측면 이동이 맹점을 공격하게 만드는 요인은 무엇입니까?

측면 운동 공격은 사실상 실시간으로 탐지하고 예방할 수 없는 오늘날 보안 스택의 사각지대입니다. 이 사각지대는 사용자 신원을 실제로 인정하는 대신 엔드포인트, 네트워크 및 클라우드 보안 제품에 신원 보호를 위임하는 오랫동안 지속된 패러다임의 결과입니다. 공격 표면 이 문제는 전용 방식으로 해결하고 보호해야 합니다. 이 기사에서는 다양한 기업 보안 이해관계자가 보안 스택을 반영하고 측면 이동 공격에 대한 노출을 평가할 수 있도록 사이버 보호의 전반적인 맥락에서 이 사각지대를 더 잘 분석하고 이해하기 위한 개념적 프레임워크를 제안합니다.

간단한 측면 이동 요약

Patient-Zero에서 추가 장비로 발판 확장

횡적 이동은 기계의 초기 손상 이후의 공격 단계를 설명하는 일반적인 용어입니다(일명 제로 환자) 환경의 추가 시스템에서 코드에 액세스하고 실행합니다. 측면 이동을 수행하는 것은 공격자에게 핵심적인 필요성입니다. 대부분의 경우 환자 제로는 환경의 다른 시스템보다 더 취약하지만 자체적으로 공격 목표를 충족할 수 없기 때문입니다. 그로부터 추가 시스템에 액세스하고 공격 목표를 달성하기 위한 경로를 형성해야 할 필요성이 발생합니다.

손상된 사용자 자격 증명은 횡적 이동의 핵심 요소입니다.

그러면 기계에서 기계로의 이동은 어떻게 이루어 집니까? 기업 환경에서는 이를 수행하는 방법은 단 하나뿐입니다. 사용자 자격 증명으로 로그인하는 것입니다. 따라서 일반적으로 환자 제로 타협을 따르는 것은 다음을 검색하는 것입니다. 사용자 계정 머신에 로그인된 정보 및 자격 증명(많은 오픈 소스 도구와 CMD 또는 PowerShell 스크립트가 수행할 수 있는 비교적 간단한 작업) 그런 다음 공격자는 다양한 관리 도구를 사용하여 환경에 있는 다른 컴퓨터의 이름을 얻고 새로 얻은 자격 증명으로 해당 컴퓨터에 로그인을 시도할 수 있습니다. 성공하면 이 프로세스가 다음 시스템에서 반복됩니다. 많은 공격의 공통 스레드 중 하나는 관리자 자격 증명을 찾으려는 시도입니다. 관리자 자격 증명은 더 높은 액세스 권한과 도메인 컨트롤러에 대한 액세스 권한을 갖고 있기 때문입니다.

위험 및 잠재적 피해 측면에서 측면 이동이 사이버 공격을 로컬 이벤트에서 엔터프라이즈급 사고로 전환하는 핵심 구성 요소라는 것을 쉽게 알 수 있습니다. 그러나 지난 XNUMX년 동안 사이버 보안에서 이루어진 상당한 발전에도 불구하고 측면 이동은 여전히 ​​엔터프라이즈 보안 스택의 사각지대이며 심각한 보안 격차를 만듭니다. 그 이유를 이해하기 위해 사이버 보안 탐지 및 예방의 핵심 개념을 생각해 봅시다.

공격 탐지 101: 변칙 요인

대부분의 경우 악의적인 활동은 합법적인 활동과 다릅니다. 악의적인 활동을 탐지하기 위한 필수 질문은 다음과 같습니다. 어떤 이상 현상이 발생합니까?

경우에 따라 이상 징후를 추적하기 쉽습니다. 예를 들어 이미 악성으로 플래그가 지정된 파일 서명 또는 악의적인 것으로 알려진 외부 IP에 대한 네트워크 트래픽입니다. 그러나 위협 활동가는 도구를 지속적으로 개선하고 개선하여 이러한 이상 현상을 최대한 제거하거나 최소한 최소화하기 위해 노력합니다. 따라서 특정 측면에서는 완전히 정상적인 활동으로 구성되지만 다른 측면에서는 비정상적인 공격을 자주 볼 수 있습니다. 예를 들어 Chrome 취약점의 메모리 손상 악용은 실행 중인 Chrome 프로세스를 가로채기 때문에 파일 이상을 유발하지 않습니다. 그러나 메모리 내의 프로세스 동작 및 OS와의 상호 작용은 일반적인 Chrome 실행 흐름과 근본적으로 다릅니다.

