Cisco Breach: 측면 이동 사각지대에 대한 고통스러운 알림

지난 주 거대 네트워킹 회사인 Cisco가 내부 환경의 침해를 보고한 것처럼 그 누구도 침해에 면역이 되지 않습니다. 보고서에는 심각한 피해가 발생하지 않았다고 나와 있지만, 이 위반은 공격 궤적의 주요 단계(초기 액세스 및 후속 액세스)에 걸쳐 오늘날 ID 보호 환경의 중요한 격차를 반영할 수 있는 기회를 제공합니다. 측면 운동.

가장 눈에 띄는 격차는 실시간의 부족입니다. MFA 보호 내부 환경 내에서. 즉, 공격자가 시스템에 대한 초기 액세스 권한을 얻고 사용자 자격 증명을 성공적으로 손상시키면 아무런 방해 없이 측면 이동을 실행할 수 있습니다. Silverfort 확장할 수 있는 통합 ID 보호 플랫폼으로 이러한 격차를 해결합니다. MFA 이전에 이러한 보호를 받은 적이 없는 사용자, 시스템 또는 환경을 포함하여 모든 사용자, 시스템 또는 환경에 대한 보호.

다음 요약은 Cisco의 Talos 위협 인텔리전스 팀에서 게시한 공격 분석에서 발췌한 내용을 기반으로 하며 다음 단계를 설명하는 단계에 중점을 둡니다. 신원 보호 격차 및 각각의 보안 조치는 Silverfort 제공합니다.

1단계: 초기 액세스

• 공격: 고용 MFA 피로 악의적인 액세스를 허용하도록 사용자를 유인하기 위해
  “공격자는 사용자의 자격 증명을 얻은 후 MFA를 포함한 다양한 기술을 사용하여 MFA를 우회하려고 시도했습니다. 피로, 사용자가 수락할 때까지 대량의 푸시 요청을 대상의 모바일 장치로 전송하는 프로세스로, 실수로 또는 단순히 수신 중인 반복되는 푸시 알림을 음소거하려고 시도합니다.”
• 차이: 대상 활동에 동적으로 응답하지 않는 정적 MFA
  오늘날의 세계에서 보안 조치는 스마트해야 합니다. 즉, 이벤트 패턴의 의미를 추론하고 이를 다른 보안 제품에 전달하고 그에 따라 대응할 수 있어야 합니다. 반복적으로 여러 번 표시되고 모두 거부되는 MFA 푸시 알림은 의심스러운 활동이 발생하고 있음을 분명히 나타냅니다. 손상된 자격 증명을 사용하여 대상 자격 증명에 액세스하는 공격을 방지하는 MFA의 높은 유효성으로 인해 위협 행위자가 바이패스 기술로 대응할 것으로 예상되므로 이에 대한 보호가 필요합니다.
• Silverfort 보호: 자동화 MFA 피로 완화
  Silverfort 이후 사용자 푸시 알림을 억제하여 MFA 피로에 대한 전용 보호를 제공합니다. XNUMX회 연속 액세스 거부 시도. 또한 사용자의 위험 점수가 즉시 상승하여 사용자가 표적이 되었음을 보안 팀에 경고하여 그에 따라 조치를 취할 수 있습니다.

2단계: 측면 이동

• 공격: 손상된 계정을 사용하여 다양한 시스템에 액세스
  “VPN에 대한 액세스를 설정한 후 공격자는 손상된 사용자 계정을 사용하여 환경으로 더 피벗하기 전에 많은 수의 시스템에 로그온하기 시작했습니다. 그들은 Citrix 환경으로 이동하여 일련의 Citrix 서버를 손상시켰고 결국 도메인 컨트롤러에 대한 액세스 권한을 얻었습니다.”
• 격차: 시스템에 대한 명령줄 액세스를 위한 MFA 부족
  다음과 같은 명령줄 액세스 도구 PsExec의 (이 공격에 사용됨), PowerShell 및 WMI는 관리자가 원격 시스템에 액세스하고 구성하고 문제를 해결하는 데 사용하는 주요 유틸리티입니다. 또한 공격자가 환경 내에서 측면 이동을 위해 선택하는 도구이기도 합니다. 그리고 사용하는 인증 프로토콜로 인해 이러한 인터페이스에서 MFA 보호를 시행할 수 있는 솔루션이 없습니다. 즉, 사용자 자격 증명을 손상시킨 공격자를 실시간으로 차단할 수 없습니다. 이것은 오늘날의 보안 스택에서 가장 심각한 격차이며 측면 이동 공격이 여전히 자주 발생하는 주된 이유입니다. 사용 중인 기술이 진화할 필요가 없었기 때문입니다.
• Silverfort 보호: 환경 내의 모든 리소스에 대한 MFA 보호
  이 MFA 보호는 액세스 방법(RDP, PsExec, PowerShell, WMI 등)에 관계없이 적용되며 공격자가 손상된 자격 증명에서 가치를 얻지 못하도록 합니다. 공격자가 악의적인 로그인을 시도할 때마다 Silverfort 액세스를 완전히 거부할 수 있도록 실제 사용자에게 MFA 알림을 푸시합니다. 그리고 이것은 내부 환경에 도입되는 실시간 보호의 첫 번째 사례입니다.

1A단계: 초기 액세스 재검토

• 공격: MFA 승인을 위해 직원을 유인하는 보이스 피싱
  “공격자는 피해자가 공격자가 시작한 MFA 푸시 알림을 수락하도록 설득하기 위해 다양한 신뢰할 수 있는 조직을 가장하여 일련의 정교한 보이스 피싱 공격을 수행했습니다. 공격자는 궁극적으로 MFA 푸시 수락을 달성하여 대상 사용자의 컨텍스트에서 VPN에 대한 액세스 권한을 부여하는 데 성공했습니다.”
• 격차: MFA 단일 실패 지점
  인간은 모든 보안 체인에서 가장 약한 고리입니다. 따라서 보안 팀은 결단력 있는 공격자가 궁극적으로 사용자가 안전하지 않은 방식으로 행동하도록 유인하는 데 성공할 것이라고 가정해야 합니다. 이것이 바로 보호가 다중 계층이어야 하는 이유입니다. Cisco 공격에서 VPN 액세스가 손상되면 공격자는 다시는 사용자와 상호 작용할 필요가 없었기 때문입니다. 대신, 타협의 은폐 아래 사용자 계정, 그들은 이론적으로 원하는 모든 리소스에 액세스할 수 있었습니다.
• Silverfort 보호: 모든 리소스에 대한 다계층 MFA 보호
  Silverfort 이 침해의 대상이 된 Citrix 서버 및 도메인 컨트롤러를 포함하여 모든 리소스에서 MFA를 시행할 수 있습니다. 즉, 공격자의 보이스 피싱이 성공하더라도 새로운 리소스에 액세스하려고 할 때마다 해당 작업을 반복해야 하므로 궁극적으로 가장 신뢰하는 사용자의 의심을 불러일으킬 수 있습니다.

결론: 격차 해소

Silverfort의 통합 신원 보호 플랫폼은 위협 행위자들이 10년 넘게 성공적으로 표적으로 삼아온 오랜 격차를 해결합니다. 가장 최근에는 Cisco 침해 사건이 있었습니다. 중요한 점은 실시간, 다층적 기능을 가질 수 있다는 것입니다. 측면 이동에 대한 보호 모든 보안 아키텍처의 핵심 구성 요소입니다.

전단지에 포함된 링크에 대해 더 알아보기 Silverfort의 측면 이동 보호 여기에서 지금 확인해 보세요..