Microsoft 365 테넌트를위한 랜섬웨어 보호를 배치하십시오

이 게시물은 랜섬웨어 공격 후 환경을 확보하고 데이터를 복원 할 수있는 내장 Microsoft Ransomware 보호 및 복구 기능에 대해 자세히 설명합니다.

Office 365 랜섬웨어 보호 및 복구 : 완전한 개요

오늘날 랜섬웨어는 Microsoft 365 파일 및 문서를 포함한 모든 유형의 데이터에 영향을 줄 수 있기 때문에 현대 비즈니스에 가장 큰 위협 중 하나로 간주됩니다. 실제로, 2020 년 전 세계적으로 3 억 5 천만 건 이상의 공격이 발생했으며 평균 몸값 지불은 $ 812,360에 이르렀습니다. 그리고 침투 방법은 매년 더욱 정교 해지고 있습니다.

공유 책임 모델에 따르면 Microsoft는 사용자에게 다양한 Office 365 Ransomware Protection Tools를 제공합니다. 그러나 Office 365를 사용하는 조직은 위협으로부터 데이터를 보호하고 타사 도구를 사용하여 복구 가능성을 보장하기 위해 이러한 도구를 구성해야합니다.

이 게시물은 랜섬웨어 공격 후 환경을 확보하고 데이터를 복원 할 수있는 내장 Microsoft Ransomware 보호 및 복구 기능에 대해 자세히 설명합니다.

기본 Office 365 랜섬웨어 보호 옵션

Microsoft 구독에는 보안 사건의 경우 테넌트를 보호하고 위험을 완화 할 수있는 몇 가지 내장 기능이 포함됩니다. EOP (Exchange Online Protection) 및 Microsoft Defender에서 발견 된 도구를 사용하면 네트워크에 침투하고 퍼지기 전에 공격을 감지, 모니터링 및 저지 할 수 있습니다.

Microsoft Ransomware Protection 기능은 제한 사항이 있으며 특히 사용자가 시작한 맬웨어와 관련하여 감염에 대한 완전한 면역력을 제공하지 않습니다.

Microsoft 365 수비수

필요한 대부분의 보안 및 신원 도용 도구는 Microsoft 365 Defender 및 Microsoft Defender for Office 365에서 수많은 모니터링 및 보호 기능을 결합하여 찾을 수 있습니다. 또한 Identity for Identity 및 Microsoft Defender를 사용하여 Endpoint에 Microsoft Defender를 사용하여 위반의 원인이 될 수있는 손상된 장치를 찾을 수 있습니다.

Microsoft Defender에 포함 된 가장 중요한 Office 365 랜섬웨어 보호 기능은 아래에 나열되어 있습니다.

  • 위협 조사 및 대응

이것은 관리자가 환경을 스캔하고 잠재적 위협에 대한 데이터를 수집하는 데 도움이되는 일련의 기능입니다. 위협 조사 및 응답 워크 플로우는 감염된 컴퓨터, 이전 사건, 사용자 활동 등과 같은 다른 소스의 위협 추적기를 사용하여 정보를 수집합니다. 그런 다음 Business for Business, SharePoint Online, Exchange Online 및 Microsoft 팀의 위험을 해결하기 위해 필요한 응답 조치가 구현됩니다.

피싱 공격과 같은 사회 공학 체계는 최고의 랜섬웨어 공격 벡터입니다. Office 365의 Microsoft Defender는 고급 알고리즘과 기능 세트를 사용하여 피싱 공격을 자동으로 감지하고 Office 365 데이터를 보호합니다.

스푸핑 지능: 이러한 통찰력을 통해 내부 또는 외부 도메인의 메시지에서 스푸핑 된 발신자를 감지하고 자동으로 제한 할 수 있습니다. 임차인 허용/블록 목록에서 식별 된 발신자를 수동으로 허용하거나 차단할 수도 있습니다.

피싱 방지 정책: 사망자 보호, 사서함 인텔리전스 및 고급 피싱 임계 값과 같은 다양한 설정 구성. 또한 차단 된 스푸핑 된 발신자에 대한 조치를 지정할 수 있습니다.

암시 적 이메일 인증: 발신자 평판, 발신자 기록, 행동 분석 등과 같은 고급 기술을 사용하여 인바운드 이메일을 확인하여 위조 된 발신자 식별.

캠페인 견해: 조정 된 피싱 캠페인에 관여하는 메시지 감지 및 분석.

시뮬레이션 훈련을 공격하십시오: 관리자는 가짜 피싱 메시지를 만들고 네트워크 내의 사용자와 공유하여 준비를 테스트하고 랜섬웨어 인식 교육을 수행 할 수 있습니다.

EOP의 다층 맬웨어 보호는 바이러스, 스파이웨어 및 랜섬웨어를 포함한 다양한 유형의 들어오는 및 나가는 맬웨어를 자동으로 감지합니다. 다음 기능을 사용하여 수행됩니다

맬웨어에 대한 계층화 된 방어: 여러 개의 맬웨어 방지 스캔 엔진이 알려진 및 알려지지 않은 위협으로부터 조직을 보호합니다. 이 엔진은 발병 초기 단계에서도 Office 365 랜섬웨어 보호를 제공합니다.

