Endpoint Security는 클라우드 호스팅 컴퓨팅 엔드포인트 리소스를 포괄적으로 보호합니다. 효과적인 엔드포인트 보안은 무단 액세스를 방지하고, 위협을 감지 및 대응하며, 클라우드 환경에서 실행되는 가상화된 인프라에 대한 보안 규정 준수를 유지 관리합니다.
포괄적인 엔드포인트 보안 기능이 없는 경우:
- 맬웨어 및 랜섬웨어 감염: 보호되지 않는 클라우드 가상 머신을 사용하면 맬웨어 실행, 랜섬웨어 암호화 및 지속적인 위협이 워크로드 무결성 및 비즈니스 운영을 손상할 수 있습니다.
- 자격 증명 도난 및 횡적 이동: 손상된 클라우드 엔드포인트를 사용하면 공격자가 자격 증명을 수집하고 권한을 에스컬레이션하며 클라우드 환경 및 가상 네트워크 간에 횡적으로 이동할 수 있습니다.
- 데이터 반출: 관리되지 않는 클라우드 워크로드에는 클라우드 스토리지 및 데이터베이스에서 무단 데이터 전송을 허용하는 데이터 보호 제어가 부족합니다.
- 규정 준수 위반: 클라우드 인프라에 대한 엔드포인트 보안 제어를 입증하지 못하면 규제 감사 실패 및 잠재적인 제재가 발생합니다.
- 관리되지 않는 클라우드 리소스: 보안 에이전트가 없는 프로비전된 가상 머신은 보안 격차 및 가시성 사각지대를 만드는 보호 제어를 우회합니다.
- 구성 드리프트: 일관성 없는 보안 구성으로 작동하는 클라우드 가상 머신은 취약성을 만들고 전반적인 보안 상태를 줄입니다.
다음은 Endpoint Security 보안 도메인의 두 가지 핵심 핵심 요소입니다.
클라우드 엔드포인트 위협 방지: 맬웨어 방지, 동작 분석 및 자동화된 수정을 포함하여 클라우드 가상 머신에 대한 포괄적인 위협 감지 및 대응 기능을 배포합니다. 실시간 위협 인텔리전스 상관 관계 및 통합 확장 탐지 및 대응(XDR)을 구현하여 클라우드 워크로드를 대상으로 하는 위협을 손상을 입히기 전에 식별하고 중화합니다.
관련 컨트롤:
클라우드 엔드포인트 보안 구성: 운영 체제 구성, 애플리케이션 제어 및 보안 기능 사용 기능을 포함하여 모든 클라우드 가상 머신에서 보안 기준 및 강화 표준을 적용합니다. 클라우드 호스팅 컴퓨팅 리소스에 대한 자동화된 구성 관리 및 드리프트 검색을 통해 일관된 보안 상태를 유지합니다.
관련 컨트롤:
ES-1: EDR(엔드포인트 검색 및 응답) 사용
Azure Policy:Azure 기본 제공 정책 정의인 ES-1을 참조하세요.
보안 원칙
엔드포인트 활동, 동작 분석 및 자동화된 위협 대응에 대한 실시간 가시성을 제공하는 포괄적인 엔드포인트 검색 및 응답 기능을 구현합니다. 보안 조직이 지능형 위협을 감지하고, 사고를 조사하며, 신속히 대응하여 환경 전체의 엔드포인트 손상을 격리하고 복구할 수 있도록 합니다.
완화할 리스크
포괄적인 엔드포인트 검색 및 대응 기능 없이 작동하는 조직은 기존의 예방 제어를 우회하는 고급 위협으로부터 상당한 위험에 직면해 있습니다. EDR이 없는 경우:
- 검색되지 않은 고급 위협: 파일리스 맬웨어, 래터럴 무브먼트 기술 및 제로 데이 익스플로잇을 포함한 정교한 공격은 오랜 기간 동안 감지되지 않으며 서명 기반 탐지를 회피합니다.
- 지연된 인시던트 대응: 엔드포인트 활동에 대한 실시간 가시성이 부족하여 신속한 위협 탐지 및 대응을 방지하여 공격자가 지속성을 설정하고 데이터를 반출할 시간을 허용합니다.
- 제한된 위협 가시성: 보안 팀은 포괄적인 엔드포인트 원격 분석 및 동작 분석 없이는 공격 패턴, 횡적 이동 또는 명령 및 제어 통신을 식별할 수 없습니다.
- 비효율적인 위협 억제: 수동 조사 및 수정 프로세스를 사용하면 응답 활동 중에 엔드포인트에 위협이 분산되어 조직에 더 큰 영향을 미칠 수 있습니다.
- 누락된 포렌식 기능: 기록 엔드포인트 활동 데이터가 없으면 근본 원인 분석, 공격 재구성 및 보안 인시던트에서 배운 교훈을 방지할 수 있습니다.
- 보안 상태의 사각지대: 모니터링되지 않는 엔드포인트 활동은 내부자 위협, 권한 에스컬레이션 및 데이터 반출 시도 감지를 방지하는 가시성 격차를 만듭니다.
