I. 배경

1. 국내 및 해외강탈 공격지형

전 세계적으로 랜섬 공격 건수가 계속 증가하고 있습니다. "2022년 1월 1일 롤오버 갱신에 따른 국제 사이버 책임 보험 시장의 주요 동향"에서 사이버 랜섬 피해액을 시각화한 자료입니다.사이버 보안전체 보험 손실에서 차지하는 비중이 증가하고 있으며, 업계의 손실 구조는 2019년 301조 원 미만에서 2021년 801조 원에 육박하는 수준으로 급격하게 변화하고 있습니다.

랜섬 공격으로 인한 손실은 주로 업무 중단과 몸값 지불로 인해 발생합니다,데이터 침해세 가지 측면. IBM의 2023년 보고서 '데이터 유출로 인한 비용'에 따르면, 전 세계 평균 몸값은 170만 달러, 전 세계 평균 비즈니스 중단 비용은 265만 달러, 전 세계 평균 데이터 유출 비용은 420만 달러에 달합니다.

기업에 대한 국내 랜섬웨어 공격은 적지 않지만 모두 비밀리에 처리하고 유출을 엄격하게 방지하는 방법을 선택합니다. 최근 몇 년 동안 은행 및 증권 업계 규제 기관은 랜섬웨어 공격을 방지하기 위한 요구 사항과 공지를 발표했으며, 기업 리더는 우수한 보호의 필요성을 반복해서 강조했습니다. 최근에는 규제 당국으로부터 더 자세한 가이드를 받았습니다.

2. 랜섬 공격 산업 현황

공격자가 랜섬 공격을 선택하는 이유는 무엇인가요?

첫째, 높은 보상과 낮은 위험: 랜섬 공격은 단기간에 높은 보상을 얻을 수 있는 경우가 많습니다. 랜섬 공격은 다른 형태의 사이버 범죄에 비해 상대적으로 위험이 낮습니다. 몸값 지불에 암호화폐를 사용하면 금융 기관과 법 집행 기관의 추적을 효과적으로 피할 수 있어 공격자가 처벌받지 않을 가능성이 높아집니다.

랜섬 공격은 개인 사용자, 기업, 의료 기관, 정부 기관 등을 대상으로 광범위하게 이루어지며 쉽게 실행할 수 있습니다. 랜섬 공격은 일반적으로 정교한 랜섬웨어 도구를 사용하며, 이 도구는 쉽게 구해 사용할 수 있는 경우가 많습니다.

셋째, 대체 불가능한 정보: 일부 조직과 개인의 경우, 특히 고유한 지적 재산권, 고객 정보, 연구 데이터 등의 경우 데이터를 대체할 수 없는 경우가 있습니다.

넷째, 방어책 부족: 일부 조직과 개인은 효과적인 백업 전략이 부족하고안전 보호조치를 취하지 않아 랜섬웨어 공격에 더 취약해집니다.

3. 업계 내 랜섬 공격 현황

국내 기업의 등장정보 보안사고가 발생하면 대부분 언론을 차단하고 영향을 없애는 전략을 취합니다. 그 결과 공개적인 정보에서 랜섬 공격 사례를 찾아보기는 어렵지만, 보안 업계에서는 관련 사고가 산발적으로 종종 들려오곤 합니다. 그 결과 보안 팀이 회사 경영진에게 보고할 때 명확하고 상세한 사례가 거의 없거나 아예 없어 기업 보안 구축과 보안 산업 발전을 긍정적으로 이끌지 못합니다.

예를 들어, 개장하지 않는 시간에 유가증권을 협박하여 주말에 24시간 초과 근무를 통해 시장이 개장하기 전에 처분을 완료한 경우가 있습니다.

