2024년 상반기에는 최근 몇 년 동안 가장 큰 침해 사건이 발생했습니다. 그들의 공통 분모는 무엇일까요? 손상된 자격 증명 그리고 MFA의 부족. 지금까지 가장 두드러진 침해는 Snowflake 침해로, 5월 이후로 몇몇 주요 조직에 지속적으로 영향을 미쳤습니다. 이 기사에서는 가장 큰 피해를 입은 조직에 초점을 맞추고, 다르지만 마찬가지로 예방 가능한 침해를 정리합니다.
눈송이: 공급망은 가장 약한 고리만큼만 강력하다
지금까지 2024년 가장 주목할만한 침해 중 하나는 클라우드 스토리지 플랫폼인 Snowflake를 타겟으로 한 침해사실, 여기서 타깃은 Snowflake 자체가 아니라 AT&T, Ticketmaster, Santander Bank, Neiman Marcus 등을 포함한 Snowflake의 고객이었습니다.
여러 사이버 뉴스 매체에 따르면 이는 교과서적인 내용이었다. 공급망 공격. 공격자는 피싱 이메일과 악성 첨부 파일을 통해 손상된 기계를 통해 Snowflake의 고객에게 접근했습니다. 이런 방식으로 500개 이상의 자격 증명이 발견되어 다크 웹에서 판매된 것으로 추정되며, 여기에는 해당 자격 증명과 관련된 Snowflake 환경의 사용자 이름, 비밀번호, URL이 포함됩니다.
유선에 따르면, 어떤 경우에는 공격자가 Snowflake 직원이나 계약자의 손상된 기계를 초기 진입점으로 사용했습니다. 그러나 다른 경우에는 이러한 개인이 사용한 자격 증명이 2020년 초에 도난당하여 판매되었으며 2024년에도 여전히 유효했습니다.
Snowflake의 조사 결과
The 조사 Snowflake와 Mandiant가 실시한 조사에 따르면 공격자가 사용한 계정의 최소 79.7%가 현재 공격보다 수년 전에 침해되었으며 비밀번호가 변경되거나 회전되지 않은 것으로 나타났습니다. 또한 이 조사에서 2020년 이후로 Snowflake 고객의 수백 개의 자격 증명이 노출되었으며 영향을 받은 인스턴스에는 신뢰할 수 있는 위치에서만 액세스를 허용하는 액세스 정책이 없었음이 확인되었습니다.
조사 결과 공격자는 자격 증명을 획득하여 Snowflake 전 직원의 데모 계정에 액세스하는 데 사용한 것으로 밝혀졌습니다. Snowflake의 CISO인 브래드 존스는 "이것은 단일 요소 인증을 사용하는 사용자를 대상으로 하는 타겟팅 캠페인인 것으로 보입니다"라고 확인했습니다. 문의 Snowflake에서 발행한 "민감한 데이터는 포함되지 않았습니다".
존스는 또한 "데모 계정이 뒤에 있지 않았기 때문에 접근이 가능했다"고 주장했습니다. Okta 또는 MFA”이며 “데모 계정은 Snowflake의 프로덕션 또는 기업 시스템에 연결되지 않았습니다”라고 밝혔습니다. 그는 또한 Snowflake가 “고객에게 고급 보안 제어를 구현하도록 요구하는 계획을 개발 중”이라고 발표했습니다. MFA 또는 네트워크 정책, 특히 특권이 있는 Snowflake 고객 계정에 대한 정책입니다.
AT&T: 성공할 때까지 노력하세요
대략 AT&T 고객 110억 XNUMX천만 명 전화번호와 통화 기록은 AT&T Snowflake 계정을 통해 얻었습니다. 이 정보에는 고객이 건 전화와 문자 메시지 수, 목적지, 각 통화 시간이 포함되었습니다. 즉, 이 데이터에는 통화나 문자 메시지의 반대편에 있던 AT&T가 아닌 고객에 대한 정보도 포함되었습니다. 이 데이터는 유출되거나 공개되지 않았으며, 일부 보고서에 따르면 AT&T가 공격자와 협상한 후 370,000만 달러의 몸값을 지불했다고 알려졌기 때문입니다.
AT&T에게는 힘든 한 해였습니다. 4개월 전 Snowflake 침해 사건으로, 70만 명 이상의 AT&T 고객이 포함된 데이터베이스가 온라인에 유출되어 이름, 주소, 전화번호, 사회보장번호, 생년월일이 공개되었습니다. 보고서에 따르면, 이 데이터베이스는 2021년에 도난당했고 올해 XNUMX월에 완전히 공개될 때까지 공격자가 거의 그대로 보관했습니다.
티켓마스터: 눈보라 속의 또 다른 눈송이
5월의 데이터는 티켓마스터 사용자 560억 XNUMX천만 명 도난당한 것으로 보고되었습니다. 7월, 회사에서 이메일을 보냈습니다 허가받지 않은 사용자가 정보를 획득했다는 사실을 고객에게 알리는 "격리된 클라우드 데이터베이스에서 제3자 데이터 서비스 제공자가 호스팅한” 정보이며, 해당 정보에는 “이름, 기본 연락처 정보, 암호화된 신용 또는 직불 카드 번호 및 만료일과 같은 지불 카드 정보가 포함되어 있을 수 있습니다”. BBC 보도 티켓마스터에 고객에게 통보하는 데 왜 그렇게 오랜 시간이 걸렸는지 물었지만, 답변을 받지 못했다고 합니다.