실시간 위협 응답: 보안 팀은 바이러스 또는 맬웨어에 대한 충분한 정보를 수집하여 특정 정책 규칙을 작성하고 네트워크에 즉시 게시 할 수 있습니다.

빠른 방지 방지 정의 배포: 새로운 패치 및 맬웨어 정의를 포함하도록 지속적으로 업데이트됩니다.

Microsoft Defender Antivirus에서 실시간 보호를 활성화하면 제어 폴더 액세스 설정을 관리하여 악의적 인 앱 및 랜섬웨어로부터 Office 365 파일 및 데이터를 보호 할 수 있습니다. 이 기능은 알려진 앱 목록에 대한 응용 프로그램을 확인하고 신뢰할 수있는 앱 만 보호 된 앱에 액세스 할 수 있습니다. 악의적 인 활동의 경우 보호 된 문서를 원치 않는 변경을 시도한 앱을 보여주는 알림을받습니다.

  • 클라우드 앱 용 Microsoft Defender

클라우드로 이동하면 저장 또는 여행 중에 데이터를 위험에 빠뜨릴 수있는 새로운 보안 위험이 발생합니다. Cloud Apps 용 Microsoft Defender는 Microsoft 및 타사 클라우드 서비스 전반에 고급 제어, 강력한 가시성 및 강력한 사이버 해제 탐지를 통해 Microsoft Enterprise 계획을 제공합니다.

Office 365 랜섬웨어 보호를 보장하는 주요 기능은 다음과 같습니다

발견 및

Microsoft 365 테넌트를위한 랜섬웨어 보호를 배치하십시오

이 게시물은 랜섬웨어 공격 후 환경을 확보하고 데이터를 복원 할 수있는 내장 Microsoft Ransomware 보호 및 복구 기능에 대해 자세히 설명합니다.

Office 365 랜섬웨어 보호 및 복구 : 완전한 개요

오늘날 랜섬웨어는 Microsoft 365 파일 및 문서를 포함한 모든 유형의 데이터에 영향을 줄 수 있기 때문에 현대 비즈니스에 가장 큰 위협 중 하나로 간주됩니다. 실제로, 2020 년 전 세계적으로 3 억 5 천만 건 이상의 공격이 발생했으며 평균 몸값 지불은 $ 812,360에 이르렀습니다. 그리고 침투 방법은 매년 더욱 정교 해지고 있습니다.

공유 책임 모델에 따르면 Microsoft는 사용자에게 다양한 Office 365 Ransomware Protection Tools를 제공합니다. 그러나 Office 365를 사용하는 조직은 위협으로부터 데이터를 보호하고 타사 도구를 사용하여 복구 가능성을 보장하기 위해 이러한 도구를 구성해야합니다.

이 게시물은 랜섬웨어 공격 후 환경을 확보하고 데이터를 복원 할 수있는 내장 Microsoft Ransomware 보호 및 복구 기능에 대해 자세히 설명합니다.

기본 Office 365 랜섬웨어 보호 옵션

Microsoft 구독에는 보안 사건의 경우 테넌트를 보호하고 위험을 완화 할 수있는 몇 가지 내장 기능이 포함됩니다. EOP (Exchange Online Protection) 및 Microsoft Defender에서 발견 된 도구를 사용하면 네트워크에 침투하고 퍼지기 전에 공격을 감지, 모니터링 및 저지 할 수 있습니다.

Microsoft Ransomware Protection 기능은 제한 사항이 있으며 특히 사용자가 시작한 맬웨어와 관련하여 감염에 대한 완전한 면역력을 제공하지 않습니다.

Microsoft 365 수비수

필요한 대부분의 보안 및 신원 도용 도구는 Microsoft 365 Defender 및 Microsoft Defender for Office 365에서 수많은 모니터링 및 보호 기능을 결합하여 찾을 수 있습니다. 또한 Identity for Identity 및 Microsoft Defender를 사용하여 Endpoint에 Microsoft Defender를 사용하여 위반의 원인이 될 수있는 손상된 장치를 찾을 수 있습니다.

Microsoft Defender에 포함 된 가장 중요한 Office 365 랜섬웨어 보호 기능은 아래에 나열되어 있습니다.

  • 위협 조사 및 대응

이것은 관리자가 환경을 스캔하고 잠재적 위협에 대한 데이터를 수집하는 데 도움이되는 일련의 기능입니다. 위협 조사 및 응답 워크 플로우는 감염된 컴퓨터, 이전 사건, 사용자 활동 등과 같은 다른 소스의 위협 추적기를 사용하여 정보를 수집합니다. 그런 다음 Business for Business, SharePoint Online, Exchange Online 및 Microsoft 팀의 위험을 해결하기 위해 필요한 응답 조치가 구현됩니다.

피싱 공격과 같은 사회 공학 체계는 최고의 랜섬웨어 공격 벡터입니다. Office 365의 Microsoft Defender는 고급 알고리즘과 기능 세트를 사용하여 피싱 공격을 자동으로 감지하고 Office 365 데이터를 보호합니다.

