Privileged Access Management의 가장 어려운 과제 해결

조직의 권한 있는 사용자 계정에서 발생하는 보안 문제를 해결하는 표준 방법은 관리자 자격 증명을 대상으로 하는 위협에 대해 매우 효과적인 도구가 될 수 있는 PAM(권한 있는 액세스 관리) 솔루션을 사용하는 것입니다. 그러나 PAM을 완전히 구현하는 경우 제품의 잠재력을 최대한 발휘하지 못하게 하는 솔루션 온보딩, 운영 및 유지 관리와 관련된 중요한 문제가 있는 경우가 많습니다.

이 블로그 게시물에서는 PAM 구현 프로젝트를 수행할 때 ID 팀이 직면하는 상위 XNUMX가지 문제에 대해 논의하고 이러한 각 문제를 통합 솔루션으로 해결할 수 있는 방법을 제안합니다. 신원 보호 플랫폼입니다.

당면 과제 #1: 감지되지 않은 서비스 계정 및 섀도우 관리자

당연해 보일 수 있지만 PAM 보호를 관리자 계정에 적용하려면 먼저 PAM 관리자가 해당 계정의 존재를 알아야 합니다. 그러나 실제로 이것은 말처럼 행동하기가 훨씬 쉽습니다. 그 이유는 쉽게 발견된다는 측면에서 심각한 도전을 제시하는 두 가지 유형의 계정 때문입니다.

1. 서비스 계정 – 이러한 기계 대 기계 계정은 사람의 상호 작용 없이도 네트워크에서 중요한 작업을 수행할 수 있도록 액세스 권한이 있는 경우가 많습니다. 문제는 이러한 계정은 적절한 문서 없이 생성되는 경우가 많습니다. PAM 프로젝트에서 작업하는 ID 팀에게 알려지지 않도록 합니다. 뿐만 아니라, 모든 서비스 계정 활동을 필터링할 수 있는 유틸리티가 없습니다. 이내 Active Directory (AD) 환경 — 기본적으로 이러한 계정을 보이지 않게 렌더링하므로 PAM 솔루션에 온보딩되지 않습니다.
2. 섀도우 관리자 – 때때로 표준 사용자는 ID 팀이 이를 인식하지 못한 채 실수로 높은 액세스 권한을 할당받을 수 있습니다. 일반적인 예는 사용자 계정 권한 있는 관리자 AD 그룹의 구성원은 아니지만 관리자의 비밀번호를 재설정할 수 있는 권한이 있습니다. 그러나 사용자 계정이 권한 있는 것으로 식별되지 않았기 때문에 PAM에도 포함되지 않습니다.

과제 #2: 종속성이 매핑되지 않은 서비스 계정

의 주춧돌 팸 솔루션 모든 권한 있는 계정의 자격 증명이 저장되는 저장소이며 PAM이 제공하는 주요 보호 기능은 다음과 같습니다. 모든 계정의 비밀번호를 정기적으로 교체하세요. 금고 안에 보관됩니다. 이는 해당 자격 증명이 유효한 기간을 제한함으로써 공격자가 획득한 손상된 자격 증명을 사용하는 능력을 방해합니다.

그러나 암호 회전의 문제는 암호 회전을 효과적으로 적용할 수 없다는 것입니다. 서비스 계정 높은 특권을 갖고 있는 것입니다. 그 이유는 이러한 계정이 로그인 자격 증명이 저장된 스크립트를 실행하여 대상 컴퓨터에 액세스하는 경우가 많기 때문입니다. 그러나 tPAM을 사용하여 이 스크립트 내에서 비밀번호를 자동으로 업데이트할 수 있는 방법은 없습니다. (대개 스크립트 자체의 정확한 위치를 알 수 없기 때문에 이 작업을 수동으로 수행할 수도 없습니다.)

결과적으로 PAM을 사용하여 이러한 서비스 계정의 비밀번호를 교체하면 실제로 스크립트의 비밀번호가 무효화되어 계정이 의도한 작업을 수행할 수 없게 됩니다. 결과적으로 작업을 완료하는 서비스 계정에 의존하는 중요한 프로세스도 실패하게 되므로 네트워크 전반에 걸쳐 일련의 문제가 발생할 수 있습니다. 이러한 위험으로 인해 ID 팀은 권한이 높은 서비스 계정을 PAM에 온보딩하는 것을 자제하여 손상에 노출되는 경우가 많습니다.

과제 #3: PAM을 우회하는 관리자

속담처럼 체인은 가장 약한 링크만큼만 강력하며 이는 PAM 솔루션에도 적용됩니다. PAM 제품은 비밀번호 교체, 볼트 사용, 세션 기록 등의 수단으로 인해 관리자 계정이 손상되지 않도록 보호하기 위해 구축된 강력하고 정교한 도구이기 때문에 결과적으로 관리자의 로그인 경험은 더욱 번거로울 수 있습니다.

문제는 이것 때문에, 관리자는 때때로 효율성을 위해 PAM을 모두 우회하도록 선택합니다. — PAM 솔루션을 사용하여 새 암호를 추출한 다음 액세스해야 하는 다양한 서버 및 워크스테이션에 직접 로그인합니다. 물론 이 관행은 PAM이 제공하려는 보호 기능을 완전히 무효화하여 중요한 보안 허점을 드러냅니다.