EDR 기능이 없으면 조직은 공격 실행 단계가 아닌 상당한 손상이 발생한 후에만 위협을 감지합니다.
MITRE ATT&CK
- 초기 액세스(TA0001): 피싱(T1566) 및 공용 애플리케이션을 악용(T1190)하여 탐지되지 않고 엔드포인트에서 초기 발판을 확보합니다.
- 실행(TA0002): 예방 제어를 우회하는 엔드포인트에서 악성 코드를 실행하는 명령 및 스크립팅 인터프리터(T1059)입니다.
- 지속성(TA0003): 기존 맬웨어 방지에서 감지되지 않는 영구 액세스 메커니즘을 설정하는 시스템 프로세스(T1543)를 만들거나 수정합니다.
- 방어 회피(TA0005): 보안 도구 비활성화로 방어 약화(T1562) 및 탐지 능력을 피하기 위한 파일 또는 정보 난독화(T1027)
- TA0006(자격 증명 액세스): 권한 상승 및 횡적 이동을 위해 엔드포인트 메모리에서 자격 증명을 수집하는 OS 자격 증명 덤프(T1003)
ES-1.1: 엔드포인트 검색 및 응답 솔루션 배포
기존의 바이러스 백신 서명 탐지는 파일리스 기법, 행동 기반 이진 파일, 그리고 고도화된 난독화를 사용하는 최신 위협을 놓쳐서 정적 분석을 피합니다. 이로 인해 엔드포인트는 제로 데이 공격 및 지능형 지속 위협에 취약해집니다. 엔드포인트 검색 및 응답은 서명 가용성, 비정상적인 프로세스 실행 검색, 자격 증명 액세스 시도 및 횡적 이동 패턴에 관계없이 악의적인 활동을 식별하는 동작 모니터링 및 기계 학습을 제공합니다. 포괄적인 원격 분석 수집을 사용하면 공격 타임라인을 재구성하고 초기 검색 중에 누락된 손상 지표를 식별하는 포렌식 조사 및 위협 헌팅이 가능합니다.
다음 EDR 기능을 통해 동작 위협 탐지를 설정합니다.
- Microsoft Defender for Endpoint를 Microsoft Defender for Cloud로 보호되는 Azure Virtual Machines, 가상 머신 확장 집합, 및 Azure Virtual Desktop 인스턴스에 배포하여 클라우드 워크로드에 대한 포괄적인 위협 탐지, 조사 및 대응 기능을 제공합니다.
EDR 구성 모범 사례:
- 동작 검색 사용: 중요한 워크로드를 호스팅하는 고부가가치 Azure VM에 초점을 맞춘 프로세스 실행 패턴, 파일 시스템 변경, 네트워크 연결 및 레지스트리 수정을 모니터링하도록 동작 분석을 구성합니다.
- 검색 민감도 조정: 파일리스 맬웨어, LOLBins(합법적인 시스템 도구를 악의적으로 사용하는 래빙 오프 더 랜드 바이너리) 및 자격 증명 액세스 시도에 대해 검색 범위와 가양성 비율을 균형 있게 맞추어 워크로드 중요도에 따른 위협 감지 민감도를 조정합니다.
- 자동화된 응답 구성: 중요하지 않은 VM에 대한 프로세스 종료 및 수동 검토가 필요한 프로덕션 시스템에 대한 경고 전용을 포함하여 워크로드 유형에 적합한 자동화된 응답 작업을 정의합니다.
- 조사 절차 설정: 프로세스 트리 분석, 타임라인 재구성 및 네트워크 연결 추적을 활용하여 보안 팀이 인시던트 범위를 신속하게 평가할 수 있도록 하는 문서 조사 워크플로입니다.
- 경고 에스컬레이션 정의: 정의된 응답 시간 목표 내에서 대기 보안 담당자에게 중요한 위협을 라우팅하는 경고 심각도 임계값 및 에스컬레이션 경로를 구성합니다.
EDR 배포 전략:
- 유니버설 클라우드 엔드포인트 적용 범위: 모든 Azure Windows VM, Linux VM, Azure Virtual Desktop 세션 호스트 및 가상 머신 확장 집합에 엔드포인트용 Microsoft Defender 에이전트를 배포하여 적용 범위 간격 없이 포괄적인 가시성을 보장합니다.
- 자동 프로비저닝: 새 가상 머신에 대해 Microsoft Defender for Cloud를 통해 자동 에이전트 프로비저닝을 사용하도록 설정하여 리소스를 만들 때 즉시 보호합니다.
- 센서 상태 모니터링: 오프라인 또는 잘못 구성된 클라우드 가상 머신에 대한 자동화된 경고를 사용하여 EDR 센서 상태, 버전 준수 및 원격 분석 흐름을 지속적으로 모니터링합니다.
