랜섬으로 식겁했습니다. 망분리 조언 부탁드립니다.

권오준   
   조회 3515   추천 0    


클라이언트 pc모두 마무리한 녀석이 네트워크 드라이브 타고 파일서버에 밀고들어오는 것을 발견하고 파일서버 파워내렸습니다.  

다행이 이날을 기다리며? 데일리 백업을 하고 있어서 하루만에 100% 다시 복구했습니다. 40테라중에 약 20테라정도 락걸렸습니다.

덕분에 날밤을 .....ㅠㅠ;

스케줄러에도 없고, nod에서도 못걸러내더군요.

생성파일을 시간순으로 분석해 보니 익스플로에서 유튜브영상 다운로드 받을 수 있는 사이트 들어 갔다가 케시타고 들어온듯합니다..

인턴사원 자리였는데 쿨하게 괜찮다 했습니다. (뭐, 이걸 누가 막을 수 있을지....)


여튼,

임시로 망분리했습니다... 너무 불편하겠지만...ㅠㅠ;

망분리가 보안이 목적이기도 하겠지만 랜섬같은 지랄맞은 녀석을 조금이라도 멀리하고자...ㅎㅎ

사실 네트워크에 대해 잘 모릅니다.

구글드라이브를 이용해서 내부와 외부의 공유폴더를 생각해보고 있는데요.

지금 상태에서 조언을 부탁드립니다.



짧은글 일수록 신중하게.
AD가 있는데 랜섬에 걸렸다는거 보면 파일서버 공유를 단순권한으로 오픈해서 문제가 발생한거 같습니다.
보통 AD가 있으면 파일서버 권한은 세부적으로 나누어야 됩니다. 그런데 대부분 NAS를 사용한다고 하면 이건또 보안관리에 취약합니다.
파일서버는 라이센스 비용들더라도 윈도우 파일서버로 구성해야됩니다.
이유는 공유권한과 NTFS 보안권한을 더 세부적으로 분리할수가 있어서입니다.
NAS는 기본값이 everyone 보안권한에 공유권한으로 권한을 지정하기 때문에 세부적으로 나누기가 힘듭니다. 대부분 리눅스커널이라서 NTFS 권한적용이 될리가 없죠.
팀별로 A그룹 B그룹 C그룹으로 나누고 그리고 공유폴더 네임은 오픈하는게 아닙니다. 공유폴더네임$로 사용해서 시각적으로 감추는것도 내부보안에 도움이 됩니다. 대부분 네트워크 폴더권한 컴맹인 사람들이지만 간혹 이런보안 쉽게 열어보는 사람들이 한두명 있습니다. 재무부서나 인사부서에서 넣어둔 파일까지 심심해서 열어봤는데 자괴감 들어서 회사 관두는 사람도 있을정도입니다.
물리적으로 나누는것도 좋지만 이미 해결할수 있는 망을 갖추고 있음에도 너무 한쪽만 바라보고 있는지 모르겠습니다.
윈도우10으로 클라이언트 전부 교체하는것도 좋은방법이고 AD 정책으로 사용자계정 컨트롤 못내리게 해버리는것도 좋은 방법입니다. 대부분 랜섬웨어는 콘솔에서 실행되는게 아니고(콘솔에서 실행되면 바로 바이러스라는걸 감지하니까) 백그라운드 프로세스로 동작하는게 대부분입니다.
망분리하면 관리포인트 엄청 늘어나게되고 VDI방법을 사용하는게 대부분인데 이것또한 비용이 많이 들어갑니다.
제가 관리하는 사무실엔 AD가 존재하고 파일서버에 공유그룹과 NTFS권한그룹을 별도로 세부적으로 정했더니 해당 PC만 랜섬웨어로 끝나고 파일서버는 한개도 걸린것이 없었습니다. 그리고 사무실 직원들이 대부분 사용자계정 컨트롤을 내리지 않고 그대로 열심히 문서작업만 한것도 한몫했습니다.
그리고 방화벽이 대부분 있을건데 아웃바운드 정책 전부 차단하고 사용하는 포트만 오픈해서 사용하는지도 궁금하네요. 대부분 인바운드만 차단해서 방화벽 잘되었다고 착각하는데 방화벽은 아웃바운드를 일일이 정책적으로 관리하라고 나온 제품들입니다.
OS방화벽도 해제하지말고 그대로 써야되며 기본적으로 해야될거를 안하고 운영하는데는 대부분 랜섬웨어 타겟이 됩니다.
     