Change Healthcare(UnitedHealth Group): 정체성 위생에 대한 교훈
월, Change Healthcare에 대한 랜섬웨어 공격 이 사고로 미국인 4명 중 1명의 기밀 데이터 3TB가 도난당했으며, 미국 전역의 병원, 약국, 의료 시설에서 대규모 서비스 중단이 발생했습니다.
UnitedHealth Group(UHG)가 ALPHV/Blackcat에 비용을 지불했지만 랜섬 공격에 대한 책임이 있다고 주장한 그룹은 데이터를 삭제하겠다는 조건으로 22만 달러의 몸값을 요구했고, 이 그룹은 훔친 데이터를 다른 그룹인 랜섬허브(RansomHub)에 넘겼고, 랜섬허브는 또 다른 몸값을 요구했습니다.
하원 에너지 및 상무 위원회에서 증언한 UHG CEO Andrew Witty는 공격자들이 MFA가 없는 서버를 통해 네트워크에 액세스했다고 확인했습니다. 공격자들은 다크 웹에서 자격 증명을 구매했거나 무차별 대입 공격을 사용해 초기 액세스를 얻었습니다. 어느 쪽이든 MFA가 그들을 막았을 것입니다. 네트워크에 액세스한 후, 그들은 한 컴퓨터에서 다른 컴퓨터로 수평적으로 이동했고, 우리는 모두 그것이 어떻게 끝났는지 알고 있습니다.
완화 모범 사례
조직에서는 이러한 침해를 완화하고 억제하기 위해 ITDR(ITDR)과 같은 특정 예방 조치를 취할 수 있습니다.신원 위협 탐지 및 대응) 및 ISPM(Identity Security Posture Management). 글로벌 위협 사냥 책임자 Gady Svahjman Silverfort, 전문가의 조언을 제공합니다.
Detection System
- 공격자는 아마도 실제 합법적인 사용자에게는 다른 방법으로 도용한 자격 증명을 사용했을 것입니다. 예를 들어, 다른 시간, 다른 출처 지리적 위치, 다른 출처/대상 컴퓨터에서 사용했을 수 있습니다.
- 비정상적인 인증에 대한 탐지 기능과 보안 속성이 구현되었더라면 침해를 탐지하고 경고를 발령할 수 있었을 것입니다.
- 오랫동안 사용되지 않았지만 자격 증명이 갑자기 인증되는 계정이나 만료되지 않는 비밀번호가 있는 계정도 위험 신호를 발생시켰어야 합니다. 적절한 위험 지표와 액세스 정책은 이러한 경우 경고를 트리거합니다.
예방
- 감지만으로는 충분하지 않습니다. 그리고 조직은 알림에만 의존해서는 안 됩니다. 매일 수천 개의 알림을 검토하는 것은 지속 가능하지 않으며, 회고적 감지로는 충분하지 않습니다.
- 액세스 정책 행동 및 패턴 분석을 기반으로 액세스를 거부할 수 있습니다.
- MFA의 부족은 공격자가 이러한 Snowflake 인스턴스에 액세스하고 변경할 수 있도록 하는 중요한 요소였습니다. 의료 네트워크.
- 인증을 위해 두 개 이상의 요소를 요구함으로써 강력한 MFA 제어는 공격자를 막을 수 있었습니다. 합법적인 사용자 자격 증명만으로는 충분하지 않았고, 추가 보안 계층을 처리해야 했을 것입니다.
응답
- 방어벽 세우기: 공격을 봉쇄하고 발견 시 상황을 동결시키기 위해 구현해야 할 첫 번째 보안 원칙은 중요한 비즈니스 운영에 필요하지 않은 모든 액세스를 거부하는 정책을 만드는 것입니다.
- 침해된 계정 및 시스템을 봉쇄하려면 시스템 및 계정에 대한 액세스를 완전히 거부하거나, 일부만 거부할 수 있습니다. 예를 들어, 지정된 출처 및 대상에만 중요 인프라에 대한 액세스를 허용할 수 있습니다.
- ~인지 의심스러울 때 사용자 계정 계정이 침해되었거나 조직에서 해당 사용자가 작업을 계속하도록 허용해야 하는 경우, 해당 사용자의 비밀번호를 재설정하고 MFA를 사용하여 해당 계정으로 작업을 허용하는 정책을 시행하는 것은 액세스를 거부하는 것의 또 다른 옵션입니다.
최종 생각
인정하기 불편할 수 있지만, 이러한 침해는 예방할 수 있었거나 적어도 피해를 최소화할 수 있었습니다. 해야 할 일은 비밀번호를 업데이트하고, MFA를 활성화하고, 액세스 정책을 설정하는 것뿐이었습니다. 충분히 쉬운 것처럼 들리지만, 실제로는 항상 그렇게 간단하지 않습니다.
예를 들어, 제3자와 계약을 맺고 해당 제3자가 관리하는 계정을 사용하는 조직은 계정 권한을 확인할 수 있는 능력이 매우 제한적이며, 계정이 여전히 활성 상태인지 여부도 확인할 수 있는 능력이 제한적입니다.
발견에서 봉쇄까지, 신원 보안 순환입니다. 조정과 통합이 필요하며, 항상 최신 정보를 파악하려는 노력이 필요합니다. 이러한 침해는 수백만 명의 고객의 신용카드 번호, 개인 의료 정보 및 통화 기록을 노출했을 뿐만 아니라, 신원 보안에 대해 우리가 얼마나 적게 알고 있는지, 그리고 신원 보안에 얼마나 헌신하고 있는지를 보여주었습니다.