새로운 전장이 된 ID

Cyber Signals 1호: 진화하는 사이버 위협에 대한 인사이트와 조직을 더 잘 보호하기 위해 취해야 할 조치에 대한 인사이트를 확보하세요.

대부분의 조직의 보안 프로토콜과 조직이 직면한 위협 사이에는 위험한 불일치가 있습니다. 공격자들은 네트워크에 강제로 침입하려고 시도하지만, 그들이 선호하는 전술은 취약한 로그인 암호를 추측하는 더 간단한 방법입니다. 다단계 인증과 같은 기본 조치는 공격의 98%에 대해 효과적이지만, 이를 완전히 사용하는 조직은 20%에 불과합니다(Microsoft 디지털 방어 보고서, 2021).

1호에서는 Microsoft 연구원과 전문가가 제공하는 다음을 포함한 최신 보안 동향과 권장 사항을 알아봅니다.

누가 암호 및 ID 기반 공격에 의존하고 있는지.
엔드포인트, 전자 메일 및 ID 전략을 포함한 공격에 대응하려면 무엇을 해야 하는지.
언제 다양한 보안 조치의 우선순위를 정해야 하는지.
어디 에서 랜섬웨어 변종이 네트워크에 침입하여 확산되는지와 어떻게 이를 차단하는지.
왜 ID 보호가 여전히 가장 큰 우려를 낳기도 하지만 보안을 개선할 수 있는 가장 큰 기회이기도 한지.

단순히 ID 정보를 탈취하기 위한 국가 단위 공격자들, 활동을 배가

국가 단위 행위자가 실시하는 사이버 공격이 증가하고 있습니다. 이러한 공격자들은 방대한 리소스를 보유하고 있지만 쉽게 추측할 수 있는 암호를 훔치는 간단한 전술에 의존하는 경우가 많습니다. 이렇게 하면 고객 계정에 빠르고 쉽게 접근할 수 있습니다. 기업 공격의 경우, 조직 네트워크에 침투하면 국가 단위 행위자들은 유사한 사용자와 리소스를 가로질러 수직 이동하거나 더 중요한 자격 증명과 리소스에 액세스하는 수평 이동에 사용할 발판을 마련할 수 있습니다.

스피어 피싱, 소셜 엔지니어링 공격, 대규모 암호 스프레이는 국가 단위 행위자가 암호를 훔치거나 추측할 때 사용하는 기본 전술입니다. Microsoft는 공격자가 어떤 전술과 기술에 투자하고 성공하는지 관찰하여 공격자의 전술과 성공에 대한 인사이트를 얻습니다. 사용자 자격 증명이 제대로 관리되지 않거나 다단계 인증(MFA) 및 암호 없는 기능 등 주요 안전 장치 없이 취약한 상태로 방치되면 국가 단위는 계속해서 같은 간단한 전술을 사용할 것입니다.

ID 중심 공격은 단순하고 비용이 적게 들어 공격자에게 편리하고 효과적이기 때문에 MFA 도입을 강제하거나 암호 없이 전환해야 할 필요성은 아무리 강조해도 지나치지 않습니다. MFA가 조직이 사용해야 하는 유일한 ID 및 접속 관리 도구는 아니지만, 공격을 강력하게 억제할 수는 있습니다.

자격 증명 악용은 NOBELIUM(러시아와 연계된 국가 단위 공격자)가 고정적으로 사용하는 방법입니다. 그러나 이란과 연계된 DEV 0343 같은 다른 공격자들도 암호 스프레이를 활용합니다. DEV-0343 활동은 군용 레이더, 드론 기술, 위성 시스템, 비상 대응 통신 시스템을 생산하는 방위 기업 전반에서 관찰되었습니다. 그 외에도 페르시아만의 지역 항구와 중동에 사업 기반을 둔 여러 해상 및 화물 운송 기업을 표적으로 삼았습니다.

