로드먼 라메자니안 - 엔터프라이즈 클라우드 보안 고문
2022년 8월 3일 7분 읽기
간단히 말해, 사이버 범죄자는 백업된 파일을 포함하여 알려진 모든 버전의 파일을 전용 백업이나 공격자의 암호 해독 키 없이는 복구할 수 없는 방식으로 암호화할 수 있습니다.
안타깝게도 랜섬웨어가 Microsoft 365의 영역을 침범한 것은 이번이 처음이 아닙니다. 6년 전으로 거슬러 올라가면, Cerber 랜섬웨어 변종은 Microsoft 365를 겨냥하여 기본 Microsoft 365 보안을 우회하는 새로운 제로데이 공격으로 수백만 명의 사용자를 노출시켰습니다.
어떻게요? 악성 파일을 첨부한 피싱 이메일, 사용자를 속여 매크로 콘텐츠를 허용하도록 유도하는 방법, 타사 애플리케이션을 무기화하는 방법 등 오늘날에도 여전히 사용되고 있는 유사한 기법을 사용합니다.
클라우드 서비스는 단일 에코시스템에 방대한 수의 사용자가 모이기 때문에 사이버 범죄자의 주요 표적이 됩니다. 잘 설계된 랜섬웨어 공격이 Microsoft 365 서비스를 사용하는 많은 기업에 미칠 수 있는 피해를 상상해 보세요. 2020년 솔라윈즈와 Microsoft에 대한 첫 번째 공격에서 보았듯이, 경제적 영향은 매우 치명적일 수 있습니다.
클라우드 서비스 및 애플리케이션은 그 어느 때보다 기업에게 미션 크리티컬한 요소입니다. 따라서 범죄자들이 피해자가 몸값을 지불할 의향이 훨씬 더 높다는 것을 알기 때문에 Microsoft 365와 같은 클라우드 플랫폼을 계속 노리는 것은 당연한 일입니다. 여기서 공격 벡터는 클라우드 백업을 위한 기본 Microsoft 365 기능을 악용하는 것입니다. 기본 제공 도구와 매개 변수를 사용하는 '기본 제공' 위협은 일반적으로 더 쉽게 악용될 수 있고 탐지 및 방지하기가 더 어렵기 때문에 완화하기가 더 어렵습니다.
모범 사례를 조합하면 이와 같은 공격의 영향을 크게 줄일 수 있으며, 특히 초기 공격 벡터가 여전히 Microsoft 365 계정 탈취를 통한 침해인 경우 더욱 그렇습니다.
단계 인증 및 다단계 인증(MFA) 강제 적용, 강력한 비밀번호 표준 적용, 엄격한 신원 액세스 제어 유지, 직원 인식 교육 프로그램에 대한 지속적인 투자와 같은 기본적인 조치를 간과해서는 안 됩니다.
위에서 언급한 이유로 이러한 위험을 완전히 방지하는 것은 항상 어려운 일입니다. 따라서 버전 백업 제한 및 자동 저장 구성의 변조에 대한 경고 신호일 수 있는 비정상적인 관리 작업이나 데이터 액세스 요청 등 잠재적으로 위협이 될 수 있는 의심스러운 이상값 및 활동을 감지하도록 트리거 및 이상 매개변수를 설정하세요.
많은 타사 애플리케이션은 OAuth 토큰을 통해 SaaS 플랫폼(이 경우 Microsoft 365 등)에 연결합니다. 환경에 로그인하는 새 사용자와 달리 OAuth 토큰은 초기 부여 후 ID 공급자를 통해 인증할 필요가 없습니다. 앱이 OAuth를 통해 Microsoft 365 및 해당 데이터에 액세스하면 액세스가 해지될 때까지 해당 액세스 권한이 무기한 유지됩니다. 따라서 의심스러운 앱이 Microsoft 365 테넌트로 다시 액세스하는 경우 토큰 및 액세스를 해지해야 합니다.
조직은 항상 '유출을 가정'하는 사고방식을 채택하여 최악의 상황에 대비해야 합니다. 따라서 지금과 같은 시기에는 검증된 BC/DR 복구 절차 외에 오프라인 백업도 나쁘지 않습니다.
11년 이상의 광범위한 사이버 보안 업계 경력을 보유한 Rodman Ramezanian은 엔터프라이즈 클라우드 보안 고문으로 Skyhigh Security 에서 기술 자문, 지원, 솔루션 설계 및 아키텍처를 담당하고 있습니다. 이 역할에서 Rodman은 주로 호주 연방 정부, 국방 및 기업 조직에 중점을 두고 있습니다.
로드먼은 적대적 위협 인텔리전스, 사이버 범죄, 데이터 보호 및 클라우드 보안 분야를 전문으로 합니다. 그는 호주 신호 감독국(ASD)에서 승인한 IRAP 평가자이며 현재 CISSP, CCSP, CISA, CDPSE, Microsoft Azure 및 MITRE ATT&CK CTI 자격증을 보유하고 있습니다.
로드먼은 복잡한 문제를 간단한 용어로 표현하여 일반인 및 신규 보안 전문가가 사이버 보안의 대상, 이유, 방법을 이해할 수 있도록 돕는 데 강한 열정을 가지고 있습니다.