둘,즉석 연습추론

1. 랜섬 공격에 대한 의심과 오해

자주 묻는 질문 중 하나는 안티바이러스가 랜섬 공격을 방어할 수 있나요? 기술 전문가와 함께 랜섬 공격을 방어할 수 있나요? 비상 계획이 있는 경우 랜섬 공격으로부터 자신을 보호할 수 있나요? 샌드박스 연습을 했다면 랜섬 공격으로부터 스스로를 방어할 수 있나요? 포괄적인 정보 보안 보호 시스템으로 랜섬 공격으로부터 스스로를 보호할 수 있나요?

몇 가지 일반적인 인식, 바이러스를 죽이기 위해 터미널에서 랜섬 공격 샘플을 계속 연구하고, "4 단계 접근 방식"을 사용하여 게이트웨이, 트래픽, 터미널, 랜섬 공격 심층 보호 시스템 구축, 랜섬 공격은 공격의 전제이며, 문제에 집중하고 비상 계획에서 좋은 일을해야합니다 ... ...

랜섬 공격이 발생하고 나서야 우리는 아무도 소위 사양서를 읽지 않고, 비상 계획이 작동하지 않으며, 운영 절차를 기억하지 못하고, 아무도 전화를 받지 않으며, 샘플이 안티 바이러스를 우회하고, 샘플이 안티 바이러스를 우회 할 수 있다는 사실을 알게됩니다.EDR명령 매개 변수가 작동하지 않고 네트워크 차단이 적용되지 않으며 인력 용량이 이것이라는 것이 밝혀졌으며 결과는 다음과 같습니다. ......

2. 랜섬 공격에 대응하는 모범 사례

랜섬 공격에 직면했을 때 몇 가지 고려 사항 : 기업은 규제, 회사, 예산, 인력 및 시간과 같은 주요 요인에 따라 적절한 선택을해야합니다. 증권 업계의 경우, 규제에 랜섬 공격 방지에 대한 명확한 요구 사항이 있고 사고 사례에 대한 소문이 있으며, 큰 보안 위험을 제거하기 위해 회사가 일반적으로 지원하고 예산은 큰 문제가 아니지만 인력과 시간이 매우 부족합니다.

랜섬웨어에 맞서기 위한 몇 가지 옵션: 하나는 그냥 누워있는 것이고, 다른 하나는 랜섬웨어 공격을 계획하는 것입니다.비상 대응프로그램, 셋째, 랜섬 공격 비상 대응 프로그램 개발 및 샌드박스 연습, 넷째, 랜섬 공격 비상 대응 프로그램 개발 및 실제 연습을 실시합니다.

최고의 ROI 프로그램은 보안팀이 운영과 유지보수, 연구 및 개발 부서를 한데 모아 실제 훈련에 참여하되 위험 관리에 주의를 기울이는 것입니다. 실제 전투는 항상 가장 효과적이고 근거가 있는 방법이며, 많은 동료들이 실제 전투에서 721 규칙, 70% 성장을 알고 있다고 생각합니다.존재하다사이버 보안문제가 발생하지 않았다고 해서 결과가 좋았다는 의미는 아닙니다.공격을 받지 않고 곤경에 처하지 않았다는 것은 운이 좋았다는 뜻일 뿐입니다.공격을 받았지만 적절히 처리하는 것이 정말 좋은 방법입니다.

진짜 총을 실제로 연습해야만 진짜갈취대상방어선.

III. 실전 연습 프로그램

'실제 총'을 출발점으로 삼아 사실성, 제어 가능성, 첨단 기술이라는 원칙에 따라 재현성이 높은 강탈 훈련을 개발하고 구현했습니다.

