블랙 바스타 랜섬웨어 공격: 회사에서 Microsoft Teams에서 안전하게 공동 작업하는 5가지 방법

수하스 코다갈리 - 제품 관리 담당 이사

2024년 10월 28일 4 분 읽기

최근 발생한 사건에서 Black Basta 랜섬웨어 그룹은 Microsoft Teams 채팅 메시지를 표적 사용자와의 기만적인 커뮤니케이션 채널로 사용하고 있습니다. 피싱, 맬웨어 봇넷, 소셜 엔지니어링을 사용하여 기업 네트워크에 침투한 Black Basta 그룹은 이제 새로운 랜섬웨어 공격의 물결 속에서 Microsoft Teams를 사용하여 기업의 기업 데이터에 액세스하고 있습니다.

이 그룹은 일반적으로 IT 헬프 데스크 직원으로 위장한 이메일을 사용하여 지원을 제안한 다음 직원을 속여 자격 증명을 제공하거나 원격 액세스 도구를 설치하여 액세스 권한을 부여하는 것으로 알려져 있습니다. 이제 이들은 '헬프 데스크'와 같은 기만적인 이름의 외부 사용자 계정을 사용하여 Microsoft Teams에서 IT 헬프 데스크 직원으로 위장하고 있습니다. 공격자는 사기성 Entra ID 테넌트의 외부 계정으로 채팅에 사용자를 추가하여 지원, 관리자 또는 헬프 데스크 직원으로 위장하고 잘못된 표시 이름을 사용하여 사용자가 합법적인 헬프 데스크 담당자와 대화하고 있다고 믿도록 속이고 있습니다.

이 사건은 협업 도구가 최신 워크플로우에 필수적이지만, 특히 게스트 또는 외부 사용자가 관여할 경우 민감한 데이터가 사이버 위협에 노출될 수 있다는 점을 극명하게 보여줍니다. 활용 Cloud Access Security Broker (CASB) 솔루션과 고급 Data Loss Prevention (DLP) 기능을 활용하면 승인되지 않은 상호 작용에서 민감한 콘텐츠를 식별하고 제거하여 이러한 위험을 완화하고 궁극적으로 표적 랜섬웨어 공격으로부터 기업 데이터 보안을 강화하는 데 도움이 될 수 있습니다. CASB 기반 DLP 정책을 통해 Microsoft Teams, SharePoint, OneDrive에서 민감한 콘텐츠를 식별하고 제거하여 보다 안전한 기업 협업 환경을 조성하는 방법을 알아보세요.

Microsoft Teams 데이터 보안을 위한 스카이하이 CASB의 주요 기능

조직은 Skyhigh CASB를 사용하여 Microsoft Teams 환경에서 공유되는 중요한 콘텐츠와 공동 작업 방식을 세밀하게 제어할 수 있습니다. 보안 관리자는 Data Loss Prevention (DLP) 정책을 정의하여 권한이 없는 사용자와 공유되는 중요한 데이터를 식별하고 제거할 수 있습니다. 또한 외부 사용자와의 공유에 관한 정책을 적용하고 필요에 따라 외부 사용자의 액세스 권한을 취소하여 악의적인 행위자 또는 부주의한 데이터 공유와 관련된 위험을 완화할 수 있습니다.

Skyhigh CASB는 Microsoft Teams, SharePoint 및 OneDrive와 원활하게 통합되어 Teams 채널, OneDrive 파일 및 SharePoint 사이트를 비롯한 모든 관련 채널에서 DLP 및 공동 작업 제어를 모니터링하고 적용합니다. 보안 관리자는 Skyhigh를 사용하여 여러 수준에서 공동 작업 제어를 시행할 수 있습니다:

