언뜻 보기에 ITDR(Identity Threat Detection and Response)과 ISPM(Identity Security Posture Management)은 같은 것을 나타내는 두 가지 이름처럼 들립니다. 정말 사이버 보안에 필요한 것은 더 많은 약어입니다. 이들은 문제에 대한 예리한 눈과 같은 몇 가지 유사점을 공유하지만 각각은 매우 구체적인 역할을 합니다. 신원 보안 그리고 매우 다른 문제를 해결합니다. 하지만 바로 그것이 그들이 서로를 잘 보완하는 이유입니다. 이 글에서는 각각이 무엇을 하는지, 어떻게 함께 작동하는지, 그리고 왜 이러한 차이점을 모를 여유가 없는지 알아보겠습니다.
ISPM: ID 공격 표면을 사전에 줄이기
ISPM의 주요 기능은 전체에 대한 가시성을 높이는 것입니다. 신원 인프라온프레미스 또는 클라우드에 관계없이 사용자, 리소스 및 권한을 포함합니다. ITDR ISPM은 진행 중인 위협에 대한 실시간 대응에 중점을 두고, 사용자 환경이 처음부터 악용 가능한 취약점으로 가득 차 있지 않도록 보장합니다.
ISPM은 귀하의 상태를 지속적으로 평가합니다. 신원 공격 표면 약점을 파악하다 전에 실제 공격의 대상이 됩니다. 이러한 약점에는 잘못된 구성, 과도한 권한, 부정 행위 및 안전하지 않은 레거시 인프라가 포함될 수 있습니다. 예를 들어, 제약 없는 위임으로 구성된 계정은 권한 상승의 이상적인 대상입니다. 공격자는 이를 통해 항상 관심을 갖습니다. 상위 레벨의 권한을 획득하다. 그러나 ISPM은 이러한 잘못된 구성을 감지하고 ID 팀에 경고하여 공격이 시작되기 전에 문제를 수정하거나 최소한 완화할 수 있는 기회를 제공합니다.
ITDR: 진행 중인 공격 식별
ITDR은 ID 관련 TTP(전술, 기술 및 절차, 정의에 따름)를 탐지하고 대응하도록 특별히 구축된 보안 솔루션입니다. MITER ATT & CK) 자격 증명 액세스, 권한 상승 또는 측면 이동을 타겟으로 합니다. 예를 들어, 공격자는 종종 다음을 사용합니다. 손상된 자격 증명 환경에 대한 초기 액세스를 얻고, 측면으로 이동하고, 랜섬웨어를 퍼뜨리는 것입니다. ITDR의 이 흐름이 진행 중일 때 이를 감지하고, 가장 중요한 것은 너무 많은 피해가 발생하기 전에 중단시키는 작업입니다. 생각해 보세요. ITDR 신원 감시자로서 모든 인증 및 액세스 시도를 실시간으로 면밀히 감시하여 승인되지 않은 위치에서 민감한 리소스에 액세스하려는 시도와 같은 잠재적인 악의적 존재 및 활동을 파악합니다. 위협이 감지되면 ITDR은 보안 팀에 경고하거나 더 나은 방법으로 영향을 받는 계정을 잠그는 것과 같은 대응을 트리거하고 추가 조사를 가능하게 해야 합니다.
ITDR & ISPM: 함께 더 나은
ITDR 및 ISPM 두 가지 측면은 같은 동전의 양면입니다. 완화와 교정입니다. 따라서 두 가지를 결합하면 가장 효과적입니다. ISPM은 귀하의 ID 인프라를 지속적으로 모니터링하고 강화하여 공격 표면ITDR은 활성 위협을 감지하고 대응합니다.