1. 실습의 목적

랜섬 공격은 실제 상황에 가장 가깝고 결과가 가장 좋으며 팀의 전투 능력을 향상시키는 가장 효과적인 방법이지만 가장 어렵고 비용이 많이 드는 것도 부인할 수 없는 사실입니다. 따라서 랜섬 훈련 계획을 시작하기 전에 랜섬 훈련의 목표를 다시 한 번 명확히 해야 합니다. 이번 몸값 탈취 훈련의 목적을 다음과 같이 요약해 보았습니다:

1. 1. 1. 이 단계에서 랜섬웨어 보호 조치의 효과와 방어의 효율성을 평가합니다;

      2. 랜섬 공격에 대한 보안팀의 실제 대응 수준 평가(매일 조금씩 달라짐);

      3. 랜섬 공격에 악용될 수 있는 보안 위험을 파악하고 적시에 수정하세요;

      4. 랜섬 공격에 대비한 비상 대응 역량과 비즈니스 복원력을 평가하세요;

      5. 랜섬 공격 비상 대응 프로그램의 운영 가능성 및 효과를 평가합니다;

      6. 회사 직원들의 랜섬 공격 보안에 대한 인식을 제고하세요.

2. 실습의 원칙

기술 발전.실제 훈련의 효과를 극대화하기 위해 랜섬 공격 훈련에서는 실제 랜섬 조직을 가상의 적으로 설정하여 랜섬 공격에 대비한 실제 방어 능력을 평가합니다. 실제 랜섬 공격 기법과 샘플을 사용하고, 수동 도구와 자동 도구를 결합한 침입 방법을 채택하고, 사회 복지사를 통한 전달 방식을 사용하며, 강력한 살상 능력을 갖춘 샘플을 사용하기 위해 최선을 다하고 있습니다.

3. 실전 연습 과정

전체 랜섬 공격 훈련 프로세스를 계획, 준비, 실행, 종료의 4단계로 나누어 실제 랜섬 공격 훈련 계획을 수립합니다:

계획 단계

이 단계에서는 훈련의 목표를 정의하고 관련된 모든 당사자와의 합의를 도출하는 것부터 시작합니다;

두 번째 단계는 기존 자산 세그먼트, 네트워크 토폴로지, 보안 제품 배포 위치 및 범위를 기반으로 보안 현주소를 평가하는 것으로, 이를 통해 전체 네트워크 아키텍처의 취약점과 보안 수준을 전반적으로 파악해야 이후 비상 계획을 수립하는 데 도움이 됩니다;

이를 바탕으로 모의해킹 시간을 결정하고, 모의해킹의 목적에 따라 사무실, 테스트 구역 등 모의해킹을 수행할 범위를 결정하고 모의해킹 스크립트를 개발하는 것은 물론 공격자의 TTP를 1차적으로 결정해야 합니다;

그런 다음 인력과 자원을 확인합니다. 공격 및 평가 팀, 방어 팀, 리소스 스케줄링 팀으로 구성된 연습 지휘 부서를 구성하고 '내부자', '행위자' 등의 배치 여부를 포함한 인력을 확인해야 합니다. 연습을 위한 리소스 확인은 어떤 네트워크 세그먼트와 자산을 사용할 수 있는지 상세하게 확인해야 합니다.

결국 운동 계획과 시간대가 실행 가능한 형태로 전달됩니다.

준비 단계

이 단계에서 우리는 공격의 성공에 대비하는 동시에 완벽한 리스크 관리를 하는 것이 주요 목표인 공격 그룹과 비상 계획을 수립해야 하는 방어 그룹으로 나뉩니다.

공격자는 먼저 시뮬레이션 환경을 구축해야하며, 연습에 필요한 가상 환경을 구축하는 데 적합하지만 실제 환경의 일부를 유지하는 데 적합한 가상 터미널과 실제 터미널의 조합으로 끝나고 강탈의 침입 과정과 지부 단위의 비상 대응 과정을 시뮬레이션 할 수있을뿐만 아니라 연습의 효과를 발휘하여 다양한 단계의 프로세스가 원활하게 수행되도록 보장 할 수 있습니다. 둘째, 계획 단계의 TTP에 따라 관련 공격 도구와 기술을 준비하고 시뮬레이션 된 바이러스의 효과와 제어 가능성을 검증해야합니다. 동시에 리허설 템포의 제어 가능성과 시각화를 고려하여 지원 플랫폼을 배포하고 테스트하여 원키 바이러스 배치 및 정리를 실현하고 리허설 과정에서 효과를 실시간으로 표시해야하며, 전체 준비 단계를 통해 실행되는 것은 시뮬레이션 된 바이러스 제어, 리허설 인력의 안전, 리허설 화이트리스트 관리 및 기타 메커니즘을 포함한 위험 제어입니다. 관리 및 행사 화이트리스트 메커니즘.