과제 #4: PAM 자체에 대한 액세스 보호

PAM만큼 강력한 솔루션이지만 아킬레스건이 있습니다. 즉, 스스로를 보호할 수는 없습니다. 이는 물론, 적이 해당 기관의 자격 증명을 손상시킬 수 있었다면 이를 의미합니다. WFP 그런 다음 볼트에 저장된 모든 권한 있는 계정의 자격 증명과 환경의 모든 리소스에 액세스할 수 있습니다. 이는 모든 조직에 잠재적으로 치명적인 시나리오입니다.

XNUMXD덴탈의 공격 표면 PAM 솔루션에 액세스하는 방법이 여러 가지 있다는 점을 고려할 때 악의적인 액세스에 대한 문제가 특히 분명해집니다.

• 웹 포털을 통해: 자격 증명 검색 및 관리 작업에 사용됩니다.
• 프록시 액세스를 통해: 네트워크 관리자가 저장된 자격 증명을 사용하여 다양한 시스템에 연결하는 데 사용
• API를 통해: 자동화된 작업 및 서비스 계정에 사용됩니다.

PAM에 액세스하는 방법은 매우 다양하므로 단일 노출 지점(예: 자격 증명이 손상된 서비스 계정)이 전체 PAM 시스템 자체의 손상으로 이어질 수 있음을 의미합니다.

과제 #5: 즉시(또는 영원히) 보관할 수 없는 계정

포괄적인 PAM 솔루션을 완전히 배포하는 것은 대규모 작업이 될 수 있으며 완료하는 데 종종 몇 달 또는 때로는 몇 년이 걸리는 프로젝트입니다. 그리고 이 과정에서 아직 PAM 제품에 온보딩되지 않은 권한 있는 계정은 계속 손상될 수 있습니다.

또한 서비스 계정에는 매핑하기 매우 어려운 종속성이 있는 경우가 많기 때문에 이러한 권한이 있는 계정은 PAM 보호 외부에 무기한 남아 있을 수 있습니다. 비밀번호 교체로 인해 이러한 계정의 중요한 프로세스가 손상될 수 있다는 우려에 대해 이전에 언급한 문제 때문입니다. 이는 이러한 권한 있는 계정도 노출된 상태로 유지된다는 것을 의미합니다.

통합 ID 보호가 PAM을 보완하는 방법

통합 신원 보호 지속적인 모니터링, 위험 분석 및 액세스 정책 시행을 통해 ID 공격 표면을 실시간으로 보호하도록 구축된 새로운 보안 제품 카테고리입니다. 모든 ID 제공자와 직접 통합함으로써 플랫폼은 들어오는 모든 정보에 대한 완전한 가시성을 확보할 수 있습니다. 인증 온프레미스든 클라우드든 환경 내에서 요청에 액세스합니다.

이는 Unified Identity Protection 플랫폼이 세 가지 핵심 기능을 통해 PAM 문제를 해결할 수 있음을 의미합니다.

1. 계정 검색 – 모든 인증에 대한 완벽한 가시성을 확보함으로써 플랫폼은 권한 및 특정 동작을 포함하여 모든 계정을 분석할 수 있습니다. 섀도우 관리자 (AD에서 제공하는 액세스 제어 목록 검사를 통해).
2. 다단계 인증(MFA) 정책 집행 –플랫폼은 또한 권한 있는 계정에 MFA 정책 적용 모든 접근을 실시간으로 보호하기 위해. 이는 대상의 소스가 PAM 자체인 경우에만 관리자 계정이 리소스에 액세스할 수 있음을 의미합니다(또한 바로 이 연결에서 MFA가 필요할 수도 있음).
3. 서비스 계정 보호 – 환경 내 모든 서비스 계정의 활동을 지속적으로 분석함으로써 서비스 계정(보관되지 않았는지 여부에 관계없이)이 표준 동작에서 벗어날 때마다 액세스 정책이 트리거되어 모든 서비스 계정에 대한 완전한 보호가 확장됩니다. 특권 계정 환경에서.

PAM 여정을 가속화하십시오 Silverfort

Silverfort의 통합 ID 보호 플랫폼은 모든 위험으로부터 기업을 보호합니다. 신원 기반 공격 손상된 자격 증명을 사용하므로 ID 팀이 고유한 보안 문제를 해결하여 PAM 투자에서 더 많은 것을 얻을 수 있습니다.

특히, Silverfort 모든 서비스 계정 및 섀도우 관리자를 자동으로 검색하고 서비스 계정의 모든 종속성을 매핑하여 PAM 온보딩을 지원할 수 있습니다. 또한, Silverfort 관리자에게 PAM 전용 액세스를 적용하고 MFA를 요구함으로써 PAM 자체에 대한 액세스를 더 효과적으로 보호할 수 있습니다. Silverfort 다음을 통해 PAM 보호를 보완할 수도 있습니다. 서비스 계정 보안 액세스 정책 구성을 통해 그리고 PAM 외부에 상주하는 모든 관리자 계정을 보호합니다.

방법에 대해 자세히 알아볼 준비가 되었습니다. Silverfort 귀하의 PAM 솔루션에 힘을 실어줄 수 있습니까? 여기에 대해 자세히 알아보십시오..