- 클라우드 네이티브 아키텍처: 클라우드 워크로드에 대한 자동 업데이트 및 확장성을 제공하는 네이티브 Azure 통합이 포함된 클라우드 제공 EDR 플랫폼.
- 성능 최적화: 클라우드 워크로드에 대한 포괄적인 모니터링 기능을 유지하면서 가상 머신 리소스 소비를 최소화하는 경량 센서 디자인.
ES-1.2: XDR(확장 검색 및 응답)과 EDR 통합
격리된 엔드포인트 탐지는 여러 시스템 및 서비스에 걸쳐 ID 손상, 횡적 이동 및 데이터 반출을 포함하는 정교한 공격 체인을 놓치는 연결되지 않은 알림을 생성합니다. 확장 검색 및 응답은 엔드포인트, ID 공급자, 클라우드 인프라 및 네트워크 트래픽의 원격 분석을 상호 연결하여 단일 신호 검색에서 식별할 수 없는 완전한 공격 설명을 표시합니다. 통합 인시던트 컨텍스트를 사용하면 보안 팀이 각 경고에 독립적으로 대응하지 않고 전체 공격 범위를 이해하고 영향을 받는 모든 시스템에서 동시에 조정된 봉쇄를 구현할 수 있습니다.
다음 XDR 통합 기능을 통해 플랫폼 간 위협의 상관 관계를 지정합니다.
- 엔드포인트 검색 및 응답을 Microsoft Defender XDR 과 통합하여 ID, 이메일, 애플리케이션 및 클라우드 인프라 간에 보안 원격 분석을 상호 연결하여 환경 전반에서 통합된 위협 탐지 및 조정된 대응을 가능하게 합니다.
XDR 통합 모범 사례:
- 신호 간 상관 관계를 사용하도록 설정합니다. Microsoft Defender XDR 통합을 활성화하여 클라우드 VM 이벤트를 Azure 활동 로그, Microsoft Entra ID 인증 신호 및 통합 인시던트 컨텍스트를 만드는 Azure Network Watcher 트래픽 분석과 상호 연결합니다.
- 인시던트 그룹화 구성: 클라우드 VM, ID 시스템 및 인프라 변경 내용의 관련 경고를 단일 인시던트에 그룹화하여 조사 오버헤드를 줄이고 MTTD(평균 검색 시간)를 개선하는 상관 관계 규칙을 정의합니다.
- 응답 플레이북 디자인: 네트워크 보안 그룹 업데이트를 통해 VM 격리를 자동화하는 조정된 응답 워크플로를 만들고, Microsoft Entra ID를 통한 서비스 계정 일시 중단 및 포렌식에 대한 스냅샷 만들기를 만듭니다.
- 우선 순위 점수 매기기 설정: VM 중요도 태그, 데이터 분류 및 공격 진행 단계를 통합하여 인시던트 심각도 점수 매기기를 구성하여 보안 운영 팀 대응의 우선 순위를 지정합니다.
- 공격 경로 시각화 검토: 아키텍처 수정이 필요한 횡적 이동 기회 및 권한 있는 액세스 위험을 식별하는 XDR 생성 공격 경로를 정기적으로 분석합니다.
XDR 아키텍처 구성 요소:
- ID 신호: 클라우드 기반 ID에 대한 인증 이상, 불가능한 이동 및 자격 증명 손상 지표와 클라우드 VM 활동의 상관 관계를 지정하는 Microsoft Entra ID Protection 과 통합됩니다.
- 클라우드 인프라 통합: 가상 머신 맬웨어 검색과 Azure 활동 로그, 리소스 배포 이벤트 및 공급망 및 구성 기반 공격을 식별하는 인프라 변경의 상관 관계입니다.
- 클라우드 워크로드 보호: Azure Virtual Machines, 컨테이너 인스턴스 및 클라우드용 Microsoft Defender 보호 리소스에서 클라우드 구독 및 지역에 걸친 위협을 감지하는 통합 가시성
- 네트워크 검색 통합:Azure Network Watcher 와 VM 통신의 상관 관계 및 클라우드 네트워크 간 명령 및 제어 트래픽 및 횡적 이동을 식별하는 가상 네트워크 트래픽 분석
ES-1.3: EDR 자동화 및 통합 사용
대량 보안 경고에 대한 수동 조사 및 대응은 지속 불가능한 분석가 워크로드를 만드는 동시에 위협이 초기 손상에서 데이터 반출로 진행될 수 있도록 하는 응답 지연을 도입합니다. 자동화된 조사는 경고 컨텍스트를 분석하고, 포렌식 분석을 수행하며, 수동 분석 시간이 아닌 몇 시간 내에 수정 작업을 결정합니다. 보안 오케스트레이션은 EDR 원격 분석을 클라우드 인프라 제어 및 ID 관리와 통합하여 손상된 시스템을 격리하고 자격 증명을 해지하며 법의학적 증거를 동시에 보존하는 조정된 자동화된 응답을 가능하게 합니다.
다음 자동화 기능을 통해 위협 대응을 가속화합니다.