2020년 7월부터 2021년 6월까지 이란의 주요 표적 국가는 미국(49%), 이스라엘(24%), 사우디아라비아(15%)였습니다. 전체 보고서의 4페이지에서 이 이미지에 대해 자세히 알아보기

조직 규모 필요 사항:

다단계 인증 사용: 이 방법으로 암호가 해커의 손에 넘어갈 위험을 완화합니다. 더 좋은 방법은 암호 없는 MFA를 사용하여 암호를 아예 없애는 것입니다.

계정 권한 감사: 공격자가 특권 액세스 계정을 탈취하면 네트워크와 리소스에 더 많은 액세스 권한을 확보하는 데 사용할 강력한 무기로 활용할 수 있습니다. 보안팀은 직원들이 업무를 수행할 최소한의 권한만 부여한다는 원칙에 따라 액세스 권한을 자주 감사해야 합니다.

모든 테넌트 관리자 계정 검토, 강화 및 모니터링: 보안팀은 모든 테넌트 관리자 사용자 또는 위임된 관리 권한에 연결된 계정을 철저히 검토하여 사용자 및 활동의 신뢰성을 확인해야 합니다. 그런 다음 사용하지 않는 위임된 관리 권한을 비활성화하거나 제거해야 합니다.

위험을 줄이기 위한 보안 기준 설정 및 시행: 국가 단위는 장기적인 관점에서 새로운 공격 전략과 기술을 개발할 수 있는 자금, 의지, 규모가 있습니다. 대역폭이나 관료주의로 인해 지연되는 모든 네트워크 강화 이니셔티브는 그들에게 유리하게 작용합니다. 보안팀은 MFA 및 암호 없는 업그레이드와 같은 제로 트러스트 관행을 우선적 구현해야 합니다. 권한 있는 계정부터 빠르게 보호 기능을 확보한 다음 지속적인 단계를 통해 점진적으로 확장하면 됩니다.

랜섬웨어가 마인드셰어를 지배하지만, 지배하는 변종은 소수에 불과

방어자의 역량을 능가하는 새로운 랜섬웨어 위협이 엄청나게 많이 등장하고 있다는 목소리가 힘을 얻고 있습니다. 하지만 Microsoft의 분석에 따르면 해당 주장은 옳지 않습니다. 또한 특정 랜섬웨어 그룹이 하나의 단일 개체라는 인식도 있는데, 이 역시 잘못된 생각입니다. 사이버 범죄 경제는 상품화된 공격 체인의 다양한 플레이어가 의도적으로 선택하는 사이버 범죄 경제입니다. 이들은 각자 접근 가능한 정보를 어떻게 활용하느냐에 따라 수익을 극대화하는 경제 모델에 따라 움직입니다. 아래 그래픽은 여러 그룹이 어떻게 다양한 사이버 공격 전략과 데이터 유출 정보를 통해 이익을 얻는지 보여줍니다.

판매되는 사이버 범죄 서비스의 평균 가격. 공격자 몸값은 직업당 USD 250달러부터 시작합니다. 랜섬웨어 키트는 USD 66달러 또는 수익의 30%입니다. 감염된 디바이스 최저 가격은 PC당 13센트, 모바일 디바이스당 82센트입니다. 스피어 피싱은 USD 100달러에서 USD 1,000달러까지 다양합니다. 도난당한 사용자 이름과 암호 쌍의 평균 최저 가격은 1000개당 97센트입니다. 전체 보고서의 5페이지에서 이 이미지에 대해 자세히 알아보기

즉, 랜섬웨어의 종류나 변종에 관계없이 랜섬웨어는 세 가지 진입 경로(원격 데스크톱 프로토콜(RDP) 무차별 대입, 취약한 인터넷 연결 시스템, 피싱)로 정리할 수 있습니다. 이러한 모든 벡터는 적절한 암호 보호, ID 관리, 소프트웨어 업데이트 뿐 아니라 종합적인 보안 및 규정 준수 도구들을 통해 완화할 수 있습니다. 랜섬웨어는 인증 정보에 액세스하고 확산할 수 있는 능력을 확보할 때만 널리 퍼질 수 있습니다. 그런 후에는 알려진 변종이라도 큰 피해를 끼칠 수 있습니다.