스푸핑 지능: 이러한 통찰력을 통해 내부 또는 외부 도메인의 메시지에서 스푸핑 된 발신자를 감지하고 자동으로 제한 할 수 있습니다. 임차인 허용/블록 목록에서 식별 된 발신자를 수동으로 허용하거나 차단할 수도 있습니다.

피싱 방지 정책: 사망자 보호, 사서함 인텔리전스 및 고급 피싱 임계 값과 같은 다양한 설정 구성. 또한 차단 된 스푸핑 된 발신자에 대한 조치를 지정할 수 있습니다.

암시 적 이메일 인증: 발신자 평판, 발신자 기록, 행동 분석 등과 같은 고급 기술을 사용하여 인바운드 이메일을 확인하여 위조 된 발신자 식별.

캠페인 견해: 조정 된 피싱 캠페인에 관여하는 메시지 감지 및 분석.

시뮬레이션 훈련을 공격하십시오: 관리자는 가짜 피싱 메시지를 만들고 네트워크 내의 사용자와 공유하여 준비를 테스트하고 랜섬웨어 인식 교육을 수행 할 수 있습니다.

EOP의 다층 맬웨어 보호는 바이러스, 스파이웨어 및 랜섬웨어를 포함한 다양한 유형의 들어오는 및 나가는 맬웨어를 자동으로 감지합니다. 다음 기능을 사용하여 수행됩니다

맬웨어에 대한 계층화 된 방어: 여러 개의 맬웨어 방지 스캔 엔진이 알려진 및 알려지지 않은 위협으로부터 조직을 보호합니다. 이 엔진은 발병 초기 단계에서도 Office 365 랜섬웨어 보호를 제공합니다.

실시간 위협 응답: 보안 팀은 바이러스 또는 맬웨어에 대한 충분한 정보를 수집하여 특정 정책 규칙을 작성하고 네트워크에 즉시 게시 할 수 있습니다.

빠른 방지 방지 정의 배포: 새로운 패치 및 맬웨어 정의를 포함하도록 지속적으로 업데이트됩니다.

Microsoft Defender Antivirus에서 실시간 보호를 활성화하면 제어 폴더 액세스 설정을 관리하여 악의적 인 앱 및 랜섬웨어로부터 Office 365 파일 및 데이터를 보호 할 수 있습니다. 이 기능은 알려진 앱 목록에 대한 응용 프로그램을 확인하고 신뢰할 수있는 앱 만 보호 된 앱에 액세스 할 수 있습니다. 악의적 인 활동의 경우 보호 된 문서를 원치 않는 변경을 시도한 앱을 보여주는 알림을받습니다.

  • 클라우드 앱 용 Microsoft Defender

클라우드로 이동하면 저장 또는 여행 중에 데이터를 위험에 빠뜨릴 수있는 새로운 보안 위험이 발생합니다. Cloud Apps 용 Microsoft Defender는 Microsoft 및 타사 클라우드 서비스 전반에 고급 제어, 강력한 가시성 및 강력한 사이버 해제 탐지를 통해 Microsoft Enterprise 계획을 제공합니다.

Office 365 랜섬웨어 보호를 보장하는 주요 기능은 다음과 같습니다

그림자 IT의 사용을 발견하고 제어하십시오: 조직에서 사용하는 클라우드 앱 및 서비스를 식별하고 사용 패턴을 조사하고 여러 위험에 대한 비즈니스 준비를 평가합니다.

클라우드에서 민감한 정보를 보호하십시오: 모든 클라우드 앱에서 민감한 데이터를 실시간으로 제어하고 보호하기 위해 정책 및 자동화 된 프로세스 구현.

사이버 해제 및 이상을 방지하십시오: 비정상적인 행동, 랜섬웨어, 손상된 컴퓨터 및 악의적 인 응용 프로그램 감지. 고위험 사용 패턴을 분석하고 위협을 자동으로 개선하십시오.

클라우드 앱의 준수를 평가하십시오: 응용 프로그램이 필요한 규제 준수 및 산업 표준을 충족하는지 확인하십시오.

Microsoft Defender Smartscreen은 맬웨어 또는 피싱 애플리케이션 및 웹 사이트에 대한 보호 기능을 제공합니다. 잠재적으로 악성 파일이 자동으로 차단되고 사용자에게 알림을받습니다. 방문한 웹 페이지는보고 된 피싱 및 악의적 인 사이트 목록에 대해 분석 및 확인됩니다. 다운로드 된 앱 또는 앱 설치자는 안전하지 않은 것으로 알려진보고 된 악성 프로그램 목록에 대해 확인됩니다.

Microsoft Purview 정보 보호

Office 365 랜섬웨어 보호는 공격 예방에 관한 것이 아닙니다. 최적의 데이터 거버넌스 프로세스는 또한 랜섬웨어를 통한 데이터 손실 위협을 줄일 수 있습니다. Microsoft Purview Information Protection에서 다른 기능을 사용하면 민감한 데이터를 식별, 분류 및 보호 할 수 있습니다.

