랜섬웨어 차단 조치
이 섹션에서는 랜섬웨어 공격을 효과적으로 보호하고 복구할 수 있는 NetApp ONTAP 데이터 관리 소프트웨어의 주요 기능과 Cisco UCS 및 Cisco Nexus용 툴에 대해 설명합니다.
스토리지: NetApp ONTAP
ONTAP 소프트웨어는 데이터 보호에 유용한 여러 기능을 제공하며, 대부분의 기능은 ONTAP 시스템을 사용하는 고객에게 무료로 제공됩니다. 다음 기능을 항상 사용하여 공격으로부터 데이터를 보호할 수 있습니다.
-
* NetApp 스냅샷 기술. * 스냅샷 복사본은 특정 시점의 파일 시스템 상태를 캡처하는 볼륨의 읽기 전용 이미지입니다. 이러한 복사본은 시스템 성능에 영향을 주지 않고 데이터를 보호하면서 많은 스토리지 공간을 차지하지 않습니다. 스냅샷 복사본을 생성하기 위한 일정을 생성하는 것이 좋습니다. 또한 일부 맬웨어가 휴면 상태가 된 후 감염 후 몇 주 또는 몇 개월 후에 다시 활성화될 수 있기 때문에 보존 기간을 길게 유지해야 합니다. 공격이 발생할 경우 감염 전에 생성된 스냅샷 복사본을 사용하여 볼륨을 롤백할 수 있습니다.
-
* NetApp SnapRestore 기술. * SnapRestore 데이터 복구 소프트웨어는 데이터 손상을 복구하거나 파일 내용만 되돌리는 데 매우 유용합니다. SnapRestore은 볼륨의 특성을 되돌리지 않으며 스냅샷 복사본에서 액티브 파일 시스템으로 파일을 복사하여 관리자가 달성할 수 있는 것보다 훨씬 빠릅니다. 많은 파일을 최대한 빨리 복구해야 하는 경우 데이터를 복구할 수 있는 속도가 유용합니다. 이러한 매우 효율적인 복구 프로세스를 통해 공격이 발생할 경우 비즈니스를 신속하게 온라인 상태로 되돌릴 수 있습니다.
-
* NetApp SnapCenter 기술. * SnapCenter 소프트웨어는 NetApp 스토리지 기반 백업 및 복제 기능을 사용하여 애플리케이션 정합성을 보장하는 데이터 보호를 제공합니다. 이 소프트웨어는 엔터프라이즈 애플리케이션과 통합되며 애플리케이션, 데이터베이스 및 가상 인프라 관리자의 요구사항에 부합하는 애플리케이션별 워크플로우 및 데이터베이스별 워크플로우를 제공합니다. SnapCenter은 사용하기 쉬운 엔터프라이즈 플랫폼을 제공하여 애플리케이션, 데이터베이스 및 파일 시스템 전반에서 데이터 보호를 안전하게 조율하고 관리합니다. 애플리케이션을 더욱 신속하게 일관된 상태로 복원할 수 있으므로 데이터 복구 중에도 애플리케이션 정합성이 보장된 데이터 보호를 제공하는 기능은 매우 중요합니다.
-
NetApp SnapLock 기술 * SnapLock은 파일을 저장한 후 지우거나 쓰기가 불가능한 상태로 커밋하는 특수한 용도의 볼륨을 제공합니다. FlexVol 볼륨에 상주하는 사용자의 운영 데이터는 NetApp SnapMirror 또는 SnapVault 기술을 통해 SnapLock 볼륨으로 미러링하거나 저장할 수 있습니다. SnapLock 볼륨의 파일, 볼륨 자체 및 해당 호스팅 애그리게이트는 보존 기간이 끝날 때까지 삭제할 수 없습니다.
-
* NetApp FPolicy 기술. * FPolicy 소프트웨어를 사용하여 특정 확장명의 파일에 대한 작업을 허용하지 않도록 함으로써 공격을 방지하십시오. FPolicy 이벤트는 특정 파일 작업에 대해 트리거될 수 있습니다. 이 이벤트는 정책에 연결되어 있어야 하는 엔진을 호출합니다. 랜섬웨어를 포함할 수 있는 파일 확장자 세트로 정책을 구성할 수 있습니다. 허용되지 않는 확장명을 가진 파일이 무단 작업을 수행하려고 하면 FPolicy가 해당 작업이 실행되지 않도록 합니다.
