팬데믹 시대의 랜섬웨어 레질리언스 구축 방안

(1)

팬데믹 시대의 랜섬웨어 레질리언스 구축 방안

베리타스코리아 천대영 부장

1

(2)

Ransomware:

“ 멀웨어와 랜섬웨어 공격이 증가함에 따라 공격으로부터

보호, 탐지 및 복구

할 수 있는 방법을 더 잘 이해 하기 위해 노력해야 합니다.”

2

“ 2019 ^{까지 랜섬웨어}

공격으로 인한 피해는 전 세계적으로 115억 달러

이상이며, 이는 지구상의 모든 사람에게 인당 $1.5에

해당하는 비용입니다.”

“ 사이버공격의 91% ^는

일반적으로 랜섬웨어를 통해 조직을 감염시키는 데 사용되는

스피어 피싱 이메일에서 시작됩니다.”

준비…. 백업 계획 포함

(3)

피해사례:

“ 미국 IT서비스 업체 코그니전트 (Cognizant)가 지난 해 4월

‘메이즈(Maze)’ 랜섬웨어 공격으로 5,000만 달러에서

최대 7,000만 달러에 이르는 손실 ^발생”

3

“ 400여개 의료시설을 운영하는 미국 UHS(Universal Health

Services)가 지난 해 9월

‘류크(Ryuk)’ 랜섬웨어 공격을 받아 전체 의료시스템

마비 되고, 이 공격 이후

4건의 환자 사망 ^{사례 발생”}

“ 국내 패션 그룹 지난 해 11월

‘클롭(CLOP)’ 랜섬웨어 공격으로 약 절반에 가까운 오프라인 점포

영업중단 ^및 백업서버 일부 감염 으로 데이터

복구에 차질 발생”

“만약(If)”이 아니라 “언제(When)”의 문제

(4)

“ 국내 최대 패션/유통 그룹이 랜섬웨어 공격으로 오프라인 매장에서 전산 오류가 발생하면서 절반 가량 매장 운영을 중단한 가운데 백업은 돼있지만

일부 백업서버도 감염 ^{된 것으로 파악…”}

• BYO 구성의 데이터 보호 환경

• 보안에 취약한 Windows 기반

• 백업 서버 및 데이터에 대한 보안성 부재

※ 자료 출처: 중앙일보, YTN, NEWS 1, 전자신문

백업 서버 침해 원인

(5)

사이버 재해상황 대응 방안

5

BYO Appliance

자체 제공 (통합) 보안 강화된 OS

NIST 표준 및 지침 준수 STIG Guide에 기반한 하드닝

IPS/IDS 기능 기본 탑재

중복제거 저장소 암호화 역할기반 사용자 액세스 제어

2단계 인증 및 접근 제어

(사용자 중심) (제조사 중심)

낮은 보안 수준 (사용자 책임 높음)

높은 보안 수준 (사용자 책임 최소화)

백업 SW 기능

강력한 보안 백업만이 데이터를 보호할 수 있는 유일한 방안

(6)

(7)

랜섬웨어 공격을 받고 싶어하는 사람은 없습니다. 나는 개인적으로 어느 누구도 그것을 완벽하게 차단할 수 있다고 생각하지 않지만 대안

이라면 그것을 관리하는 방법입니다.

우리는 그것을 전문적이고 성숙하게 관리하려고 노력했습니다.

7

- Cognizant CEO, Brian Humphries

“

”

• 전세계 270개 이상의 사무실 및 디지털 허브

• Fortune 500대 기업 중 194위

• 직원 수 : 약 30만명(2020년 중반)

• 연매출 : $16.13 billion, 2019

※ 자료출처: ZDnet

(8)

8

• 인도 Pune 및 Chennai 두 지역에 걸쳐 운영 및 백업 인프라 전반에 대규모 피해 발생

• NBU SW + VTL 사용 환경

• 외부 보안 컨설팅 진행

• 전체 백업 인프라를 NBUA로 전량 교체

(Flex Appliance 29대, NBU Appliance 19대)

• “3-2-1” 법칙 적용 피해 규모 및 개선 사항

(9)

9

Network

Security

Firewall IDS/IPS

Backup

HOLE

※ 사진출처: 영화 “미션 임파서블 – 로그네이션” 中

(10)

재발 방지를 위한 조치 결과

10

• 백업 스토리지 공격에 대한 접근성을 제한할 수 있는 완벽한 Air-Gap 솔루션

• 3

^rd

-party 솔루션을 이용하지 않고, 자체 WORM 기능 제공

• 백업 소프트웨어(구성정보, 카탈로그 데이터 등)에 대한 불변성

• 랜섬웨어 분석 기반 복구

• 대규모 다중 시스템에 대한 즉각적 복원

• 고가용성을 통한 백업 인프라 확장 및 복원력 유지

고객 요구사항

Veritas는 비즈니스 연속성을 위해 규모에 맞는 대응 방법론과 기술력, 가치를 제공

• Appliance를 통한 백업 소프트웨어 환경 불변성 제공

• 변조 불가능 스토리지(WORM) 기능을 통한 스토리지 공격 제한 및 Air-Gap 구현

• APTARE 솔루션을 통한 “데이터 보호 상황에 대한 가시성 확보”

