Offcanvas

CSO / How To / 보안 / 애플리케이션

블로그 | 300인 이하 기업이 ‘비즈니스용 디펜더’에 주목할 이유

2021.11.19 Susan Bradley  |  CSO
비즈니스용 디펜더(Defender for Business)는 EDR 및 여타 유용한 모니터링 기능을 제공한다. 특히 고가의 윈도우 라이선스를 보유하지 않은 기업이라면 검토할 가치가 있다. 



마이크로소프트가 최근 이그나이트(Ignite) 컨퍼런스에서 300명 이하의 사용자, 시트를 가진 비즈니스(기업)들을 대상으로 하는 비즈니스용 마이크로소프트 디펜더(Microsoft Defender for Business)라는 신제품을 발표했다. 

침입 및 기타 보안 문제를 자동으로 조사할 수 없고, EDR(Endpoint detection and response) 기술을 도입하지 않은 중소기업 또는 소규모 사업체(small business)는 이 제품을 검토할 필요가 있다. 스몰 비즈니스를 지원하거나, 스몰 비즈니스의 협력업체인 관리형 서비스 공급업체도 마찬가지다.

비즈니스용 디펜더는 기본 탑재된 바이러스 백신 보호 체계를 모니터링 및 제어하고, 마이크로소프트가 수집하는 보안 정보를 토대로 클라우드 기반 보호 및 감지 기능을 활용할 수 있도록 해준다. 

해당 콘솔은 EDR에 투자하지 않은 스몰 비즈니스에게도 비정상적인 부분을 알려주고, 비정상적인 이벤트가 발생한 때를 통보한다. 타임라인 기능을 이용, 시스템의 프로세스를 평가해 시스템에 일어난 일을 파악할 수 있게 하기도 한다. 여기에 더해, 추후 검토가 가능하도록 워크스테이션 프로세스의 클라우드 포렌식 버전을 유지하는 기능도 갖췄다.

또 마이크로소프트는 관리형 서비스 공급업체를 위한 오버뷰 플랫폼(overview platform)\을 개발하고 있기도 하다. 동시에 많은 고객들을 모니터링하고, 선행적으로 관리할 수 있는 플랫폼이다. 

마이크로소프트 365 라이트하우스(Lighthouse)라는 이름의 이 플랫폼은 보안 사건에 대한 정보를 제공한다. 그리고 라이트하우스에 온보딩한 고객들에게 얼럿을 제공한다. 마이크로소프트는 향후 개최할  세미나에서 비즈니스용 마이크로소프트 디펜더에 대한 더 많은 정보를 제공할 예정이다.

이미 마이크로소프트 365 E5 라이선스와 마이크로소프트 디펜더 시큐리티 센터를 갖고 있거나 이용하는 기업이라면, 이 새로운 상품과 함께 제공되는 기술에 익숙할 것이다. 마이크로소프트 365 비즈니스 프리미엄 라이선스를 보유한 기업의 경우, 이 상품이 포함될 예정이다. 해당 라이선를 보유하지 않은 기업이라면 사용자당 3달러에 추가할 수 있다.

비즈니스용 마이크로소프트 디펜더에는 네트워크의 취약점을 알려주는 ‘위협 및 취약점 관리(Threat and Vulnerability Management)’ 콘솔이 포함되어 있다. 이 대시보드는 네트워크 문제에 대해 전반적인 위험 노출 점수를 제시한다. 

또한, 애플리케이션과 운영체제, 네트워크, 계정 및 보안 컨트롤에 위험을 초래하는 장치 위험에 대한 점수를 제시한다. 

비즈니스용 마이크로소프트 디펜더 보안 권장사항
즉 비즈니스용 디펜더 콘솔은 네트워크를 공격에 덜 취약하도록 만드는 다수의 유용한 보안 지침을 제공한다. 애플리케이션 보안에 대한 다음과 같은 권고가 포함돼 있다.

• 유효하지 않은 서명을 가진 소프트웨어를 다운로드해 설치, 실행하지 못하도록 만든다.
• 인터넷 익스플로러용 구식 액티브X 컨트롤을 차단한다.
• ‘암호 관리자(Password Manager)’를 비활성화 시킨다.

이 밖에 운영체제 보호 권장사항에는 LAS(Local Security Authority) 보호 활성화가 포함되어 있다. LSA가 PPL(Protected Process Light)로 실행되도록 강제하는 정책을 설정하는 것이 좋다. 마이터 ATT&CK(MITRE ATT&CK)에 따르면, 이를 통해 PPL, 안티-프로세스 주입 방어, 기타 프로세스 무결성 시행 체계를 이용해 핵심 시스템 구성요소와 대화할 때 사용할 수 있는 높은 권한을 가진 프로세스를 보호할 수 있다. 다음은 네트워크 권장사항이다.

• LAN 관리자 인증 수준을 ‘NTLMv2 응답만 전송’으로 설정한다. LM & NTLM을 거부한다.
• SMBv1 클라이언트 드라이버를 중지시킨다.

SMBv1을 사용하지 않으면 랜섬웨어 공격에 대한 네트워크 방어 체계를 크게 강화할 수 있다.

다음은 계정과 관련된 권장 사항들이다.