국방부가 비상 계획을 수립한 후에는 비상 평가팀의 지침에 따라 수정하고 최종적으로 출력할 수 있도록 확정합니다.

구현 단계

준비가 완료되면 공격팀은 '약속대로' 니어 소스, 이메일 피싱 등을 통해 리허설 시뮬레이션 환경을 공격하여 시뮬레이션된 랜섬웨어 바이러스를 전달하고 미리 정해진 시간에 확산을 시작하게 됩니다.

이 기간 동안 방어팀은 배치된 보안 장치를 사용하여 공격을 탐지합니다. 모의 바이러스 발생 후 랜섬웨어 훈련은 공식적으로 비상 대응 프로세스에 돌입하며, 이 단계에서 보안 수준과 비상 대응 계획의 유효성을 철저히 테스트합니다.

실행 단계에서 비상 평가팀은 전체 훈련의 데이터와 정보를 수집 및 분석하는 것 외에도 국방부의 비상 대응 능력을 평가하고 비상 대응 프로세스를 안내합니다.

마무리 단계

훈련의 결과와 데이터를 바탕으로 랜섬 훈련 공격 보고서, 랜섬 훈련 긴급 대응 보고서, 랜섬 훈련 요약 보고서를 작성합니다. 보고서와 검토 세션을 통해 랜섬 훈련의 효과와 가치를 요약 및 평가하고, 결과와 데이터를 기업 보안의 개선 및 강화 방안을 제시하고 기업의 보안 방어 아키텍처와 전략을 업데이트 및 개선하는 지침으로 활용합니다.

IV. 실습의 효과

전반적으로 이번 실습을 통해 우리의 사고방식이 "할 수 있을 것 같다"에서 "할 수 있을 것 같다"로 변화한 것 같고, 실습에서 드러난 문제점은 매우 포괄적입니다.

1,비상 계획할 수 있을 것 같아요

'이론적으로 가능한' 이 길은 이미 오래전부터 함정으로 가득 차 있었습니다.

준비 단계에서는 랜섬 공격 보안 관리 규격, 랜섬 공격 비상 대응 절차, 랜섬 공격 비상 운영 매뉴얼, 랜섬 공격 수직 방어 체계를 수립 및 수정하고, 랜섬 공격 비상 대응 툴킷을 준비했으며, 사전에 샌드박스 리허설까지 진행하여 랜섬 공격 샌드박스 리허설 보고서도 작성했습니다. 또한 랜섬 공격 리허설에서는 샘플의 제어 가능성을 확인하는 것도 중요하다는 점을 언급해야 합니다.

그러나 규범, 프로그램, 프로세스, 매뉴얼, 툴킷은 결코 효과와 같지 않으며 때로는 아무런 관련이 없습니다. 어른들이 종종 말하듯이, 이론상으로는 괜찮지만 실제로는 그렇지 않을 수도 있습니다.

2. 해야비상 관리할 수 있을 것 같아요.

이 단계에서 몇 가지 문제가 나타나기 시작하지만, 아직까지는 "큰 문제는 아니다"라고 생각합니다:

알람 우회. 보안 시스템이 효과적이기 위해서는 실제 보안 시스템, 보호 대상 자산, 업데이트된 정책, 알람 작동, 온라인 상태의 직원 등 많은 전제 조건이 필요하지만, 이 연습에서는 알람 우회가 명확하게 이루어졌습니다.

