할 때, 이는 랜섬웨어로 식별된 행동 패턴과 일치하는 트래픽에 기초할 수 있습니다. 이 이벤트가 사실 오탐일 수 있으며, 실제로는 합법적인 트래픽일 수 있습니다.

카토가 랜섬웨어 공격을 차단 - 이제 무엇을 해야 하나요?

IPS가 랜섬웨어 공격을 차단했다고 발견한 경우, 내부 자원의 일부가 이미 랜섬웨어로 타격을 받았을 가능성이 높습니다. Cato의 IPS(침입 방지 시스템) 보호는 WAN에서 랜섬웨어의 확산을 방지하기 위해 작동하며, 귀하의 EPP 솔루션은 관련 사이트의 LAN에서 피해를 최소화합니다.

이 목록에는 랜섬웨어 공격을 받은 내부 자원에 대한 권장 후속 조치가 포함됩니다:

  1. 감염된 호스트를 네트워크에서 격리하십시오 (WAN 및 인터넷 방화벽 모두).

  2. 귀하의 조직에서 어떤 자산이 랜섬웨어 공격 대상이 되었는지 식별하십시오.

  3. 랜섬웨어 사건에 대한 CISA 권장 사항은 서명자 인증서 지문 코드 40자를 입력하세요.를 보기 가능합니다. 예시:

    • 공격이 손상시키거나 영향을 준 파일을 식별하십시오.

    • 악성 소프트웨어 가족 또는 작성자의 신원을 확인하십시오.

    • 모든 기업 장치에 엔드포인트 보호 소프트웨어가 설치되고, 이 공격에 책임이 있는 악성 소프트웨어를 식별할 수 있는 서명으로 업데이트되었는지 확인하십시오.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개