• 도메인 기반 공유 제어
  외부 협업은 위험을 수반하지만 계약업체 및 파트너와 함께 작업하는 데 유용한 생산성 도구가 될 수 있습니다. Skyhigh 고객은 보안팀에서 승인한 파트너, 공급업체 또는 계약업체로 승인된 특정 도메인으로만 공유를 제한할 수 있는 도메인 기반 공유 제어를 사용합니다. 따라서 직원이 이 사전 승인된 목록에 포함되지 않은 외부 사용자를 Teams 대화에 초대하려고 시도하면 Skyhigh는 이 공유 요청을 취소합니다.
• Teams 채널에서 외부 사용자와의 중요한 데이터 공유 차단
  보안 관리자는 Skyhigh의 컨트롤을 사용하여 외부 사용자와의 중요한 데이터 공유를 차단할 수 있습니다. 사용자가 외부 사용자가 있는 Teams 채널에서 중요한 데이터를 공유하면 Skyhigh는 중요한 데이터의 존재를 감지하고 채널에 회사 외부의 사용자가 있다는 플래그를 지정하여 이 데이터의 공유를 취소합니다. 사용자 수준에서도 동일한 제어를 적용할 수 있습니다. 민감한 데이터가 포함된 외부 사용자가 Teams 채널에 추가되면 Skyhigh는 해당 외부 사용자의 액세스를 취소할 수 있습니다. 보안 관리자가 공동 작업 기반 제어와 콘텐츠 기반 제어를 단일 정책으로 병합할 수 있도록 허용함으로써 Skyhigh는 보안 팀이 Teams 및 기타 Office 앱에서 공동 작업 및 콘텐츠 공유를 세밀하게 제어할 수 있도록 합니다.
• 승인되지 않은 공동 작업 소급 취소
  콘텐츠 및 협업에 대한 Skyhigh의 제어는 거의 실시간으로 적용되어 고객에게 높은 수준의 데이터 보호를 보장합니다. 그러나 Skyhigh는 온디맨드 스캔을 사용하여 이러한 제어를 소급 적용하는 옵션도 고객에게 제공합니다. 이 옵션은 신규 Skyhigh 고객이 Teams 배포가 회사의 보안 정책에 부합하는지 확인하려는 경우에 유용합니다. 모든 Teams 채널과 채팅에서 콘텐츠 및 공동 작업 정책을 일괄적으로 실행하고 정책을 위반한 경우 필요한 해결 방법을 적용할 수 있습니다. 이를 통해 고객은 Teams 및 기타 오피스 앱 내에서 중요한 데이터를 완벽하게 보호할 수 있습니다.
• Teams의 고급 데이터 보호 정책
  Teams를 통해 공유되는 데이터에 콘텐츠 기반 제어를 적용할 때 Skyhigh는 업계에서 가장 포괄적이고 세분화된 제어를 고객에게 제공합니다. 일반적인 데이터 유형에 대한 기본 제공 분류 외에도 Skyhigh는 고객에게 정형 및 비정형 핑거프린팅 및 OCR 기능을 포함한 고급 데이터 보호 제어에 액세스할 수 있는 권한을 제공합니다. 따라서 고객이 스크린샷 형태로 고객 데이터를 유출하려고 시도하는 경우, SkyHigh는 이미지 내의 기존 정형 데이터 지문에서 고객 데이터의 존재를 감지하고 이 파일의 공유를 차단할 수 있습니다.
• Office 애플리케이션 전반의 공동 작업 제어
  콘텐츠 및 공동 작업 제어는 주로 블랙 바스타 그룹이 사용한 탈출 방법이었기 때문에 Microsoft Teams의 맥락에서 주로 논의되어 왔습니다. 하지만 스카이하이의 공동 작업 및 콘텐츠 제어는 Microsoft SharePoint, OneDrive, Exchange를 포함한 모든 Office 앱에 적용될 수 있습니다. 보안 팀은 하나의 애플리케이션에만 제어 기능을 적용하는 경우는 거의 없습니다. 일반적으로 제어를 정의하고 민감한 회사 데이터가 포함된 모든 앱으로 확장합니다. 따라서 Skyhigh는 데이터가 Teams 채널에 있든, SharePoint 사이트에 있든, OneDrive 파일 또는 Microsoft Exchange를 통해 전송된 전자 메일에 있든, 무단 데이터 공유에 동일한 공동 작업 제어를 적용하도록 설계했습니다.

효과적인 Microsoft Teams 보호를 위한 DLP 정책 설정

관리자는 다음 단계에 따라 Microsoft Teams 환경을 보호하는 DLP 정책을 구성할 수 있습니다:

• 모니터링이 필요한 민감한 데이터의 특정 유형(예: 신용카드 번호, 주민등록번호)을 정의합니다.
• 공동 작업에 대한 규칙을 정의하고 승인된 외부 공동 작업자를 정의하세요.
• 포괄적인 데이터 적용을 위해 Teams, SharePoint 및 OneDrive 인스턴스 전체에 콘텐츠 및 공동 작업 정책을 적용하세요.
• 진화하는 보안 요구 사항, 새로운 데이터 유형, 공동 작업자에 맞춰 정책을 정기적으로 검토하고 업데이트하세요.
• 랜섬웨어 위협에 대한 보안 태세를 강화하세요.

마이크로소프트 팀즈에 대한 블랙 바스타 랜섬웨어 공격은 엔터프라이즈 협업 도구에서 강력한 데이터 거버넌스와 보호의 필요성을 강조합니다. Skyhigh CASB를 사용하면 조직은 민감한 정보를 자신 있게 관리하고, 권한이 없는 사용자에게 노출될 위험을 최소화하며, 진화하는 사이버 위협에 한발 앞서 대응할 수 있습니다.

Skyhigh CASB는 Microsoft Teams 환경 전반에서 데이터를 보호하는 신뢰할 수 있는 파트너로서 랜섬웨어 그룹 및 기타 악의적인 공격자로부터 중요한 정보를 보호할 수 있도록 도와줍니다.

블로그로 돌아가기