DLP 정책을 정의하고 적용하면 사용자가 무단 인력과 민감한 데이터를 부적절하게 공유하지 못하고 데이터 손실 위험을 제한하지 않습니다. 더 중요한 것은 DLP가 민감한 항목에 대한 사용자 활동을 모니터링 할 수 있다는 것입니다. 이 품목들은 또한 안전한 검역소 위치에 이동하여 잠겨 랜섬웨어 감염에 도달하는 것을 막을 수 있습니다.

민감한 이메일 또는 문서와 같은 잠재적으로 랜 좀 가능하다고 간주되는 데이터에 민감도 레이블을 구성 및 적용하십시오. 컨텐츠를 표시하거나 데이터를 암호화하여 Office 365 파일을 보호하여 승인 된 사용자 만 액세스 할 수 있는지 확인하십시오.

추가 Office 365 랜섬웨어 보호 도구

Microsoft는 랜섬웨어의 위험을 완화하고 데이터 손실을 제한하는 더 많은 기능을 제공합니다

  • 전자 메일 설정을 교환합니다: 피싱 이메일은 랜섬웨어 공격에 사용되는 주요 방법입니다. 교환 이메일 설정 구성으로 인해 조직이 줄어 듭니다’세입자에 대한 초기 액세스를 중지하여 이메일 기반 공격에 대한 취약성.
  • 다단계 인증: Office 365에서 현대 인증을 가능하게하면 가입 프로세스에 두 번째 보호 계층이 추가되고 자격 증명이 타협 할 가능성이 크게 낮아집니다.
  • Microsoft 보안 점수:이 도구는 조직의 보안 자세를 지속적으로 측정하고 Office 365 데이터를 보호하는 데 도움이되는 개선을 제안합니다.
  • 공격 표면 감소 규칙: 필요한 설정을 구성하여 사이버 공격에 대한 취약점을 줄이십시오. 전체 네트워크를 감염시키기 전에 의심스러운 활동을 차단하십시오.

Microsoft 랜섬웨어 복구 방법

때로는 모든 보호 옵션이 실패하고 랜섬웨어 공격에 부딪칩니다. 이 경우 모든 연결된 모든 장치의 OneDrive 동기화를 즉시 중지하고 감염된 장치를 네트워크에서 분리해야합니다. 시간이 지남에 따라 완료되면 거기에’감염된 파일에 여전히 암호화되지 않은 사본이 다른 드라이브에 저장 될 가능성이 높습니다.

버전 작성

활성화 된 경우 버전싱을 통해 SharePoint Online에서 동일한 문서의 여러 버전을 자동으로 저장, 온라인으로 교환 및 OneDrive for Business. 기본적으로 버전 수는 500으로 제한되지만 50,000으로 늘릴 수 있습니다.

랜섬웨어 공격 전에 생성 된 이전 버전으로 되돌아 가서 필요할 때 복원 할 수 있습니다. 일부 감염은 모든 버전의 문서를 암호화 할 수 있으므로 랜섬웨어에 대한 완전한 보호를 제공하지는 않습니다.

메모: 여러 버전을 저장하려면 추가 저장 공간이 필요합니다.

쓰레기통

경우에 따라 랜섬웨어 공격은 원본 파일을 제거하고 사용할 수없는 새로운 암호화 버전을 만듭니다. Recycle Bin은 93 일 이내에 삭제 된 파일을 복원하는 데 도움이되므로 Microsoft Ransomware 복구 도구로 사용할 수 있습니다.

이 기간이 만료되고 재활용 빈의 두 단계에서 항목이 제거 된 후에도 Microsoft 지원에 연락하여 데이터 복구를 요청할 수있는 14 일 창이 있습니다. 이 창이 닫히면 데이터가 영구적으로 삭제됩니다.

준수 유지 정책

Office 365 파일 및 문서를 보존하는 기간을 정의하는 규칙 작성. 이를 통해 삭제할 수있는 데이터와시기를 구성 할 수 있습니다. 특정 콘텐츠 유형에 대한 유지 정책을 설정 하여이 프로세스를 자동화 할 수 있습니다.

메모: 준수 유지 정책은 Microsoft 365 E5, A5 및 G5 구독 계획에 대해서만 사용할 수 있습니다.

보존 보류 도서관

유지 설정을 적용하여 OneDrive 또는 SharePoint에 동기화 된 데이터는 보존 홀드 라이브러리에서 지정된 기간 동안 저장할 수 있습니다. 내부 홀드 기능은 사본이 랜섬웨어 감염에 의해 변하지 않고 영향을받지 않도록합니다. 공격 후 사용자는 라이브러리에 액세스하고 필요한 파일을 내보낼 수 있습니다.

타사 백업 솔루션

감염된 데이터를 복원하는 데 사용할 수있는 다른 Office 365 랜섬웨어 복구 방법이 있습니다. Microsoft Ransomware Protection 기능과 유사하게 이러한 도구는 제한 사항이 있으며 데이터 복구 가능성을 보장하지 않을 수 있습니다.