- 자동화된 조사, 수정 및 보안 작업 통합을 구현하여 MTTR(평균 대응 시간)을 줄이고 보안 플랫폼 간에 통합된 위협 탐지를 사용하도록 설정합니다.
자동 조사 및 수정:
- 자동화된 조사 사용: 프로덕션 워크로드에 대한 수동 승인을 요구하면서 비프로덕션 VM에 대한 중간 및 높은 심각도 경고에 대한 자동 조사를 활성화하여 조사 기준을 작성합니다.
- 승인 워크플로 정의: 비즈니스 운영에 영향을 미치는 변경 내용을 보안 설계자가 검토해야 하는 프로덕션 VM에 대한 자동화된 수정 작업에 대한 승인 게이트를 설정합니다.
- 자동화된 수정 구성: Azure 네트워크 보안 그룹 업데이트를 통한 자동화된 맬웨어 제거, 지속성 제거, VM 네트워크 격리 및 보안 구성 복원을 사용하도록 설정합니다.
- 문서 에스컬레이션 조건: 유사성 분석에서 조정된 캠페인 또는 고급 영구 위협을 식별할 때 자동화된 조사를 인간 분석가에게 에스컬레이션하기 위한 기준을 정의합니다.
보안 작업 통합:
- SIEM과 통합: EDR 원격 분석을 Microsoft Sentinel 로 스트리밍하여 통합 보안 모니터링을 사용하도록 설정하고 EDR 경고를 Azure 활동 로그, 리소스 변경 및 ID 신호와 결합하는 상관 관계 규칙을 개발합니다.
- SOAR 자동화 사용: Azure 리소스 격리, ID 관리 및 가상 네트워크 보안 업데이트를 사용하여 EDR 포함을 조정하는 자동화된 응답 플레이북을 구성합니다.
- 기록 데이터 보존: 규정 준수 요구 사항, 위협 헌팅 및 정교한 위협에 대한 조사를 가능하게 하는 소급 분석을 위해 기록 EDR 데이터를 유지 관리합니다.
- 위협 인텔리전스 보강: 자동화된 위협 인텔리전스 조회, 파일 해시 분석 및 Azure 리소스 메타데이터 수집을 구현하여 조사 및 대응 결정을 가속화합니다.
구현 예제
클라우드 호스팅 거래 플랫폼을 운영하는 금융 서비스 조직은 몇 주 동안 발견되지 않고 운영되어 고객 계정 데이터를 손상시키는 포렌식 조사 중에 고급 영구 위협을 발견했습니다.
도전: 클라우드 VM의 기존 바이러스 백신은 서명 기반 검색, 누락된 파일리스 공격 및 횡적 이동만 제공했습니다. 보안 팀은 공격 타임라인에 대한 가시성이 부족하고 분산 클라우드 인프라 전반에서 수동 조사에 어려움을 겪었습니다.
솔루션 접근 방식:
- 포괄적인 EDR 배포: Azure Policy를 사용하여 Windows/Linux VM 및 Azure Virtual Desktop 세션 호스트에서 자동 프로비저닝과 Microsoft Defender for Cloud 통합을 통해 엔드포인트용 Microsoft Defender 를 사용하도록 설정했습니다.
- 자동화된 위협 대응: 암호 화폐 광부, 웹 셸 및 권한 없는 소프트웨어에 대한 자동화된 수정을 구성했습니다. 네트워크 보안 그룹을 업데이트하여 손상된 VM을 격리하고 포렌식 스냅샷을 트리거링하는 배포된 대응 플레이북입니다.
- XDR 통합: VM 원격 분석과 Microsoft Entra ID 인증 신호 및 Azure 인프라 변경의 상관 관계를 지정하는 Microsoft Defender XDR을 배포하여 통합 인시던트 컨텍스트를 만듭니다.
- 사전 위협 헌팅: Azure 가상 네트워크 전반의 횡적 이동 패턴에 초점을 맞춘 고급 헌팅 쿼리를 사용하여 설정된 위협 헌팅 프로그램입니다.
결과: 위협 탐지 시간을 몇 주에서 몇 시간으로 크게 줄여 줍니다. 자동화된 응답에는 수동 개입 없이 대부분의 위협이 포함되었습니다. 통합 인시던트 보기로 조사 시간이 크게 단축되었습니다.
중요도 수준
있어야 합니다.
컨트롤 매핑
- NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(16), IR-4(1), IR-4(4)
- PCI-DSS v4: 5.3.2, 5.3.4, 10.2.1, 11.5.1
- CIS 컨트롤 v8.1: 8.5, 8.11, 13.2, 13.10
- NIST CSF v2.0: DE.CM-1, DE.CM-4, DE.CM-7, RS.AN-1
- ISO 27001:2022: A.8.16, A.5.24, A.5.26
- SOC 2: CC7.2, CC7.3
ES-2: 최신 맬웨어 방지 소프트웨어 사용
Azure Policy:Azure 기본 제공 정책 정의인 ES-2를 참조하세요.