공격 탐지 102: 다중 측면 요소

그러나 측면에 대해 이야기할 때 우리는 무엇을 의미합니까? 측면은 단일 활동의 다른 관점으로 생각할 수 있습니다. 실행되고 원격 서버와의 아웃바운드 연결을 열고 추가 파일을 다운로드하는 악성 페이로드의 일반적인 시나리오를 살펴보겠습니다. 그만큼 끝점 보호 측면 프로세스 동작 및 파일 서명에서 이상을 찾는 반면 네트워크 보호 측면 네트워크 트래픽의 이상을 찾습니다. 건전한 보안 스택에는 악의적인 활동의 탐지 가능성을 높이기 위해 가능한 한 많은 측면이 포함됩니다.

정의상 한 측면에서는 합법적이고 다른 측면에서는 악의적인 공격 벡터가 있기 때문에 단일 측면 보호는 실패할 수밖에 없습니다. 가장 간단한 예는 C2C 통신입니다. 운영 체제가 다른 합법적인 연결에 사용하는 것과 동일하므로 연결을 여는 파일이나 프로세스에는 이상이 없습니다. 따라서 엔드포인트 측면에만 의존한다면 이 활동은 거의 감지되지 않을 것입니다. 그러나 네트워크 트래픽과 관련된 네트워크 측면에서는 대상 주소가 악의적이라고 쉽게 판단하고 연결을 완전히 차단합니다.

공격 예방 101: 실시간 요소

악의적인 활동을 감지하는 것이 첫 번째 단계입니다. 그러나 실제 보안 가치는 예방 or 블록 실시간으로 감지된 악성 활동. 이러한 방식으로 EPP(Endpoint Protection Platform)는 실행 중인 프로세스에 악의적인 동작이 있는지 여부를 결정할 수 있을 뿐만 아니라 이 프로세스의 실행을 실시간으로 종료할 수 있는 권한도 있습니다. 마찬가지로 방화벽은 특정 네트워크 트래픽이 악성인지 확인하고 모두 차단할 수 있습니다.

이제 변칙, 측면 및 실시간 요소가 어떻게 매핑되는지 살펴보겠습니다. 측면 이동 보호.

측면 이동 공격 및 ID 공격 표면

횡적 이동 공격이 사각지대인 이유는 엔드포인트 및 네트워크 보안 컨트롤이 그에 수반되는 이상 징후를 감지하는 데 필요한 측면을 가지고 있지 않고 이를 실시간으로 차단할 수 있는 능력이 없기 때문입니다. 그 이유를 이해하기 위해 더 깊이 들어가 봅시다.

측면 이동은 신원 기반 공격입니다

측면 이동 공격은 대상 환경의 리소스(서버, 워크스테이션, 앱 등)에 로그인하기 위한 유효한(아직 손상된) 사용자 자격 증명을 제공하여 수행됩니다. 이것 심각한 것을 소개합니다 탐지 챌린지 측면 이동을 수행하는 공격자가 인증을 수행하기 때문입니다. 이는 합법적인 사용자가 수행하는 인증과 본질적으로 동일합니다. 둘 다 수반 인증 과정 자격 증명을 자격 증명 공급자에게 전달하는 것으로 구성됩니다(예: Active Directory), 유효성을 검사하고 이 유효성 검사를 기반으로 액세스 권한을 부여하거나 거부합니다. 그런 식으로 측면 이동 공격의 핵심은 합법적인 인증 인프라를 악의적인 목적으로 활용하는 일련의 인증입니다.

측면 이동 감지 과제 #1: 낮은 이상 요인

이것은 우리가 매우 낮은 이상 요인 우선 첫째로. 악의적인 인증과 합법적인 인증의 유일한 차이점은 전자는 공격자가 수행하고 후자는 악의적인 사용자가 수행한다는 것입니다. 변칙은 인증 자체가 아니라 주변 컨텍스트에서 발견되기 때문에 작업할 수 있는 변칙 마진이 많이 남지 않습니다. 이 컨텍스트를 공개하는 것이 엔드포인트 및 네트워크 보호 측면의 범위를 벗어나는 이유를 이해합시다.

횡적 이동 탐지 과제 #2: 엔드포인트와 네트워크 측면의 불일치

앞에서 설명한 것처럼 측면 이동은 손상된 시스템에서 다른 시스템으로의 일련의 악의적인 인증입니다.