네트워크: Cisco Nexus
Cisco NX OS 소프트웨어는 네트워크 이상 현상 및 보안을 더욱 강화하는 NetFlow 기능을 지원합니다. NetFlow는 네트워크의 모든 대화 메타데이터, 통신 관련 당사자, 사용 중인 프로토콜 및 트랜잭션 기간을 캡처합니다. 정보를 집계 및 분석한 후에는 정상적인 동작에 대한 통찰력을 제공할 수 있습니다.
또한 수집된 데이터를 통해 네트워크를 통해 확산되는 맬웨어와 같은 의심스러운 활동 패턴을 식별할 수 있으며, 그렇지 않을 경우 이를 간과할 수 있습니다.
NetFlow는 흐름을 사용하여 네트워크 모니터링에 대한 통계를 제공합니다. 흐름은 소스 인터페이스(또는 VLAN)에 도착하고 키에 대해 동일한 값을 갖는 패킷의 단방향 스트림입니다. 키는 패킷 내의 필드에 대해 식별된 값입니다. 유동 레코드를 사용하여 유동의 고유 키를 정의하는 유동을 만듭니다. 흐름 내보내기를 사용하여 Cisco Stealthwatch와 같은 원격 NetFlow 수집기로 플로우에 대해 NetFlow에서 수집하는 데이터를 내보낼 수 있습니다. Stealthwatch는 이 정보를 사용하여 네트워크를 지속적으로 모니터링하고 랜섬웨어 발생 시 실시간 위협 탐지 및 사고 대응 법의학 조사를 제공합니다.
컴퓨팅: Cisco UCS
Cisco UCS는 FlexPod 아키텍처의 컴퓨팅 엔드포인트입니다. 운영 체제 수준에서 스택의 이 계층을 보호하는 데 도움이 되는 여러 Cisco 제품을 사용할 수 있습니다.
컴퓨팅 또는 애플리케이션 계층에서 다음 주요 제품을 구현할 수 있습니다.
-
* 끝점용 Cisco AMP(Advanced Malware Protection).* Microsoft Windows 및 Linux 운영 체제에서 지원되는 이 솔루션은 예방, 검색 및 응답 기능을 통합합니다. 이 보안 소프트웨어는 침입을 방지하고 진입 지점에서 맬웨어를 차단하며 파일 및 프로세스 활동을 지속적으로 모니터링 및 분석하여 일선 방어를 우회할 수 있는 위협을 신속하게 탐지, 억제 및 해결합니다.
AMP의 MAP(Malicious Activity Protection) 구성 요소는 모든 엔드포인트 활동을 지속적으로 모니터링하고 엔드포인트에서 실행 중인 프로그램의 비정상적인 동작을 런타임 감지 및 차단합니다. 예를 들어, 엔드포인트 동작에 랜섬웨어가 표시되면 문제가 되는 프로세스가 종료되어 엔드포인트 암호화가 예방되고 공격이 중지됩니다.
-
* Cisco Advanced Malware Protection for Email Security. * 이메일은 맬웨어를 유포하고 사이버 공격을 수행하는 주요 수단으로 자리 잡았습니다. 평균적으로 하루 동안 약 1,000억 개의 이메일이 교환되며, 이를 통해 공격자들은 사용자 시스템에 대한 탁월한 침투 벡터를 얻을 수 있습니다. 따라서 이 공격 라인을 방어하는 것이 절대적으로 중요합니다.
AMP는 제로 데이 익스플로잇(zero-day exploit) 및 악성 첨부 파일에 숨겨진 악성 맬웨어와 같은 위협에 대한 이메일을 분석합니다. 또한 업계 최고의 URL 인텔리전스를 사용하여 악성 링크를 차단합니다. 스피어 피싱, 랜섬웨어 및 기타 정교한 공격에 대한 고급 보호 기능을 제공합니다.
-
* NGIPS(Next-Generation Intrusion Prevention System). * Cisco firepower NGIPS는 데이터 센터에서 물리적 어플라이언스로 구축하거나 VMware(NGIPSv for VMware)에서 가상 어플라이언스로 구축할 수 있습니다. 이 고효율 침입 방지 시스템은 안정적인 성능과 낮은 총 소유 비용을 제공합니다. AMP, 애플리케이션 가시성 및 제어, URL 필터링 기능을 제공하기 위해 선택적 구독 라이센스로 위협 보호를 확장할 수 있습니다. 가상화된 NGIPS는 VM(가상 시스템) 간의 트래픽을 검사하고 리소스가 제한된 사이트에서 NGIPS 솔루션을 쉽게 배포 및 관리할 수 있도록 하여 물리적 자산과 가상 자산 모두의 보호를 강화합니다.