보안 원칙
서명 기반 검색과 동작 분석, 기계 학습, 클라우드 제공 인텔리전스 및 악용 방지를 결합하여 알려진 위협과 알 수 없는 위협으로부터 보호하는 최신 맬웨어 방지 솔루션을 배포합니다. 성능에 미치는 영향과 중앙 집중식 관리를 최소화하여 모든 엔드포인트 플랫폼에서 포괄적인 맬웨어 보호를 보장합니다.
완화할 리스크
오래된 또는 서명 전용 맬웨어 방지 솔루션에 의존하는 조직은 기존 검색 방법을 회피하는 최신 위협으로부터 점점 더 많은 위험에 직면해 있습니다. 최신 맬웨어 방지 기능이 없는 경우:
- 제로 데이 익스플로잇 취약성: 서명 기반 검색은 서명을 만들고 배포하기 전에 새 맬웨어 변형 및 제로 데이 익스플로잇을 식별할 수 없습니다.
- 다형 맬웨어 회피: 다형 코드, 암호화 및 난독 처리 기술을 사용하는 고급 맬웨어는 서명 일치 및 정적 분석을 무시합니다.
- 파일리스 공격 실행: 디스크를 건드리지 않고 RAM에서 완전히 실행되는 메모리 상주 공격은 기존의 파일 기반 검사 메커니즘을 회피합니다.
- 랜섬웨어 암호화: 최신 랜섬웨어 변형은 서명 기반 검색이 악의적인 프로세스를 식별하고 차단하기 전에 암호화를 빠르게 실행합니다.
- 스크립트 기반 공격 전달: PowerShell, JavaScript 및 기타 스크립팅 공격은 애플리케이션 기반 맬웨어 방지 컨트롤을 회피하는 신뢰할 수 있는 시스템 도구를 활용합니다.
- 성능 저하: 과도한 시스템 리소스를 사용하는 레거시 맬웨어 방지 솔루션은 엔드포인트 성능 및 사용자 생산성에 영향을 줍니다.
기존의 서명 기반 맬웨어 방지 기능은 고급 동작 감지 및 기계 학습 기능이 필요한 최신 위협 환경의 보호가 부족합니다.
MITRE ATT&CK
- 실행(TA0002): 피싱, 다운로드 또는 이동식 미디어를 통해 전달되는 맬웨어 페이로드를 실행하는 악성 파일(T1204.002)입니다.
- 방어 회피(TA0005): 난독 처리된 파일 또는 정보(T1027) 및 서명 기반 검색을 우회하는 가상화/샌드박스 회피(T1497)
- 영향(TA0040): 탐지가 발생하기 전에 랜섬웨어 암호화 조직 데이터를 배포하는 영향(T1486)을 위해 암호화된 데이터입니다.
ES-2.1: 차세대 맬웨어 방지 솔루션 배포
서명 기반 맬웨어 방지는 알려진 위협에 대한 필수 기준 보호를 제공하지만, 최신 맬웨어는 다형성, 압축 및 암호화를 사용하여 동작 분석 및 기계 학습 분류가 필요한 기존 검색을 회피합니다. 다중 계층 보호는 알려진 위협에 대한 정적 서명을 동적 동작 모니터링 및 클라우드 기반 인텔리전스와 결합하여 새로운 맬웨어 변형 및 제로 데이 익스플로잇을 검색합니다. 중앙 집중식 관리는 모든 엔드포인트에서 일관된 보호 기준을 보장하고 변조 방지는 악의적 사용자가 초기 액세스 권한을 얻은 후 보안 제어를 사용하지 않도록 설정하는 것을 방지합니다.
다음 방어 계층을 통해 포괄적인 맬웨어 보호를 배포합니다.
- 서명 기반 검색, 동작 분석, 기계 학습 분류 및 클라우드 워크로드에 대한 악용 방지 기능을 비롯한 다중 계층 보호를 제공하는 Azure Virtual Machines에서 Microsoft Defender 바이러스 백신을 구현합니다.
맬웨어 방지 구성 모범 사례:
- 보호 계층 구성: 기본적으로 모든 보호 계층(서명 기반, 추론, 동작, 클라우드 기반 ML)을 사용하도록 설정하여 보안 팀에서 문서화하고 승인한 특정 워크로드 요구 사항에 대해서만 선택적 비활성화를 허용합니다.
- 클라우드 제공 보호를 사용하도록 설정합니다 . 무선 간격 보호 모델이 필요한 매우 중요한 데이터를 처리하는 VM을 제외하고 알 수 없는 파일에 대한 자동 샘플 제출을 사용하여 클라우드 보호를 활성화합니다.
- 제외 관리 구성: 공격 노출을 최소화하는 맬웨어 방지 제외에 대한 비즈니스 근거, 보안 검토 및 시간 제한 승인을 요구하는 공식적인 예외 프로세스를 설정합니다.
