현재 내부에서 AD 계정관련하여 몇가지 문제가 있습니다.
1.읽지 않은 메일이 읽은 편지함으로 이동
2.발송하지 않은 메일이 발송(스팸메일)
이와 관련하여 AD(Office 365 포함) 계정이 탈취 된 건지 확인이 안되고 있습니다.
현재 당사는 주니퍼 방화벽 이외에 보안 장비가 없어서
추가 보안 장비를 데모 후 도입하고자 합니다.
후보로는 IPS와 APT 장비를 보고 있는데 둘 중 어떠한 장비가 적절할지 조언 부탁드립니다.
또, 다른 적절한 보안장비가 있다면 추천도 부탁드립니다.
감사합니다.
8개의 답변이 있습니다.
계정이 탈취 된 것 같네요. 요즘 피싱메일을 통해 계정 탈취가 많이 있는 것 같습니다. 저희도 한번 당했었네요..
내용상으로는 해당 증상이 발생한 계정이 Office 365 서비스를 얘기하는 것인지,
내부적으로 구축한 익스체인지 서버에서 발생한 증상인지가 명확치 않습니다.
1) Office365 라면 비밀번호 설정 강도를 높여서 조치하시면 기본적인 보안은 충분할 것 같습니다.
* 스팸필터링은 제공이 될 테고, 인증은 2 factor 인증 서비스등을 추가하시면 되겠습니다.
2) 내부 익스체인지 서버라면 비밀번호 교체 부터 사용자분들에게 공지하시고,
메일 유입을 통해 악성 스크립트등을 통해 사용자 노트북등 윈도우 OS를 강제점유 조작할 수 있으므로
- 스팸 필터 + APT 솔루션을 도입하여 익스체인지에 수신 되기전 걸러 주시고
- 사용자 PC에는 백신 프로그램등을 필수적으로 설치 하도록 하시는게 좋겠습니다.
정황상 심각한 사고가 아니라면 그 이상의 보안 조치는 추이를 보아가며 조치해도 될 것 같습니다.
해킹으르 계정이 탈취 된 것으로 여겨집니다. 먼저 패스워드변경 하시고 대응솔루션으로 방법을 잡는것이 낳을듯 싶습니다. 보안장비관련은 솔루션 상담실을 이용하시는것이 좋을것 같습니다.
메일서버 앞단에 스팸스나이퍼 먼저 둬야 하는거 아닌가요?
그리고 방화벽 아래 ips을 두는게 맞죠
벨아이앤에스 입니다.
보안진단과 함께 이슈사항에 대해 확인, 제안 받으실 수 있습니다.
보안진단 완료시 상품권 이벤트도 있으니 아래 프로모션 확인 부탁 드립니다.
https://www.sharedit.co.kr/promotions/375
제일 먼저 하셔야 할게 계정 비밀 번호를 변경하셔야 할것 같고요.
다음으로 메일 서버 및 방화벽 등의 패치 가능한 시스템들에 대한 최신 보안 패치 적용을 하셔야 할것 같고요.
IPS(Intrusion Prevention System)는 침입 차단을 목적으로 하는 시스템이며, 비정상적인 트래픽 흐름을 감지해서 차단하는 역할을 하게 되겠고요. 스팸 메일 처럼 대량 메일이 발송되는 걸 차단하는 용도에 적합한 솔루션이 될 수 있을 걸로 보여지고요.
APT(Advanced Persistent Threat)는 지능적인 지속 공격에 대한 차단을 목적을로 하는 솔루션을로 평소에 잘하지 않는 유형의 시도가 있을 경우에 감지하는 용도라고 보면 될거 같고, 메일 서버의 암호에 알아 내려고 한다거나 하는 시도를 감지하려고 하는 목적으로 사용될 수 있을 거라 보여 지네요.
어떤 솔루션이 더 좋다, 나쁘다 보다는 어떤 제품이 얼마나 제대로된 역할을 수행할 수 있는지를 제품의 기능과 성능을 보고 판단해야 목적에 맞는 제품을 도입할 수 있지 않을까 하는 생각이 드네요~
계정이 탈취된것으로 보여요...
일단 비번 변경하시고...
메일을 읽은시간, 발송한 시간 전후로 로그인 기록 확인해보세요.
IPS는 침입방지 시스템이고 APT 지능형 지속위협 솔루션일거 같은데요~ APT는 랜섬웨어 대응 솔루션으로
아무래도 APT솔루션이 더 적절하지 않겠나 싶네요~저에 개인적인 생각입니다~