XNUMXD덴탈의 끝점 보호 측면 파일 및 프로세스 실행의 이상에 초점을 맞추기 때문에 이러한 인증이 악의적인지 판단하는 데 효율적이지 않습니다. 이 측면은 우리가 설명한 유사성으로 인해 어떤 변칙도 드러낼 수 없습니다. 예를 들어 공격자가 다음을 사용하기로 선택한 경우 PsExec의 손상된 자격 증명 세트를 사용하여 환자 XNUMX에서 다른 시스템으로 원격으로 연결하는 도구를 사용하면 실행되는 프로세스는 PsExec.exe가 됩니다. 이는 합법적인 관리자가 동일한 연결을 수행하도록 선택한 경우 실행되는 것과 동일한 프로세스입니다.

XNUMXD덴탈의 네트워크 보호 측면 같은 이유로 측면 움직임을 감지하는 데 부족합니다. 환자 100에서 새 기계로의 네트워크 트래픽은 합법적인 헬프데스크가 직원의 엔드포인트 문제를 원격으로 해결할 때 생성하는 트래픽과 XNUMX% 유사합니다.

횡적 이동 방지 과제 #3: 엔드포인트 및 네트워크 솔루션 내 실시간 요소 부족

탐지 어려움을 부분적으로 극복했다고 가정해 봅시다. 여전히 해결해야 할 중요한 문제가 있습니다. 엔드포인트 및 네트워크 보호 제품 모두에 실시간 방지 기능이 없다는 것입니다. EPP가 어떻게든 실행된 프로세스가 횡적 이동 공격이 발생하고 있음을 암시한다고 결정하더라도 이를 방지하기 위해 아무것도 할 수 없습니다. 이론적으로 네트워크 솔루션은 환경의 긴밀한 분할을 통해 이러한 방지 기능을 제공할 수 있지만 실제로는 손상된 세그먼트 자체 내에서의 측면 이동을 방지하지 않으며 일반적으로 분할 제한에서 제외되는 손상된 관리자 사용자를 차단하지 않습니다. .

실제로 실시간으로 측면 이동을 방지할 수 있는 엔터프라이즈 IT 스택의 유일한 구성 요소는 대부분의 온프레미스 환경에서 ID 제공자 자체입니다. Active Directory.

Active Directory 탐지 및 예방 격차

AD는 인증 프로세스 자체를 제어하고 리소스에 대한 액세스 요청이 허용되는지 또는 거부되는지를 결정합니다. 측면 이동에 대한 실시간 방지 기능을 어디에서나 찾을 수 있다면 거기에 있을 것입니다.

그러나 두 가지 주요 문제로 인해 AD가 실시간 보호 작업을 수행하지 못합니다. AD가 수행할 수 있는 유일한 보안 검사는 사용자 자격 증명 일치를 확인하는 것입니다. 측면 이동의 경우 일치가 존재하기 때문에 아무 소용이 없습니다(처음에 이러한 자격 증명을 손상시키는 전체 목적임). 따라서 실시간 보호의 잠재력은 AD가 언제 적용할지 모르기 때문에 실현될 수 없습니다.

결론 – 측면 이동 보호 데드 엔드

요약하면 엔드포인트 및 네트워크 보호는 측면 이동 공격을 효율적으로 감지할 수 없으며 이를 방지할 수 있는 능력이 없습니다. Active Directory 측면 이동 공격과 적법한 인증을 식별할 수 있는 능력이 부족하여 보호 가능성이 휴면 상태가 되고 실제 보호에 사용할 수 없습니다. 이것이 대부분의 조직이 측면 이동 전에 오는 공격 단계를 방지하고 탐지 후 피해를 사후에 최소화하도록 보안 스택을 설계하는 주된 이유입니다. 그러나 횡적 이동 자체는 포함되거나 다루어지지 않습니다.

XNUMXD덴탈의 Silverfort 방법: MFA를 통한 횡적 이동 실시간 방지

XNUMXD덴탈의 Silverfort Unified Identity Protection 플랫폼은 기본적으로 Active Directory 위험 분석 및 다중 요소 인증 (MFA). 자세히 알아보기 Silverfort의 기능을 보려면 당사를 방문하십시오. 측면 이동 방지 보호 페이지 또는 일정 데모 전문가 중 한 명과 함께.