- 변조 방지 테스트: 모든 프로덕션 VM에서 변조 방지를 사용하도록 설정하고 제어된 테스트를 통해 유효성을 검사하여 시뮬레이션된 공격 중에 맬웨어 방지가 계속 작동하도록 합니다.
- 중앙 집중식 관리 설정: 구성 변경에 대한 조직 기준 구성 및 거버넌스 워크플로를 정의하는 Microsoft Defender for Cloud 및 Azure Policy를 통해 중앙 집중식 맬웨어 방지 관리를 구현합니다.
ES-2.2: 고급 위협 방지 기능 사용
맬웨어 검색만으로는 충분한 보호를 제공하지 못합니다. 악의적 사용자가 메모리 손상 취약성을 악용하고, 합법적인 시스템 기능을 남용하며, 기존 서명이 감지하기 전에 데이터를 암호화하기 때문입니다. DEP, ASLR, Control Flow Guard와 같은 Exploit Protection 완화 조치는 악성 코드 서명에 관계없이 메모리 기반 공격을 차단하여 애플리케이션 취약성이 악용되는 것을 방지합니다. 공격 표면 감소 규칙은 신뢰할 수 없는 원본에서 스크립트 실행을 차단하고 자격 증명 액세스를 제한하며 랜섬웨어 암호화가 발생하기 전에 중요한 데이터 폴더를 보호하여 악의적인 기술을 제한합니다.
다음과 같은 고급 보호를 통해 악용 기술을 방지합니다.
- 악용 방지, 공격 표면 감소, 제어된 폴더 액세스 및 네트워크 보호를 비롯한 고급 보호 기능을 구성하여 악용 기술을 방지하고 공격 노출 영역을 줄입니다.
Exploit Protection 설정 구성:
- 메모리 보호 사용: 프로덕션 배포 전에 개발 환경에서 애플리케이션 호환성을 테스트하는 모든 Azure VM에서 DEP(데이터 실행 방지), ASLR(주소 공간 레이아웃 임의화) 및 CFG(Control Flow Guard)를 활성화합니다.
- 애플리케이션별 보호 구성: 분기별로 문서화 및 검토되는 예외를 제외하고 고위험 애플리케이션(브라우저, Office 앱, PDF 판독기)에 대상 악용 방지를 적용합니다.
- 완화 효율성을 테스트합니다. 결과에 따라 구성을 조정하는 일반적인 기술(힙 분무, ROP, SEH 덮어쓰기)에 대한 보호의 유효성을 검사하는 제어된 악용 시뮬레이션 테스트를 수행합니다.
- 예외 프로세스 설정: 보안 설계자 검토, 비즈니스 근거 및 보상 컨트롤이 필요한 악용 방지 예외에 대한 공식 승인 워크플로를 정의합니다.
공격 표면 감소 구성:
- ASR 규칙을 점진적으로 배포합니다. 낮은 영향 규칙으로 시작하여 차단 모드로 전환하기 전에 먼저 감사 모드에서 공격 표면 감소 규칙을 사용하도록 설정하여 30일 동안의 영향을 분석합니다.
- 스크립트 실행 컨트롤 구성: 합법적인 자동화 스크립트에 대해 문서화된 예외를 유지하면서 신뢰할 수 없는 원본에서 난독 처리된 JavaScript/VBScript/PowerShell 실행을 차단합니다.
- 랜섬웨어 보호 사용: 매월 승인된 애플리케이션 목록을 검토하여 중요한 데이터 폴더를 보호하는 제어된 폴더 액세스를 구성합니다.
- 자격 증명 보호를 구현합니다. LSASS 보호를 사용하여 Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용을 차단하고, 오탐으로 인해 합법적인 보안 도구가 영향을 받지 않도록 모니터링을 설정합니다.
- ASR 규칙 효율성을 모니터링합니다. 매주 공격 패턴을 식별하고 보안 범위를 최적화하는 규칙 구성을 조정하는 ASR 규칙 블록 이벤트를 검토합니다.
네트워크 보호:
- 웹 위협 방지: 악성 IP 주소, 도메인 및 URL에 대한 연결을 차단하여 명령 및 제어 통신 및 악의적인 다운로드를 방지합니다.
- SmartScreen 통합:Microsoft Defender SmartScreen 실시간 평판 조회를 통해 다운로드한 파일 및 방문한 웹사이트를 검사하여, 알려진 피싱 및 맬웨어 배포 사이트에 대한 접근을 방지합니다.
- 네트워크 침입 방지: 엔드포인트 수준에서 네트워크 기반 익스플로잇 시도 및 횡적 이동 활동의 검색 및 차단
구현 예제
의료 조직은 Azure Virtual Desktop 인프라에서 환자 레코드를 암호화하는 랜섬웨어 공격을 당했습니다. 기존의 바이러스 백신은 무기화된 의료 이미징 파일을 통해 전달되는 메모리 상주 맬웨어를 감지하지 못했습니다.
