그로부터 XNUMX년이 지났다. 식민지 파이프 라인 유발한 랜섬웨어 공격 식민지 파이프 라인 XNUMX일 동안 서비스를 중단합니다. 이 공격은 동부 및 남부 주에 막대한 연료 부족을 초래했으며 강제로 식민지 파이프 라인 4.4만 달러의 막대한 몸값을 지불해야 합니다.
그 이후로 랜섬웨어 공격은 줄지 않고 계속되었으며, 가장 최근의 공격은 LAPSUS$ 및 ONYX입니다. (이것은 파일을 암호화할 뿐만 아니라 전체 시스템을 파괴할 수도 있습니다.) Black Kite는 2022년 타사 침해 보고서를 발표하여 랜섬웨어가 2021년에 가장 일반적인 타사 공격 방법이 되었음을 강조했습니다. 하나의 구멍은 하나의 구멍입니다. 하나의 도난당한 암호, 하나의 열린 포트(테스트를 위한 짧은 기간 동안에도) 또는 하나의 랜섬웨어 문을 열어 두는 Log4j와 같은 하나의 소프트웨어 취약점입니다.
여기에서 우리가 배운 몇 가지 교훈이 있습니다. 식민지 파이프 라인 공격 조직이 스스로를 보호하기 위해 해야 할 일:
1: 보안 인식을 높이고 보안 정책을 시행합니다. 예를 들면 다음과 같습니다.
- MFA(Multi-Factor Authentication)를 사용하여 공격자가 침입하는 것을 훨씬 더 어렵게 만듭니다. Colonial Pipeline의 VPN 계정은 암호가 다크 웹에서 발견되었기 때문에 손상되었습니다. MFA를 활성화하면 단순히 암호를 얻는 것보다 공격하기가 훨씬 더 어려워집니다.
- 정기적으로 시스템을 백업합니다. 몸값이 지불된 후 제공된 암호 해독 도구가 너무 느려서 회사의 비즈니스 연속성 계획 도구가 운영 능력을 회복하는 데 더 효과적이었습니다.
2: 탐지 및 대응 시스템은 필수
몸값 메시지를 받은 후 Colonial Pipeline은 그것이 어떻게 발생했고 얼마나 진행되었는지 알지 못하기 때문에 생산을 중단해야 했습니다. 공격이 완전히 억제되었다는 결론을 내리는 데 며칠이 걸렸습니다. 탐지 및 대응 시스템이 있으면 시스템 종료를 피할 수 있습니다. 탐지 및 대응 시스템은 다음을 수행해야 합니다.
- 공격의 초기 징후를 감지하고 진행되기 전에 빠르게 중지하여 피해를 최소화합니다. Colonial Pipeline의 경우 랜섬웨어 공격 이전에 데이터 유출이 발생했습니다. 탐지 및 대응 시스템이 유출 경보를 발생시켰을 수 있으며, 이는 조사와 대응을 통해 공격이 랜섬웨어 공격으로 진행되는 것을 방지할 수 있습니다.
- 적용 범위 외에도 의심스러운 행동을 감지합니다. MITER ATT & CK 기술과 전술. 공격자는 단순히 다크 웹에서 자격 증명을 구입하고 합법적인 사용자로 로그인할 수 있습니다. MITRE ATT&CK 전술 및 기술을 기반으로 하는 탐지를 트리거하지 않습니다. 그러나 들어간 후에는 의심스러운 행동을 보일 것입니다.
- 공격이 어떻게 발생했는지에 대한 명확한 그림을 보여주어 공격이 억제되었음을 결정적으로 보여줍니다. Colonial Pipeline은 Mandiant를 고용하여 공격자가 VPN 계정을 사용하여 29월 XNUMX일에 네트워크에 액세스하기 전에 다른 관련 활동이 없었는지 확인하기 위해 환경에 대한 철저한 검색을 수행했습니다. 그러나 우수한 탐지 시스템은 수일 동안 수동 추적 및 청소 없이 실시간으로 이를 보여주었을 것입니다.
- 공격이 얼마나 진행되었는지 보여주고 영향을 이해하십시오. 중요한 자산에 도달했습니까? 이는 불필요한 중단을 피하기 위해 비즈니스에 미치는 영향을 파악하는 데 도움이 됩니다. 공격의 주요 대상은 회사의 청구 인프라였습니다. 실제 오일 펌핑 시스템은 여전히 작동할 수 있었습니다. 그러나 공격자가 실제 휘발유 흐름을 제어하는 컴퓨터 시스템인 운영 기술 네트워크를 손상했는지 여부는 Colonial Pipeline에 명확하지 않았습니다. 며칠 후 Mandiant가 전체 네트워크를 휩쓸고 추적했습니다. 탐지 시스템은 공격이 얼마나 진행되었는지와 해당 조치를 결정하기 위해 영향을 받는 자산이 무엇인지 명확하게 보여주어야 합니다.
- 진행 중인 새로운 후속 공격을 표시합니다. 조사하는 동안 Mandiant는 후속 공격을 모니터링하기 위해 탐지 도구를 설치했습니다. 견고한 탐지 및 대응 시스템은 공격이 발생하는 경우(또는 발생하는 경우)에 관계없이 연중무휴 모니터링합니다.
여기서 주요 교훈은 전체 보안 인프라를 연중무휴 24시간 모니터링하고, 공격의 초기 징후를 탐지하고, 다양한 신호를 상호 연관시켜 공격이 어떻게 발생하고 얼마나 진행되었는지 보여주는 통합 탐지 및 대응 시스템을 사용하는 것입니다. 그것이 바로 스텔라 사이버의 Open XDR 플랫폼 제공합니다.