권오준 2019-01
재민님 고맙습니다...^^
협업체계라 네트워드라이브가 존제합니다. 당연 해당 네트워크 드라이브만 문제였습니다.
재민님 조언대로 대부분 설정이 되어 있기도 하구요..^^;
단, 윈도우10으로 업데이트는 빨리 해야 겠네요.
-----------------
usb사용권한도 특정 컴퓨터 빼고 예전부터 읽기 권한 밖에 없어서 이제 부터는 업무효율을 봐야 할것같은데
구글드라이브가 작년에 정책이 바뀌어서 AD정책과 성격이 잘 맞을 것 같은데 어떻게 생각하는 지요?
구글 계정은 유료계정으로 진작에 사용하고 있어서 구글 팀드라이브가 망간의 중간 서버 역할을 할 수 있을 것같은데....

외부파일은 필요에 따라 공유되는 웹하드 사용 정도 수준입니다.
김황중 2019-01
요즘 유독 랜섬 조치 및 복구의뢰가 많이 들어네요
항상 백업 잘하고
관리자와 사용자의 경각심이 필요해 보입니다

요즘 유행이 될수도 있는 랜섬이라는데
사실이고 걸리는순간 대박일것 같은 따끈따끈한 랜섬 정보입니다
http://m.boannews.com/html/detail.html?idx=76401
     
권오준 2019-01
갈수록 무섭습니다...ㅠㅠ;
막판대장 2019-01
앱체크 하나 까세요 무료에요
     
권오준 2019-01
앗 이런것도 있군요..고맙습니다..공부하겠습니다
아비부 2019-01
와~~ 일반 pc들이 10G로 연결되어 있네요?  어떤일을 하시길래. 왕부럽!! 많이 부럽습니다.
     
권오준 2019-01
영상 편집입니다..모두 여기서 중고로 구입했습니다....^^*
     
아비부 2019-01
사무실 데이타가 20년째(10테라쯤 됩니다) 쌓여가고 있어서 랜섬웨어 무서워 합니다~ 백업서버를 2중으로 두고 Rsync로 한넘은 월수금 한넘은 화목토로 백업하고 있고요. 15년이 넘은 데이타는 외장하드로 별도로 보관해 놓고 있어요(혹시 찾으면 파일서버에 넣어주고요). 암튼 안전 관리하셔요~
          
권오준 2019-01
HDD백업을 하고 계실꺼라 생각합니다.
저희는 별도로 백업하고 있습니다
배창언 2019-01
망분리를 해둔다해도 감염된PC가 내부망에 접근한다면 마찬가지로 파일서버의 데이터가 변조될 가능성은 여전하지 않나 싶네요..
     
권오준 2019-01
숙주는 포멧해버렸고 나머진 백신샤워를 시켰는데
예의주시하고 있습니다. 스케줄러도 일일이 정리했구요
TLaJ3KtYGr 2019-01
일단 익스플로러부터 못 쓰게 하시는게 많은 도움이 됩니다. 엣지나 크롬 파이어폭스등 권장 드립니다
     
권오준 2019-01
크롬을 쓰는데 체크미스한 익스플로였네요. 사전에 삭제했어야는데....ㅠㅠ;


QnA
제목Page 1215/5708
2014-05   5140456   정은준1
2015-12   1675071   백메가
2013-12   3518   회원K
2016-02   3518   제타
2019-03   3518   프로시아
2016-03   3518   스라다나
2023-09   3518   surren
2023-09   3518   댕대루
2017-06   3518   쌍cpu
2019-12   3518   빨간망또
2023-01   3518   회원
2019-12   3518   박정준
2020-04   3518   아마데우쓰
2018-08   3518   컴박
2021-06   3518   shipse
2020-06   3518   거름밭에허…
2020-04   3518   김상일
2018-10   3518   죠브딱
2017-04   3519   김지훈83
2020-02   3519   모스월드
2016-01   3519   호걸
2017-01   3519   박문형