도전: 레거시 서명 기반 보호는 파일리스 공격 또는 스크립트 기반 랜섬웨어를 검색할 수 없습니다. 임상의는 HIPAA 보안 제어를 유지하면서 의료 애플리케이션에 대한 중단 없는 액세스가 필요했습니다. 랜섬웨어는 탐지하기 전에 환자 레코드를 암호화했습니다.
솔루션 접근 방식:
- 동작 검색: 의료 애플리케이션 VM에 대한 파일리스 맬웨어 및 스크립트 기반 공격을 감지하는 클라우드 제공 보호 및 동작 분석을 사용하여 Microsoft Defender 바이러스 백신 을 배포했습니다.
- 공격 표면 감소: 신뢰할 수 없는 원본에서 PowerShell 실행을 차단하고 전자 상태 레코드를 호스팅하는 애플리케이션 서버에서 자격 증명 덤프를 방지하는 구성된 ASR 규칙입니다.
- 랜섬웨어 보호: Azure Virtual Desktop에서 제어된 폴더 액세스를 구현하여 환자 데이터 디렉터리를 무단 수정으로부터 보호하고 랜섬웨어 암호화 시도를 차단합니다.
- 악용 방지: 웹 브라우저 및 의료 이미징 뷰어에 대한 악용 방지를 사용하도록 설정하여 초기 손상 벡터를 방지합니다.
결과: 암호화하기 몇 초 전에 후속 랜섬웨어 시도를 감지하고 차단했습니다. 동작 분석을 통해 가양성 경보를 대폭 감소시켰습니다. 포괄적인 보호 적용 범위를 사용하여 HIPAA 규정 준수를 유지했습니다.
중요도 수준
있어야 합니다.
컨트롤 매핑
- NIST SP 800-53 Rev.5: SI-3(1), SI-3(2), SI-3(4), SI-3(7), SI-3(8)
- PCI-DSS v4: 5.1.1, 5.2.1, 5.2.2, 5.2.3, 5.3.1, 5.3.2
- CIS 컨트롤 v8.1: 10.1, 10.2, 10.5, 10.7
- NIST CSF v2.0: DE.CM-4, PR.DS-6
- ISO 27001:2022: A.8.7
- SOC 2: CC6.1, CC7.2
ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되었는지 확인
보안 원칙
자동화된 서명 업데이트, 소프트웨어 버전 관리 및 업데이트 준수 모니터링을 통해 현재 맬웨어 방지 보호를 유지 관리합니다. 모든 엔드포인트가 취약성 창을 최소화하고 효과적인 위협 탐지 기능을 유지 관리하는 시기 적절한 보호 업데이트를 받도록 합니다.
완화할 리스크
오래된 맬웨어 방지 서명 및 소프트웨어 버전은 엔드포인트를 현재 보호로 방지할 수 있는 알려진 위협에 취약합니다. 시기 적절하게 업데이트하지 않은 경우:
- 알려진 맬웨어 검색 실패: 오래된 서명은 마지막 업데이트 후에 식별된 새로운 맬웨어 변형, 악용 및 위협 캠페인을 검색할 수 없습니다.
- 보호 바이패스: 공격자는 특히 서명 간격이 맬웨어 실행을 허용하도록 알고 있는 오래된 보호를 사용하여 엔드포인트를 대상으로 합니다.
- 악용 취약성: 패치되지 않은 맬웨어 방지 소프트웨어에는 공격자가 보호를 사용하지 않도록 설정하거나 권한을 에스컬레이션하기 위해 악용하는 취약성이 포함되어 있습니다.
- 규정 준수 위반: 규정 프레임워크에는 오래된 서명 또는 소프트웨어 버전으로 인한 감사 오류가 있는 현재 맬웨어 방지 보호가 필요합니다.
- 사고 대응 격차: 오래된 보호가 초기 공격 단계에서 탐지를 방해하여, 위협이 업데이트에 의해 탐지가 가능해지기 전에 지속성을 형성할 수 있도록 합니다.
현재 맬웨어 방지 업데이트를 유지 관리하는 조직은 맬웨어 감염률을 크게 줄이고 전반적인 보안 태세를 개선합니다.
MITRE ATT&CK
- 방어 회피(TA0005): 탐지를 방지하기 위해 오래된 맬웨어 방지를 악용하는 방어(T1562)를 손상시킵니다.
- 실행(TA0002): 클라이언트 실행을 위한 이용(T1203)으로, 현재 서명이 탐지할 수 있는 알려진 취약점을 활용합니다.
ES-3.1: 자동화된 업데이트 구성 및 적용
위협 서명이 오래되고 탐지 엔진이 구식이 됨에 따라 맬웨어 방지 보호가 빠르게 저하되며, 오래된 검색 기능을 회피하는 새로운 맬웨어 변형이 지속적으로 등장하고 있습니다. 자동화된 업데이트 메커니즘을 통해 엔드포인트는 지연 및 적용 범위 간격을 도입하는 수동 프로세스에 의존하지 않고 현재의 위협 인텔리전스 및 검색 알고리즘을 유지합니다. 규정 준수 모니터링은 보안 경계 내에서 위험 수준이 높은 취약성을 나타내는 오래된 보호 상태의 엔드포인트를 식별하여, 공격자가 보호 공백을 악용하기 전에 이러한 문제를 표적으로 삼아 해결할 수 있도록 합니다.
