고객 사례 연구: NTLM 기반 측면 이동 방지 Silverfort 

처음부터 NTLM 인증 프로토콜은 악의적인 액세스를 위해 손상시키려는 공격자에 대한 복원력이 낮은 것으로 악명 높았습니다. NTLM은 Active Directory 오래 전의 환경과 현재 많은 조직에서 사용을 제한하거나 완전히 금지하기 위해 노력하고 있지만 여전히 지원되고 널리 퍼져 있습니다.

이 블로그 게시물에서는 NTLM 보안 위험에 대해 요약하고 주요 제조업체가 국가 해커가 NTLM을 악용하는 것을 방지한 방법을 살펴봅니다. 측면 운동 와 Silverfort 액세스 정책.

짧은 알림: NTLM 보안 허점

NTLM 요약

NTLM은 클라이언트와 대상 서버 간의 암호화된 시도/응답 교환으로 유선을 통한 사용자의 실제 암호 전송을 대체하는 인증 프로토콜입니다. 챌린지는 도메인 이름, 사용자 이름 및 사용자 암호의 단방향 해시를 포함하여 로그온 프로세스 중에 얻은 데이터에서 생성됩니다. 클라이언트가 서버에 대한 네트워크 연결을 설정하면 서버는 암호화된 챌린지를 보내고 응답에 따라 액세스를 허용하거나 거부합니다.

NTLM 내장 약점

NTLM에는 위협 행위자가 쉽게 손상시킬 수 있는 특정 약점이 있습니다.

1. 약한 암호화: 부족 염장 해시 암호를 동일하게 만들어 서버에서 해시 값을 가져올 수 있으면 실제 암호를 몰라도 인증할 수 있습니다. 즉, 해시를 검색할 수 있는 공격자(시스템 메모리에서 해시를 덤프하는 다양한 방법이 있음)는 대상 서버에 쉽게 액세스하고 실제 사용자를 가장할 수 있음을 의미합니다.
2. 서버 신원 확인 부족: 서버가 클라이언트의 신원을 확인하는 동안 서버의 신원에 대한 해당 확인이 없으므로 MITM(Man-In-The-Middle) 공격의 가능성이 열립니다.

침해 시나리오에 대한 보호 부족

이러한 약점 외에도 NTLM은 다른 프로토콜과 마찬가지로 Active Directory 지원하지 않는 환경 MFA 또는 악의적인 인증을 감지하고 방지할 수 있는 기타 보안 조치. 따라서 위협 행위자가 우리가 설명한 약점을 활용하려고 시도하는 경우 공격을 차단할 가능성은 매우 낮습니다.

Silverfort의 NTLM 보호: MFA 및 블록 액세스 정책

XNUMXD덴탈의 Silverfort 통합 인증 신원 보호 플랫폼은 조직 환경 내의 모든 인증을 모니터링하고 보호합니다. Silverfort MFA 인증에 대한 MFA 및 조건부 액세스 정책을 적용할 수 있는 최초이자 유일한 솔루션입니다. 사용 Silverfort, ID 및 보안 팀은 NTLM 인증을 모니터링하고 제어할 수 있으며 운영 고려 사항에 따라 적응형 정책으로 인증을 보호할지 또는 NTLM 사용을 완전히 금지할지 여부를 결정할 수 있는 유연성을 얻을 수 있습니다.

NTLM 인증 차단으로 횡적 이동 공격 방지

2022년 XNUMX월, 선두 제조사이자 Silverfort의 고객은 국가 행위자의 공격을 받았습니다. 공격자의 초기 목표는 다른 회사의 공장이었고 첫 번째 단계는 Wi-Fi 네트워크를 손상시키는 것이었습니다. 이를 통해 그들은 당시 공장을 방문하고 있던 여러 제조업체 직원의 노트북에도 액세스할 수 있었습니다. 공격자는 이러한 노트북이 다른 회사에 속해 있음을 깨닫고 손상된 노트북을 제조업체의 내부 네트워크에 대한 교두보로 사용하려고 공격을 선회했습니다. 이러한 시도 과정에서 공격자는 직원의 자격 증명 중 하나를 손상시키고 NTLM을 통해 제조업체 네트워크 내의 서버에 로그인을 시도했습니다.  

공격 전에 회사는 다음을 구성했습니다. Silverfort 워크스테이션에서 해당 도메인 환경의 서버로의 NTLM 로그인을 방지하는 정책입니다. 이 액세스 정책은 공격자가 손상된 자격 증명을 사용하여 제조업체 환경 내에서 측면 이동하는 것을 성공적으로 방지하여 궁극적으로 공격을 완전히 차단했습니다.

이 시도된 공격에 대해 자세히 알아보려면 Silverfort의 선제적 위협 탐지 및 예방, 이 고객 성공 사례 연구 다운로드 여기에서 지금 확인해 보세요..