Microsoft는 Office 365 데이터를 백업하지 않지만 Online, SharePoint Online 및 OneDrive for Business 대신 유지 정책을 제공합니다. 반면, SaaS 용 최신 백업 솔루션은 사이버 위반의 경우 최적의 데이터 보호 및 안전을 제공합니다. 귀하의 데이터는 보안 저장소에 저장 될 수 있으며 공격 후 신속하게 회복 될 수 있습니다.

마무리

오늘날 랜섬웨어 공격은 Office 365 문서 및 파일을 포함한 모든 유형의 데이터에 영향을 줄 수 있기 때문에 조직에 가장 위험한 위협입니다. 운 좋게도 Microsoft는 내장 Office 365 랜섬웨어 보호 및 복구 도구를 제공하여 환경을 지속적으로 모니터링하고 보호합니다.

그러나 이러한 기본 도구에는 제한 사항이 있으며 감염 후 데이터를 안전하게 복구하려면 타사 백업 솔루션이 필요합니다. Office 365 Free Edition의 Nakivo 백업을 다운로드하여 데이터 복구 가능성을 보장하는 데 도움이되는 모든 고급 도구 및 기능을 확인하십시오.

Microsoft 365 테넌트를위한 랜섬웨어 보호를 배치하십시오

랜섬웨어는 파일과 폴더를 파괴하거나 암호화하여 중요한 데이터에 대한 액세스를 방지하는 강탈 공격 유형입니다. 상품 랜섬웨어는 일반적으로 장치를 감염시키고 맬웨어 개선 만 필요한 바이러스처럼 퍼져 있습니다. 인간이 운영하는 랜섬웨어는 조직에 침투하는 사이버 범죄자에 의한 적극적인 공격의 결과입니다’S 온 프레미스 또는 클라우드 IT 인프라, 권한 상승 및 랜섬웨어를 중요 데이터에 배치.

공격이 완료되면 공격자는 삭제 된 파일, 암호화 된 파일의 암호 해독 키 또는 민감한 데이터를 Dark Web 또는 Public Internet에 공개하지 않겠다는 약속으로 피해자의 돈을 요구합니다. 인간-운영 랜섬웨어는 산업 생산에 필요한 중요한 기계 나 프로세스를 종료하는 데 사용될 수 있으며, 랜섬이 지불되고 손상이 수정 될 때까지 정상적인 비즈니스 운영을 중단 시키거나 조직이 손상 자체를 수정할 때까지 정상적인 비즈니스 운영을 중단합니다.

인간이 운영하는 랜섬웨어 공격은 모든 규모의 비즈니스에 치명적일 수 있으며 청소하기가 어려워서 향후 공격으로부터 보호하기 위해 완전한 대적 퇴거가 필요합니다. 상품 랜섬웨어와 달리, 인체 운영 랜섬웨어는 초기 몸값 요청 후에도 비즈니스 운영을 계속 위협 할 수 있습니다.

Microsoft 365 테넌트에 대한 랜섬웨어 공격은 공격자가 테넌트에 대한 유효한 사용자 계정 자격 증명을 가지고 있으며 사용자 계정에 허용되는 모든 파일 및 리소스에 액세스 할 수 있다고 가정합니다. 유효한 사용자 계정 자격 증명이없는 공격자는 Microsoft 365 기본값 및 향상된 암호화에 의해 암호화 된 REST에서 데이터를 해독해야합니다. 자세한 내용은 암호화 및 키 관리 개요를 참조하십시오.

Microsoft 제품의 랜섬웨어 보호에 대한 자세한 내용은 추가 랜섬웨어 리소스를 참조하십시오.

클라우드의 보안은 파트너십입니다

Microsoft Cloud 서비스의 보안은 귀하와 Microsoft 간의 파트너십입니다

  • Microsoft Cloud Services는 신뢰 및 보안의 기초를 기반으로합니다. Microsoft는 데이터 및 응용 프로그램을 보호하는 데 도움이되는 보안 제어 및 기능을 제공합니다.
  • 귀하는 귀하의 데이터 및 신원을 보호하는 책임, 온 프레미스 리소스의 보안 및 귀하가 제어하는 ​​클라우드 구성 요소의 보안을 소유하고 있습니다.

이러한 기능과 책임을 결합하여 랜섬웨어 공격에 대한 최상의 보호를 제공 할 수 있습니다.

Microsoft 365와 함께 제공되는 랜섬웨어 완화 및 복구 기능

Microsoft 365 테넌트에 침투 한 랜섬웨어 공격자는 랜섬을 위해 조직을 보유 할 수 있습니다

  • 파일 또는 이메일 삭제
  • 파일을 암호화합니다
  • 임차인 이외의 파일 복사 (데이터 추출)

그러나 Microsoft 365 온라인 서비스에는 랜섬웨어 공격으로부터 고객 데이터를 보호하기위한 많은 기능과 제어 기능이 있습니다. 다음 섹션에서는 요약을 제공합니다. Microsoft가 Microsoft 365의 고객 데이터, 맬웨어 및 랜섬웨어 보호를 보호하는 방법에 대한 자세한 내용은.