부적절한 폐기. 비상 대응은 일상 업무에서 매우 드물게 발생하며 실무 경험을 쌓기가 어렵습니다. 경험 부족으로 인해 이론과 실제 사이에 매우 심각한 단절이 발생할 수 있습니다. 예를 들어, 네트워크 중단 후 원격으로 문제를 해결하는 방법이 있습니다.

차단 속도가 너무 느립니다. 긴급 차단 프로세스는 여러 팀의 조율이 필요하고, 채널이 설정된 후에도 최소한의 사용으로 인해 실제로 연락을 받았을 때 전화가 걸려오거나 직원이 휴가를 가는 등의 문제가 발생합니다.

3,STH의 기원을 조사하세요.나는 내가 할 수 있다고 생각했다

공격을 받는 것은 무섭지 않지만, 공격의 근원을 찾지 못하고 무엇이 나를 공격하는지 모르는 것이 가장 무섭습니다. 추적 단계에서 발생한 문제는 경각심을 일깨워 줍니다:

탐지할 수 없습니다. 랜섬 공격이 보안 시스템 보호를 우회하는 경우 보안 담당자가 랜섬웨어에 대한 충분한 심층 지식과 비상 대응 경험이 풍부해야 신속하게 문제를 해결할 수 있다는 점은 여전히 실무 경험에서 발생하는 문제입니다. GPT에 요청하면 일부 문제를 해결할 수 있지만 그 효과는 제한적입니다.

불완전한 증거 수집. 부적절한 폐기는 중요한 샘플, 프로세스 및 증거의 손실로 이어질 수 있으며, 샘플을 확보한 후 적시에 샘플 동작을 분석해야 합니다. 동시에 포렌식은 보안 담당자의 Linux 및 Windows 기술을 테스트하는 훌륭한 시험이기도 합니다. 다음과 같은 부적절한 포렌식 작업은 사용자를 직접 종료하고 재부팅하게 하거나, 타사 기능을 적시에 빌리지 못하는 자체적인 실패를 처리할 수 없습니다.

복구가 불가능합니다. 백업은 랜섬 공격에 대처하는 가장 효과적인 방법이며, 그렇지 않으면 직접 암호를 해독하거나 보안 공급업체에 도움을 요청하거나 공격자에게 몸값을 지불하는 방법밖에 없습니다. 그러나 때때로 백업이 제때 이루어지지 않아 백업이 암호화될 수 있습니다.

V. 요약 및 전망

실습의 보상은 모든 것을 포괄하는 것이었고 궁극적으로 기대에 크게 부합했습니다.

1, 이론의 실천은 폐지와 다르지 않습니다.

완전한 훈련을 거치지 않고는 글로벌 관점을 갖는 것은 불가능합니다. 입증되지 않은 비상 계획은 종이 조각입니다. 실제로 타격을 입지 않은 사람들은 정신력이 실제로 제로가 될 수 없지만 내재 된 인식을 깨뜨릴 수도 없습니다. 빈 컵 정신을 유지하기 위해 보안을 유지하고 후속 조치를 위해 첫 번째 이론을 연습하십시오. 조사에는 말할 권리가 없으며 조사는 연습입니다.

2. 정기적 인 연습 없이는 통과하기 어렵습니다.

한 번은 이해하지 못하는 문제 만 해결할 수 있고, 세 번은하지 않는 문제 만 해결할 수 있고, 열 번은 숙련도 문제를 해결할 수 있고, 숙련도 문제를 해결하기 위해 백 번을 할 수 있습니다. 실제 전투 연습을 준수하고 검토 요약을 준수하십시오. 전투에서 실제로 승리하기 위해 실제 시나리오와의 실제 대결.

소스 참조:

https://mp.weixin.qq.com/s/yHJhWBpMj4vd-3XNHzcrtA