• Veritas Resiliency Platform을 통한 대규모 재해상황에 대한 즉각 대응

• InfoScale을 통한 백업 고가용성 확보 및 복원력 유지

Veritas 제안

(11)

Cognizant Data flow – 3:2:1 법칙

11

NetBackup Master Server Cluster Node

NetBackup Flex 5340 HA – Immutable Storage (Backup Copy 1 – 단기보관)

NetBackup Flex 5340 HA – Immutable Storage (Backup Copy 2 – 장기보관) NetBackup Flex 5340 HA –

Immutable Storage AIR-GAP VAULT

NetBackup Master Server Cluster Node

NetBackup Flex 5340 HA – Immutable Storage (Backup Copy 1 – 단기보관)

NetBackup Flex 5340 HA – Immutable Storage

(Backup Copy 2 – 장기보관) NetBackup Flex 5340 HA – Immutable Storage

AIR-GAP VAULT

NGDC 1 NGDC 2

NetBackup Flex Appliance에서 제공하는 Immutable Storage 기능 및 Air-Gap 복제 기술을 이용한 3:2:1 법칙 적용

(12)

백업 SW 환경에 대한 불변성 모드 – Appliance

12

기본 적용된 IPS/IDS 기능을 통해 백업 데이터와 소프트웨어/OS 환경에 대한 강력한 보안성 제공

•

해킹 시도 차단 및 멀웨어 방지

•

OS 강화

•

어플리케이션 제어

•

권한 없는 사용자 액세스 제어

•

취약성 및 패치 완화 Intrusion Prevention (IPS)

• 호스트 침입 감지

• 파일 무결성 모니터링

• 환경 구성 모니터링

• 사용자 액세스 추적 및 모니터링

• 로깅 및 이벤트 리포팅 Intrusion Detection (IDS)

(13)

13

변조 불가능 상태의 이미지 관리 및 저장

•

변조 불가능 스토리지 및 정책 설정

•

백업 이미지 관리

•

주요 시스템 백업 및 AIR 복제

• WORM 스토리지 서버 (MSDP 컨테이너)

• 컴플라이언스 준수 자체 타이머/시계

• 컴플라이언스 준수 및 엔터프라이즈 모드

변조 불가능 스토리지 관리 Flex (5150/5340) 어플라이언스 변조 불가능 스토리지

백업 소프트웨어 및 어플라이언스 전반에 걸쳐 데이터 무결성 보안 제어

Cohasset 불변성 평가: SEC in 17 CFR § 240.17a-4(f), FINRA Rule 4511(c), CFTC in 17 CFR § 1.31(c)-(d)

NetBackup Flex Immutable Solution

(14)

Veritas Ransomware Resiliency: 대응전략

14

PROTECT

시스템 강화 및

스토리지 불변성(WORM)으로 데이터 보호

RECOVER

엣지에서 코어, 클라우드에 이르는 전체 시스템 간의 복구를 완전 자동화하고 오케스트레이션 전환

DETECT

모니터링 및 리포팅을 통해 위협 요소 및 취약성 완료

(15)

엣지부터 코어, 클라우드까지 포괄적인 보호

15

(16)

16

사용자 및 파일 모니터링

사용자의 의심 행위 및 랜섬웨어 파일 탐지

백업 환경에 대한 가시성

모든 데이터가 보호되는지 확인

APTARE Data Insight

탐지 및 위험 관리

(17)

APTARE | 모니터링 및 위험성 완화

17

데이터 보호 인프라에 대한 전반적인 시각화

✓ 중요 시스템의 보호 여부 확인

• 오프사이트 사본이 생성되고 있는지

• 어플리케이션별 마지막 성공한 백업 관리

✓ 조치가 필요한 이상 감지 및 경고

• 랜섬웨어 파일 탐지 & ServiceNow와의 통합을 통한 신속한 대응

• 환경 변화 시각화

(18)

APTARE & Data Insight: 랜섬웨어 분류

18

파일 수준의 세부 정보와 VIC 태그를 스토리지 및 백업에 연결

하이퍼링크를 통해 NBU에서의

마지막 백업 시간 또는 스토리지에서의 마지막 스냅샷 수행 시점 식별

(19)

다양한 RPO / RTO 요구사항 지원

19

• NetBackup Resiliency

• Continuous Data Protection (CDP)

• Instant Access: VM and SQL

• Cloud and On-Prem Snapshots

• Bare Metal Recovery (BMR)

• 전통적인 복구방법

자유롭게 비즈니스 요구사항을 충족하는 복구 방법 선택

(20)

항상 보호되고, 항상 복구 가능합니다!

20

미래를 위한 준비

시장 선도적인 클라우드 제공업체를 위한 동급

최강의 데이터 보호

“그냥 작동한다”

는 믿음

모든 데이터를 위한 시장 선도적인 안정성

및 성능

비즈니스 리스크 관리

보안성에 대한 영역 확장, 통찰력 및 랜섬웨어 불변성

제공

비용 및 복잡성 감소

모든 것을 단순화하고, 규모에 따라 확장 가능하며,

원활한 배포 및 통합 가능

(21)

21

팬데믹 시대의 랜섬웨어 레질리언스 구축 방안