Microsoft 365 테넌트에 대한 랜섬웨어 공격은 공격자가 테넌트에 대한 유효한 사용자 계정 자격 증명을 가지고 있으며 사용자 계정에 허용되는 모든 파일 및 리소스에 액세스 할 수 있다고 가정합니다. 유효한 사용자 계정 자격 증명이없는 공격자는 Microsoft 365 기본값 및 향상된 암호화에 의해 암호화 된 REST에서 데이터를 해독해야합니다. 자세한 내용은 암호화 및 키 관리 개요를 참조하십시오.

파일 또는 이메일 삭제

SharePoint 및 OneDrive for Business의 파일은 다음과 같이 보호됩니다

  • 버전 관리 Microsoft 365는 기본적으로 최소 500 개 버전의 파일을 유지하며 더 많은 것을 유지하도록 구성 할 수 있습니다. 보안 및 헬프 데스크 직원에 대한 부담을 최소화하려면 이전 버전의 파일을 복원하는 방법에 대해 사용자를 교육하십시오.
  • ransomware가 파일의 새로운 암호화 사본을 생성하고 이전 파일을 삭제하는 경우 Recycle bin은 고객이 재활용 빈에서 복원해야 할 93 일이 있습니다. 93 일 후에 Microsoft가 여전히 데이터를 복구 할 수있는 14 일의 창이 있습니다. 보안 및 헬프 데스크 직원에 대한 부담을 최소화하려면 Recycle Bin에서 파일을 복원하는 방법에 대해 사용자를 교육하십시오.
  • 파일은 SharePoint 및 OneDrive에 대한 완전한 셀프 서비스 복구 솔루션을 복원하여 관리자 및 최종 사용자가 지난 30 일 동안 어느 시점에서나 파일을 복원 할 수 있도록합니다. 보안에 대한 부담을 최소화하고 직원을 헬프 데스크 직원에게 최소화하려면 파일 복원에서 사용자를 교육하십시오.

OneDrive 및 SharePoint 파일의 경우 Microsoft는 대량 공격에 부딪히면 최대 14 일 동안 이전 시점으로 롤백 할 수 있습니다.

이메일은 다음과 같이 보호됩니다

  • 단일 항목 복구 및 사서함 보유. 기본적으로 14 일 이내에 삭제 된 롤백 메일 메시지, 최대 30 일까지 구성 가능합니다.
  • 보존 정책을 통해 구성된 보존 기간 동안 불변의 이메일 사본을 유지할 수 있습니다.

파일을 암호화합니다

앞에서 설명한 바와 같이, SharePoint 및 OneDrive for Business의 파일은 다음과 같은 악의적 인 암호화로부터 보호됩니다

  • 버전 작성
  • 쓰레기통
  • 보존 보류 도서관

임차인 외부의 파일을 복사합니다

랜섬웨어 공격자가 테넌트 외부의 파일을 복사하는 것을 방지 할 수 있습니다

  • Microsoft Purview 데이터 손실 방지 (DLP) 정책은 위험, 부주의 또는 부적절한 공유를 포함하는 데이터를 감지, 경고 및 차단합니다
    • 지역 개인 정보 보호 규정 준수를위한 개인 식별 정보 (PII)와 같은 개인 정보.
    • 민감도 레이블을 기반으로 한 기밀 조직 정보.

    무엇’이 솔루션에서 s

    이 솔루션은 Microsoft 365 보호 및 완화 기능, 구성 및 진행중인 작업을 배포하여 랜섬웨어 공격자가 Microsoft 365 테넌트에서 중요한 데이터를 사용할 수있는 능력을 최소화하고 Ransom의 조직을 유지하는 데 도움이됩니다.

    Microsoft 365로 랜섬웨어를 보호하기위한 단계

    이 솔루션의 단계는 다음과 같습니다

    1. 보안 기준을 구성하십시오
    2. 공격 감지 및 응답을 배포합니다
    3. 신원을 보호하십시오
    4. 장치를 보호하십시오
    5. 정보 보호

    다음은 Microsoft 365 테넌트를 위해 배포 된 솔루션의 5 단계입니다.

    Microsoft 365 테넌트를위한 랜섬웨어 보호

    이 솔루션은 Zero Trust의 원칙을 사용합니다

    • 명시 적으로 확인 : 사용 가능한 모든 데이터 포인트를 기반으로 항상 인증 및 승인.
    • 최소 특권 액세스 사용 : JIT/JEA (Just-In Time 및 Just-Enough Access), 위험 기반 적응 정책 및 데이터 보호로 사용자 액세스를 제한하십시오.
    • 위반을 가정하십시오 : 폭발 반경 및 세그먼트 액세스를 최소화하십시오. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 얻고 위협 감지를 유도하며 방어를 개선하십시오.

    조직의 방화벽 뒤에있는 모든 것을 신뢰하는 기존 인트라넷 액세스와 달리 Zero Trust는 각 로그인 및 액세스가 조직 방화벽 뒤에 있든 인터넷에 관계없이 제어되지 않은 네트워크에서 유래 한 것처럼 취급합니다. 제로 트러스트에는 네트워크, 인프라, ID, 엔드 포인트, 앱 및 데이터에 대한 보호가 필요합니다.