다음 업데이트 프로세스를 통해 현재 맬웨어 방지 효과를 유지합니다.
- 규정 준수 모니터링 및 적용을 통해 자동화된 맬웨어 방지 서명 및 소프트웨어 업데이트 프로세스를 구현하여 엔드포인트가 수동 개입 없이 현재 보호를 유지하도록 합니다.
자동화된 업데이트 구성:
- 자동 서명 업데이트 사용: 자동 서명 업데이트 검사를 매일 여러 번 구성하여 새로운 위협 문제를 해결하는 새로운 위협 인텔리전스의 신속한 배포를 보장합니다.
- 자동 엔진 업데이트를 사용하도록 설정합니다. 엔드포인트가 향상된 검색 기능과 중요한 보안 향상을 받을 수 있도록 자동화된 검색 엔진 및 플랫폼 업데이트를 구성합니다.
- 신뢰할 수 있는 업데이트 원본 구성: 업데이트 서비스 장애로부터 일관된 업데이트 전달을 보장하기 위해 장애 극복 메커니즘을 사용하여 기본 클라우드 제공 업데이트를 설정합니다.
- 업데이트 무결성의 유효성을 검사합니다. 배포 전에 서명 및 소프트웨어 업데이트의 자동화된 유효성 검사를 사용하도록 설정하여 손상되거나 악의적인 업데이트 패키지가 엔드포인트 보호를 손상시키지 않도록 방지합니다.
- 중요한 업데이트 테스트: 프로덕션 배포 전에 호환성 및 효율성을 확인하여 운영 중단을 방지하는 비프로덕션 환경에서 주요 소프트웨어 버전 업데이트의 유효성을 검사합니다.
규정 준수 모니터링 및 적용:
- 업데이트 준수 모니터링: 보안 정책 임계값을 초과하는 오래된 보호를 사용하는 디바이스를 식별하는 엔드포인트에서 서명 기간 및 소프트웨어 버전을 추적합니다.
- 자동화된 수정 적용: 비규격 엔드포인트에 대해 자동화된 업데이트 적용을 구성하여 수동 개입 없이 적시에 보호 업데이트를 보장합니다.
- 규정을 준수하지 않는 액세스 제한: 엔드포인트의 심각하게 오래된 보안이 수정될 때까지 접속을 제한하는 네트워크 액세스 제어와 통합합니다.
- 보안 예외 관리: 문서화된 보상 컨트롤 및 시간 제한 승인을 사용하여 지연된 업데이트가 필요한 엔드포인트에 대한 공식적인 예외 프로세스를 설정합니다.
구현 예제
오래된 바이러스 백신 서명이 알려진 맬웨어 변형을 검색하지 못하고 중요한 데이터를 노출하고 작업을 방해할 때 글로벌 운영이 있는 조직은 중요한 비즈니스 시스템에 영향을 주는 맬웨어 발생을 겪었습니다.
도전: 여러 표준 시간대의 전역 작업으로 인해 조정된 업데이트가 어려웠습니다. 지역 대역폭 제약 조건으로 서명 배포가 지연되었습니다. 수동 업데이트 프로세스는 최대 작동 기간 동안 엔드포인트가 오래된 보호를 실행하는 간격을 만들었습니다.
솔루션 접근 방식:
- 자동화된 업데이트 주기: 신속한 위협 인텔리전스 배포를 보장하기 위해 2시간마다 검사하는 클라우드 제공 업데이트가 구성되었습니다. 수동 업데이트 프로세스에 대한 종속성이 제거되었습니다.
- 규정 준수 적용: 서명이 7일을 초과하는 경우 Azure Policy 모니터링 경고를 구현했습니다. 비준수 엔드포인트에 대한 액세스를 거부하는 네트워크 액세스 제어와 통합됩니다.
- 단계적 출시 전략: 전체 출시 전에 소규모 파일럿 그룹을 사용하여 주요 버전을 단계별 배포 테스트로 구성하여 보호 통화를 유지하면서 운영 중단을 방지합니다.
결과: 평균 서명 연령을 주에서 몇 시간으로 크게 줄입니다. 이후 기간에 오래된 서명과 관련된 맬웨어 인시던트 없이 높은 준수를 달성했습니다.
중요도 수준
있어야 합니다.
컨트롤 매핑
- NIST SP 800-53 Rev.5: SI-3(2), SI-2(2), SI-2(5)
- PCI-DSS v4: 5.3.3, 6.3.3
- CIS 컨트롤 v8.1: 10.3, 7.2
- NIST CSF v2.0: DE.CM-4, PR.IP-1
- ISO 27001:2022: A.8.7, A.8.8
- SOC 2: CC8.1