• 암호 및 크리덴셜 로컬 스토리지를 비활성화한다.
• ‘계정 잠금 기준(Account lockout threshold)’을 1~10회 잘못된 로그인 시도로 설정한다.

보안 컨트롤에 대한 권장사항에는 다음과 같은 ASR(Attack Surface Reduction) 규칙이 포함된다.

• 모든 오피스 애플리케이션에서 자식 프로세스가 생성되지 않도록 차단한다.
• 자바스크립트나 VB스크립트가 다운로드 된 실행 가능 콘텐츠를 실행하지 못하도록 차단한다.
• 추이(Prevalence), 에이지(Age), 신뢰된 리스트(Trusted list) 기준을 충족하지 않을 때 실행 가능 파일이 실행되지 않도록 차단한다.

ASR(Attack Surface Reduction) 규칙 모니터링
비즈니스용 디펜더는 쉽게 ASR 규칙을 모니터링할 수 있도록 도와준다. 윈도우 10 프로페셔널 장치는 그룹 정책(Group Policy)을 통해 이를 처리할 수 있다. 그러나 엔터프라이즈 라이선스를 갖고 있을 때 모니터링 및 보고 기능을 이용할 수 있다.

공격자들이 네트워크 진입 지점으로 오피스를 악용하는 때가 많다. ASR 규칙으로 오피스 진입 지점을 더 효과적으로 보호할 수 있다. 또 ASR 규칙은 랜섬웨어 공격의 핵심 방어 체계이다. 예를 들어, 가능한 빨리 배포해야 하는 규칙 하나는 “모든 오피스 애플리케이션에서 자식 프로세스가 생성되지 않도록 차단”이다. 팔란티르(Palantir) 블로그는 네트워크를 더 안전하게 보호하기 위해 쉽게 적용할 수 있는 여러 설정들을 제시하고 있다.

모든 ASR 규칙을 활성화해 추적하려면 통상 윈도우 엔터프라이즈 라이선스가 필요하다. 그렇지만 비즈니스용 마이크로소프트 디펜더를 이용하면 엔터프라이즈 라이선스 없이 추적 기능을 전부 활성화할 수 있다. 다음은 ASR 규칙들이다.

• 익스플로잇 된 취약한 서명 드라이버의 악용을 차단한다.
• 이메일 클라이언트와 웹메일의 실행 가능 콘텐츠를 차단한다.
• 모든 오피스 애플리케이션에서 자식 프로세스가 생성되지 않도록 차단한다.
• 오피스 애플리케이션에서 실행 가능 콘텐츠가 생성되지 않도록 차단한다.
• 오피스 애플리케이션이 다른 프로세스에 코드를 주입하지 않도록 차단한다.
• 자바스크립트나 VB스크립트가 다운로드 된 실행형 콘텐츠를 실행하지 못하도록 차단한다.
• 난독화 될 수 있는 스크립트의 실행을 차단한다.
• 오피스 매크로의 Win32 API 호출을 차단한다.
• 랜섬웨어 방어에 고급 보호 기능을 사용한다.
• 윈도우 로컬 보안 권한 하위시스템(lass.exe)에서 크리덴셜이 도용되지 않도록 차단한다.
• USB에서 실행되는 PSExec 및 WMI commandsBlock 무신뢰 및 미서명 프로세스를 근거로 프로세스가 생성되는 것을 차단한다.
• 추이(Prevalence), 에이지(Age), 신뢰된 리스트(Trusted list) 기준을 충족하지 않을 때 실행 가능 파일이 실행되지 않도록 차단한다.
• 오피스 통신 애플리케이션에서 자식 프로세스가 생성되지 않도록 차단한다.
• 어도비 리더(Adobe Reader)에서 자식 프로세스가 생성되지 않도록 차단한다.
• WMI 이벤트 구독을 통한 퍼시스턴스(Persistence)를 차단한다.

광범위하게 배포하기에 앞서 이런 규칙들을 테스트할 필요가 있다.

비즈니스용 디펜더를 주요 바이러스 백신 체계로 활용
디펜더를 1차 바이러스 백신 보호 체계로 이용하려면 기능 릴리스를 최신 버전으로 유지할 필요가 있다. 필자는 장기간 서비스 팩과 기능 릴리스의 부작용, 타사 바이러스 백신 소프트웨어를 추적 조사해왔다. 앞으로 윈도우 11을 배포하거나, 윈도우 10 기능 릴리스를 빨리 배치할 계획을 갖고 있다면, 윈도우 디펜더를 기준으로 이용할 것을 권장한다. 

마이크로소프트는 미래 버전의 기능 릴리스를 테스트할 때 디펜더를 테스트한다. 따라서 부작용이 없거나, 있더라도 신속히 파악해 조용히 해결한다. 일부 핵심 기능과 방어에 기본 바이러스 백신으로 디펜더를 이용할 이유가 충분하다. 예를 들어, ASR 규칙 사용과 관련해 디펜더를 기본 바이러스 백신으로 설정하면 대다수 스몰 비즈니스에 유효할 것이다. 

* Susan Bradley는 애스크우디닷컴(Askwoody.com), CSO온라인닷컴(CSOonline.com) 등에서 칼럼을 기고하는 전문 칼럼니스트다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.