    Microsoft 365 기능 및 기능

    랜섬웨어 공격으로부터 Microsoft 365 테넌트를 보호하려면 솔루션의 이러한 단계에 대한 Microsoft 365 기능 및 기능을 사용하십시오.

    1. 보안 기준선

    기능 또는 기능 설명 도움이됩니다. 라이센스
    Microsoft 보안 점수 Microsoft 365 테넌트의 보안 자세를 측정합니다. 보안 구성을 평가하고 개선을 제안하십시오. Microsoft 365 E3 또는 Microsoft 365 E5
    공격 표면 감소 규칙 다양한 구성 설정을 사용하여 조직의 사이버 공격에 대한 조직의 취약성을 줄입니다. 의심스러운 활동과 취약한 콘텐츠를 차단하십시오. Microsoft 365 E3 또는 Microsoft 365 E5
    전자 메일 설정을 교환합니다 조직의 취약점을 이메일 기반 공격으로 줄이는 서비스를 가능하게합니다. 피싱 및 기타 이메일 기반 공격을 통해 임차인에 대한 초기 액세스 방지. Microsoft 365 E3 또는 Microsoft 365 E5
    Microsoft Windows, Microsoft Edge 및 Enterprise 설정 용 Microsoft 365 앱 광범위하게 알려지고 잘 테스트되는 산업 표준 보안 구성을 제공합니다. Enterprise 용 Windows, Edge 및 Microsoft 365 앱을 통한 공격 방지. Microsoft 365 E3 또는 Microsoft 365 E5

    2. 탐지 및 응답

    기능 또는 기능 설명 감지하고 응답하는 데 도움이됩니다. 라이센스
    Microsoft 365 수비수 신호와 오케스트레이션 기능을 단일 솔루션으로 결합합니다.

    보안 전문가가 위협 신호를 묶고 위협의 전체 범위와 영향을 결정할 수 있습니다.

    삼. 신원

    기능 또는 기능 설명 방지에 도움이됩니다. 라이센스
    Azure 광고 비밀번호 보호 공통 목록 및 사용자 정의 항목에서 비밀번호를 차단합니다. 클라우드 또는 온 프레미스 사용자 계정 비밀번호 결정. Microsoft 365 E3 또는 Microsoft 365 E5
    MFA는 조건부 액세스로 시행되었습니다 조건부 액세스 정책이있는 사용자 사인 인의 속성에 따라 MFA가 필요합니다. 자격 증명 타협 및 액세스. Microsoft 365 E3 또는 Microsoft 365 E5
    MFA는 위험 기반 조건부 액세스로 시행되었습니다 Azure AD Identity Protection으로 사용자 사인 인의 위험에 따라 MFA가 필요합니다. 자격 증명 타협 및 액세스. Microsoft 365 E5 또는 Microsoft 365 E5 Microsoft 365 E5 보안 추가 기능

    4. 장치

    장치 및 앱 관리 용 :

    기능 또는 기능 설명 방지에 도움이됩니다. 라이센스
    Microsoft Intune 장치와 실행되는 응용 프로그램을 관리하십시오. 장치 또는 앱 타협 및 액세스. Microsoft 365 E3 또는 E5

    Windows 11 또는 10 장치의 경우 :

    기능 또는 기능 설명 도움이됩니다. 라이센스
    Microsoft Defender 방화벽 호스트 기반 방화벽을 제공합니다. 인바운드의 원치 않는 네트워크 트래픽으로부터의 공격을 방지합니다. Microsoft 365 E3 또는 Microsoft 365 E5
    마이크로 소프트 수비수 안티 바이러스 머신 러닝, 대형 데이터 분석, 심층적 인 위협 저항 연구 및 Microsoft Cloud 인프라를 사용하여 장치 (엔드 포인트) 방지제 보호 기능을 제공합니다. 맬웨어 설치 및 실행을 방지하십시오. Microsoft 365 E3 또는 Microsoft 365 E5
    Microsoft Defender SmartScreen 피싱 또는 맬웨어 웹 사이트 및 응용 프로그램 및 잠재적으로 악의적 인 파일 다운로드로부터 보호합니다. 사이트, 다운로드, 앱 및 파일을 확인할 때 차단 또는 경고. Microsoft 365 E3 또는 Microsoft 365 E5
    엔드 포인트 용 마이크로 소프트 수비수 장치 전체의 고급 위협을 방지, 탐지, 조사 및 대응하는 데 도움이됩니다 (엔드 포인트). 네트워크 변조로부터 보호합니다. Microsoft 365 E5 또는 Microsoft 365 E5 Microsoft 365 E5 보안 추가 기능