시스템이 침해된 후 초기 액세스 포인트에서 자격 증명 탈취 및 시스템 내 측면 이동에 이르는 위협 행위자의 행동 경로. 계정을 탈취하고 랜섬웨어 페이로드를 획득하기 위한 지속적인 경로를 추적합니다. 전체 보고서의 5페이지에서 이 이미지에 대해 자세히 알아보기

보안 팀 필요 사항:

랜섬웨어가 기본 자격 증명 또는 손상된 인증정보에서 번성한다는 사실을 파악: 따라서 보안팀은 모든 사용자 계정에 암호 없는 MFA를 구현하고 임원, 관리자 및 기타 권한 있는 역할에 우선순위를 지정하는 등의 보호 조치를 가속화해야 합니다.

이상 징후를 제때 발견하여 조치를 취하는 방법 식별: 랜섬웨어를 유발하는 초기 로그인, 파일 이동 및 기타 행동은 눈에 띄지 않을 수 있습니다. 그럼에도 불구하고 팀은 이상 징후를 모니터링하고 신속하게 조치를 취해야 합니다.

랜섬웨어 대응 계획을 수립하고 복구 연습을 실시: 우리는 클라우드 동기화 및 공유 시대에 살지만 데이터 사본은 전체 IT 시스템 및 데이터 베이스와는 다릅니다. 팀은 전체 복원이 어떨지를 시각화하고 연습해야 합니다.

경보 관리 및 신속한 완화 조치: 모두가 랜섬웨어 공격을 두려워할 때도 보안팀은 공격이 성공할 수 있는 취약한 보안 구성을 강화하는 데 중점을 둬야 합니다. 보안팀은 보안 구성이 경고와 탐지에 적절히 대응할 수 있게 관리해야 합니다.

기본적인 보안 방역이 98%의 공격을 방어하는 방법을 보여주는 보호 분포 곡선

맬웨어 방지 활용, 최소 권한 액세스 적용, 다단계 인증 활성화, 최신 버전 유지, 데이터 보호를 통해 공격의 98%로부터 보호하세요. 종 모양 곡선의 나머지 2%에는 이상 공격이 포함됩니다. 전체 보고서의 5페이지에서 이 이미지에 대해 자세히 알아보기

Microsoft 보안 주체 위협 인텔리전스 분야 선임 Christopher Glyer 의 ID 보안 방법에 대한 추가 지침을 확인하세요.

매일 24조 개 이상의 신호를 사용하여 인사이트를 얻고 위협을 차단합니다.

엔드포인트 위협:
엔드포인트용 Microsoft Defender는 2021년 1월부터 12월까지 기업 및 소비자 고객 디바이스를 대상으로 하는 96억 건 이상의 맬웨어 위협을 차단했습니다.

전자 메일 위협:
Office 365용 Microsoft Defender는 2021년 1월부터 12월까지 기업 및 소비자 고객 디바이스를 대상으로 하는 357억 건 이상의 피싱 및 기타 악성 전자 메일을 차단했습니다.

ID 위협:
Microsoft(Azure Active Directory)는 2021년 1월부터 12월까지 도난 암호를 무차별 대입하여 기업 고객 계정을 탈취하려는 256억 건 이상의 시도를 탐지하고 차단했습니다.

방법론: 스냅샷 데이터의 경우 Defender 및 Azure Active Directory를 포함한 Microsoft 플랫폼은 2021년 1월부터 12월 사이에 무차별 암호 대입 로그인 시도, 피싱 및 기업과 소비자를 대상으로 하는 기타 악성 전자 메일, 맬웨어 공격 등의 위협 활동에 대한 익명화된 데이터를 제공했습니다. 추가 인사이트는 클라우드, 엔드포인트, 인텔리전트 에지를 포함한 Microsoft 전체에서 가져온 24조 개의 일일 보안 신호를 기반으로 합니다. 강력한 인증 데이터를 MFA와 암호 없는 보호와 결합합니다.

ID 랜섬웨어 국가 단위