Veeam 소프트웨어
<1> 램섬웨어의 확산
<2> 램섬웨어 감염 7가지 원인
<3> 대책
<4> 개인 정리
<1> 램섬웨어의 확산
1
ransomware
2020년 3%에서 2021년 7%로 증가함
공격자는 공격을 성공하면 수익을 얻을 수 있어 계속 공격한다.
100% 공격을 막을 수 없다.
2
모든 방어가 실패했을 때 대안이 있어야 한다.
백업 시스템 필요하다.
데이터와 서비스를 복원하기 위한 방안이 필요하다.
<2> 램섬웨어 감염 7가지 원인
테스트하지 않은 백업과 느린 복구 시간
경보 피로
취약한 암호정책
네트워크 분할 부재
데이터 센터와 클라우드 간 상이한 정책
잘못된 환경 구성
적용하지 않는 패치
1
테스트하지 않은 백업과 느린 복구 시간
모범 사례를 따르지 않는 기업은 필요할 때 백업된 데이터에 접근할 수 없다는 것 나중에 알게 된다.
복구 연습이 부족했던 기업은 비상 상황에서 복원이 지연되고 서비스 중단을 회피하기 위해 몸값을 지불해야 한다.
2
경보 피로
3
취약한 암호정책
관리자 계정 사용
간단한 암호
2단계 인증이 없는 경우
4
세분화되지 않은 네트워크
평면 네트워크는 감염이 쉬워져 문제
5
일관성 없는 정책
적용하지 않는 패치
단순한 보안 정책 적용, 일부는 보안정책이 적용되지 않는다.
6
잘못된 환경 구성
라우터, 보안장치, 백업장치가 디폴트 패스워드로
관리주체를 명확히 정의하고, 보안 적용도 해야 한다.
7
데이터 센터와 클라우드 간 상이한 정책
<3> 대책
1
최종 방어선으로 안전한 백업과 복구 훈련
얼마나 빠르게? 얼마나 안정하게? 세분화된 복구 가능?
예) Veem서비스는 S3 Object Lock과 연동, 백업 시 만료일 이전까지 삭제 등 방지한다.
2
백업시스템에서 사용되는 계정을 프로덕션과 분리하라.
백업까지 공격 가능하니 이에 대한 대응 필요
오프라인에 1개의 백업 존재 필요
3
최소한의 권한만 할당하여 접근을 허가하는 보안 모델을 제로-트러스트라고 한다.
최소 권한을 할당하고, 필요시 추가 권한을 할당한다.
4
자격증명을 주기적으로 변경하여, 사용하지 않는 것 제거 필요.
5
다중 인증 필수
역할 기반 액세스 제어
AWS Key Management Sevice
6
클라우드는 클라우드 친화적인 설루션을 사용하라.
단일 통합 플랫폼도 중요하다.
Veem 쿠버 네티스 지원한다.
<4> 개인 정리
감염 원인 7가지에 대한 개선안에 대해 개인 의견을 적어본다.
1
테스트하지 않은 백업과 느린 복구 시간
모범 사례를 따르지 않는 기업은 필요할 때 백업된 데이터에 접근할 수 없다는 것 나중에 알게 된다.
복구 연습이 부족했던 기업은 비상 상황에서 복원이 지연되고 서비스 중단을 회피하기 위해 몸값을 지불해야 한다.
-> 백업과 복구 훈련 1년에 1회 필수, ISMS 필수 사항이다.
예) 티켓으로 복구훈련 신청과 결과 이력이 남도록 강제화 한다.
2
경보 피로
-> 알람에 대해 조정하자.
알람 발생 시 누락되지 않도록 시스템에서 티켓으로 자동 등록되도록 하여 SE가 처리하도록 하자.
예) JIRA에 자동 등록되도록 하여 SE에서 할당한다.
3
취약한 암호정책
관리자 계정 사용하지 말자
간단한 암호 사용하지 말자.
2단계 인증이 없는 경우 문제가 된다.
-> 인프라에서 관리자 계정 관리하자.
암호와 2차 인증은 필수적으로 설정되도록 정책을 만들어 적용한다. 또한 자동화한다.
예) 구글 OTP나 AD 연동한다.
4
세분화되지 않은 네트워크
평면 네트워크는 감염이 쉬워져 문제
-> 인프라 As Code로 보안 네트워크를 자동화한다.
예) 자동화로 테라폼을 사용한다.
5
일관성 없는 정책
적용하지 않는 패치
단순한 보안 정책 적용, 일부는 보안정책이 적용되지 않는다.
-> 자동화 시 보안도 자동화하여 적용되도록 한다.
예) AWS 랜딩존 사용 시 반영 등
6
잘못된 환경 구성
라우터, 보안장치, 백업장치가 디폴트 패스워드로
관리주체를 명확히 정의하고, 보안 적용도 해야 한다.
-> 라우터, 백업장치 등 인프라 시스템은 인프라에서 관리한다.
보안 시스템은 보안에서 관리한다.
예) 담당자를 CDMB로 관리한다.
7
데이터 센터와 클라우드 간 상이한 정책
-> 동일한 정책으로 공지하고, 프로세스 안에 넣도록 반영한다.
예) 데이터 센터에서 연동할 때 방화벽 신청도 같이 처리가 되도록 한다.
https://brunch.co.kr/@topasvga/2439
감사합니다.