두 가지가 함께 작동하는 방식과 두 가지가 모두 필요한 이유는 다음과 같습니다.
| ITDR | ISPM |
| 비정상적인 행동 감지: 모든 사용자는 개별적인 행동 프로필과 위험 점수를 가져야 하므로, ITDR은 정상적인 행동에서 벗어나는 행위를 기준으로 손상되었을 가능성이 있는 계정을 식별할 수 있습니다. | 가시성 및 인벤토리: ISPM은 조직의 가시성을 제공합니다. 신원 공격 표면을 조사하고 모든 사용자에 대한 자세한 인벤토리를 유지 관리하며 이 데이터를 추가 탐색 및 조사에 사용할 수 있도록 제공합니다. |
| TTP 감지: ITDR은 다음을 포함한 TTP를 감지할 수 있습니다. 케르베로스팅, 해시 패스, 티켓 패스, 무차별 대입 공격, 신임장 스캐닝, 측면 이동 등. | 위험 분석 및 개선: ISPM은 위험을 분석, 분류, 우선순위를 정하고, 자세 교정 및 개선을 위한 권장 사항을 제공합니다. |
| 조사 및 대응: 사용자가 의심스러운 행동을 보일 때 ITDR은 사용자의 접근을 차단하거나 조사가 완료될 때까지 손상된 사용자나 리소스를 격리하는 것과 같은 자동화된 대응 절차를 시작할 수 있습니다. 예를 들어, 엔드포인트가 공격을 받을 때 ITDR은 누가 로그인했고 어떤 리소스가 사용되었는지 확인할 수 있습니다. | 정체성 위생: ISPM을 보유하면 조직은 ID 보안과 관련하여 조직의 성과에 대한 360도 뷰를 얻을 수 있습니다. ISPM은 일반적으로 점수 시스템을 사용하여 조직의 위치를 알려줍니다. 문제가 해결됨에 따라 ISPM 점수가 증가합니다. |
이론을 실천에 적용하기: 실제 세계의 예
이것은 단순한 이론이 아닙니다. 안타깝게도 ITDR과 ISPM이 둘 다 필요한 이유를 보여주는 실제 사례가 너무 많습니다.
예를 들어 2024년 Snowflake 침해 사건에서 공격자는 손상된 자격 증명을 사용하여 중요 데이터에 액세스했습니다(이 침해 사건에 대해 자세히 알아볼 수 있습니다. 여기에서 확인하세요.) ISPM은 여기서 주요 예방적 역할을 할 수 있었습니다. 조사는 심각한 부족을 강조했습니다. MFA – ISPM에서 플래그를 지정하고 문제가 되기 전에 더 강력한 액세스 제어를 시행하여 완화할 수 있었던 주요 취약점입니다. 공격자가 여전히 시스템에 액세스하는 데 성공했다면 ITDR은 훨씬 더 일찍 감지하고 보안 팀에 선두를 제공했을 것입니다.
유사하게, 2023 MOVEit 부적절한 인증 취약점 인증 우회로 이어졌고 MOVEit 파일 전송을 사용하는 정부 기관을 포함한 수많은 조직에 영향을 미쳤습니다. ITDR과 ISPM이 반드시 초기 액세스를 중단하지는 않았지만 의심스러운 활동을 감지하고 그 영향을 크게 줄일 수 있었습니다. 예를 들어 공격자가 업무 시간 외에 또는 익숙하지 않은 위치에서 측면으로 이동하거나 시스템이나 데이터와 상호 작용하려고 시도한 경우 ITDR이 이를 감지할 수 있었습니다. ISPM의 경우 환경을 지속적으로 평가하여 잘못된 구성 및 결함을 식별합니다. 이 경우와 같이 MOVEit과 같은 애플리케이션에 추가 제어 없이 권한이 없는 사용자가 액세스할 수 있도록 합니다.
최종 생각
ITDR과 ISPM은 통합된 힘으로 가장 잘 작동합니다. ISPM은 잠재적인 공격자보다 먼저 신원 취약점을 인식하여 신원 보안 태세를 강화하고 ITDR은 이를 처리할 수 있는 기회를 제공합니다. 신원 위협 그들이 전개되면서. 그들은 함께 일함으로써 개별적인 격차를 해결할 뿐만 아니라, ID 보안에 대한 통합된 접근 방식을 달성하기 위해 빠진 부분을 채웁니다.