    5. 정보

    기능 또는 기능 설명 도움이됩니다. 라이센스
    제어 폴더 액세스 알려진 신뢰할 수있는 앱 목록에서 앱을 확인하여 데이터를 보호합니다. 랜섬웨어로 파일이 변경되거나 암호화되는 것을 방지합니다. Microsoft 365 E3 또는 Microsoft 365 E5
    Microsoft Purview 정보 보호 감도 레이블을 몸값에 적용 할 수 있습니다 여과 된 정보의 사용을 방지하십시오. Microsoft 365 E3 또는 Microsoft 365 E5
    데이터 손실 방지 (DLP) 민감한 데이터를 보호하고 사용자가 부적절하게 공유하지 못하면 위험을 줄입니다. 데이터 추출 방지. Microsoft 365 E3 또는 Microsoft 365 E5
    클라우드 앱의 수비수 발견, 조사 및 거버넌스를위한 클라우드 액세스 보안 브로커. 측면 이동을 감지하고 데이터 추출을 방지합니다. Microsoft 365 E5 또는 Microsoft 365 E5 Microsoft 365 E5 보안 추가 기능

    사용자 및 변경 관리에 미치는 영향

    Microsoft 365 테넌트의 추가 보안 기능을 배포하고 요구 사항 및 보안 정책 구현을 통해 사용자에게 영향을 줄 수 있습니다.

    예를 들어, 사용자가 조직의 모든 사용자를위한 팀을 더 쉽게 만들지 않고 사용자 계정 목록을 구성하는 특정 용도로 사용자가 새로운 용도로 새로운 팀을 만들어야하는 새로운 보안 정책을 부과 할 수 있습니다. 이를 통해 랜섬웨어 공격자가 공격자의 손상된 사용자 계정에 이용할 수없는 팀을 탐색하고 후속 공격에서 해당 팀의 리소스를 목표로하는 것을 방지 할 수 있습니다.

    이 재단 솔루션은 새로운 구성 또는 권장 보안 정책이 사용자에게 영향을 줄 수 있도록 필요한 변경 관리를 수행 할 수있는 시점을 식별합니다.

    다음 단계

    이 단계를 사용하여 Microsoft 365 테넌트를위한 포괄적 인 보호를 배치하십시오

    1. 보안 기준을 구성하십시오
    2. 공격 감지 및 응답을 배포합니다
    3. 신원을 보호하십시오
    4. 장치를 보호하십시오
    5. 정보 보호

    Microsoft 365를 통한 랜섬웨어 보호에 대한 1 단계

    추가 랜섬웨어 리소스

    Microsoft의 주요 정보 :

    • 2021 년 7 월 20 일에 문제 블로그 게시물에 대한 Microsoft의 랜섬웨어 위협 증가
    • 인간이 운영하는 랜섬웨어
    • 랜섬웨어 및 강탈로부터 빠르게 보호하십시오
    • 2021 Microsoft Digital Defense 보고서 (10-19 페이지 참조)
    • 랜섬웨어 : Microsoft 365 Defender Portal의 광범위하고 진행중인 위협 위협 분석 보고서
    • Microsoft의 탐지 및 응답 팀 (DART) 랜섬웨어 접근 및 모범 사례 및 사례 연구
    • Azure 및 Microsoft 365로 랜섬웨어 복원력을 최대화하십시오
    • 랜섬웨어 사고 응답 플레이 북
    • 맬웨어 및 랜섬웨어 보호
    • 랜섬웨어로부터 Windows 10 PC를 보호하십시오
    • SharePoint 온라인에서 랜섬웨어 처리
    • Microsoft 365 Defender Portal의 Ransomware에 대한 위협 분석 보고서

    Microsoft 365 수비수 :

    • 랜섬웨어 공격에 대한 Azure 방어
    • Azure 및 Microsoft 365로 랜섬웨어 복원력을 최대화하십시오
    • 랜섬웨어로부터 보호하기위한 백업 및 복원 계획
    • Microsoft Azure Backup을 사용하여 랜섬웨어로부터 보호하는 데 도움이됩니다 (26 분 비디오)
    • 체계적인 정체성 타협에서 회복
    • Microsoft Sentinel의 고급 다단계 공격 감지
    • Microsoft Sentinel의 랜섬웨어에 대한 퓨전 탐지

    클라우드 앱 용 Microsoft Defender :

    Microsoft Security Team 블로그 게시물 :

    • 랜섬웨어를 예방하고 복구하는 3 단계 (2021 년 9 월)
    • 인간-운영 랜섬웨어 퇴치 가이드 : Part 1 (2021 년 9 월) Microsoft의 탐지 및 응답 팀 (DART)에 대한 주요 단계.
    • 인간이 운영하는 랜섬웨어 퇴치 가이드 : Part 2 (2021 년 9 월) 권장 사항 및 모범 사례.
    • 사이버 보안 위험을 이해함으로써 탄력성이되기 : 4 부 – 현재 위협이 발생합니다 (2021 년 5 월) 랜섬웨어 부분.
    • 휴먼-운영 랜섬웨어 공격 : 예방 가능한 재난 (2020 년 3 월)에는 실제 공격에 대한 공격 체인 분석이 포함됩니다.
    • 랜섬웨어 응답 – 지불하거나 지불하지 않음? (2019 년 12 월)
    • Norsk Hydro는 투명성을 통한 랜섬웨어 공격에 응답합니다 (2019 년 12 월)

    피드백

    제출하고 피드백을 봅니다