소포스 MTR 윈도우서버 관제 도입사례

최근에 소포스에서 제공하는 자체 관제서비스 MTR( Managed Threat Detection and Response)에 대한 관심이 높아지면서 도입하는 고객사가 많아지고 있습니다. 특히 서버나 PC를 전담으로 관리하는 담당자가 없는 대부분의 중소기업에서는 매우 매력적인 옵션으로 타사 EDR 및 관제서비스를 검토하시다가 개발사의 최고 보안전문가들이 직접 관제해주는 고급서비스로 인해 소포스를 선택하십니다.

이러한 관제서비스는 규모가 어느정도 있는 중소기업보다도 오히려 소규모의 고객사에서 더 필요한 서비스이기 때문에 오늘은 이렇게 소규모의 고객사에서 도입 적용한 사례를 소개해 드리겠습니다. 중요한 서버가 내부에 있는 소규모의 고객사라면 반드시 검토를 권장 드립니다.



MTR서비스 소개

https://blog.naver.com/onclraon/222394203647

윈도우서버 보안관제 (Sophos MTR) 적용사례

고객사 환경 및 문제점

고객사는 중요업무용 윈도우서버1대와 내부 및 지사에 약 10대 정도의 사용자 pc가 있는 환경입니다. 서버에는 내부 및 지사에서 접속하여 고객사 주요업무를 처리합니다. 최근 랜섬웨어 등의 이슈로 서버가 공격을 받거나 장애발생 시 업무에 큰 피해가 발생할 수 있습니다.

검토

Sophos InterceptX Essential - Sophos의 핵심 Deep Learning기반의 Intercept X가 탑재되어 있고, 부가적인 매체제어 기능이 포함되지 않은 솔루션으로 소기업에서 랜섬웨어차단용으로는 일반백신가격으로 최고 보안솔루션을 도입할 수 있는 장점이 있습니다.

Sophos InterceptX MTR - Sophos Endpoint보안의 모든기능과 EDR그리고 Sophos에서 직접 서비스하는 관제서비스 MTR포함 솔루션으로, 보안솔루션에서는 악성으로 탐지하지 않지만 잠제적인 악성행위 등을 개발사의 보안 전문가가 직접 모니터링 하면서 악성으로 의심이 되면 내부 개발팀과 검토하여 추적 및 조치

도입

예산이 넉넉하지 않은 상황이지만, 최고의 보안서비스까지 개발사에서 직접 지원을 받아 엔터프라이즈급의 보안서비스를 구축하여 서버의 보안을 최상위 레벨로 구축하며, 동시에 서버에 영향을 미칠 수 있는 클라이언트 PC까지 MTR서비스로 구축하기로 결정하여 MTR서비스 도입.



구축

클라우드기반의 Sophos Interceptx는 사실 구축이라는 표현이 어색할 정도로 너무나 쉽게 구축이 가능합니다.먼저 Sophos Cloud 사이트에 고객사 관리 사이트 Sophos Central을 구성하여, 접속할 관리자를 추가합니다.그리고 윈도우서버 및 클라이언트 설치 파일을 다운로드하여 시스템에 설치합니다.

MTR라이선스가 설치되면 MTR메뉴가 보이게 됩니다.





Welcome e-mail

초기 구축 후 MTR팀에서는 아래처럼 안내 메일을 관리자에게 발송합니다. 관리콘솔인 Sophos Central을 검토하고 정책이나 통신상에 문제가 없는지 먼저 검토 후 결과리포트 및 관리자가 조치할 사항에 대한 안내메일을 발송합니다. 또한 에이전트가 설치된 시스템이 있다면 시스템을 분석하여 문제가 있다면 그 내용 및 조치할 사항을 알려줍니다.



필수요구사항 및 권장요구사항 안내

MTR팀에서 관리콘솔을 검토 후 정책을 수정이 필요한 필수사항 및 권장사항에 대한 내용을 메일로 보내 줍니다.첨부된 엑셀파일에는 아주 자세한 설정 및 수정이 필요한 이유등이 서술되어 있어서 관리자는 이것을 보고 수정하면 됩니다. 이러한 작업은 당사에서 모두 수행하고, 결과에 대해 고객에게 알려드립니다. 아래 고객사의 경우는 2가지 필수설정이 필요하고 3가지 권장설정이 필요하여 모두 조치를 했습니다. 모든 내용은 Case ID 번호로 관리가 되어서 해당 이슈에 대해 언제든 개발사인 Sophos를 통해 정보를 확인할 수 있습니다.





서버 악성코드 탐지 및 조치

윈도우서버에 에이전트가 설치된 순간부터 MTR팀은 서버를 분석합니다. 이미 에이전트가 설치되기 전부터 악성코드에 감염이 되어 있었고, 소포스에서 악성코드를 치료했으며, 추가로 삭제가 필요한 파일리스트 및 네트워크 차단이 필요한 IP리스트 등을 바로 메일로 보내 줍니다.





이메일 하단에 자세한 설명 및 조치할 사항을 알려줍니다. 고객사의 서버는 소포스를 구축전에 이미 채굴하는 악성코드가 감염되어서 악성행위를 하고 있었던 것으로 확인되어서 서버업체를 통해서 필요한 조치를 완료한 후 MTR팀에서는 점검 후 해당 서버가 현재는 안전한 상태라는 결과를 알려줍니다.

이후 절차

MTR팀은 24시간 서버 및 PC의 활동을 모니터링 하고, 백신영역에서는 처리할 수 없는 사항은 관리자에게 조치방법을 안내( 예를 들면 시스템 리부팅 등) 하고 MTR팀에서 조치가 가능한 작업은 조치 후 관리자에게 알려줍니다.

MTR 운영방법

MTR은 크게 3가지 모드를 설정할 수 있습니다.

알림 - 위협사항을 관리자에게 통보 후 관리자가 대응할 수 있도록 함.

협업 - 관리자에게 연락이 안되고 활성 위협이 있는 경우 MTR팀에 직접 대응 후 내용을 관리자에게 통보

권한부여 - 활성위협을 MTR팀에 직접 해결하고 결과를 관리자에게 통보



특히 소기업의 경우 전문적인 서버 보안관리가 어렵게 때문에 MTR을 구축 후 권한부여 옵션으로 서버에 대해 관리자의 개입을 최소화 하고 최고보안성을 유지할 수 있는것이 가장 큰 강점입니다.

오늘 예를 든 고객사는 서버 및 클라이언트PC 모두 MTR로 적용을 했습니다. 많은 공격이 사실은 내부 클라이언트 pc에서 내부 서버쪽으로 일어나기 때문입니다. 하지만 MTR은 서버에만 적용도 가능합니다. 사내에 중요한 서버가 있다면 MTR을 추천드리며, 예산이 여의치 않다면 서버에만이라도 적용을 적극 추천 드립니다.

MTR은 일반서비스에 대해 전담팀의 전담엔지니어와 연락을 하기 때문에, 모든 처리는 매우빠르게 즉각적으로 진행되는 장점이 있습니다. 지원을 기다리기 보다는 오히려 MTR팀에서 관리자에게 수정을 요청했는데, 관리자가 진행을 늦게 할 경우 확인메일이 계속오게 됩니다.

최근에 고객사에서 기술문의가 오는 경우는 3가지 중에 하나 입니다.

1. 랜섬웨어에 감염되었는데 복구할 수 있는 방법은 무엇인가요?

2. 램섬웨어 감염시스템을 포맷해서 새로 설치했습니다만, 이 시스템이 어디서 감염이 되었는지 모르기 때문에 또 감염되는건 아닌지 불안한데 방법이 없을까요?

3. 악성코드가 서버,리눅스,NAS 백업 스토리지도 영향을 미칠 수 있나요?



솔루션문의 : [email protected]