MFA 및 관리 액세스 보호가 수단입니다. 그러나 무엇을 위해?
월 2nd, 2023 이프타흐 케셰트
사이버 보안에서는 당연하게 여겨지는 것들과 선택 사항, 특히 그러한 것들이 만들어진 이유와 이러한 것들이 목적을 달성했는지 여부를 반영하는 것이 종종 유용합니다. 예를 들어 MFA 사용과 관리 액세스 보호에 대해 살펴보겠습니다. 이것이 중요하다는 것을 알고 있지만 그 이유는 무엇입니까? 또한 이러한 보안 조치를 취하지 않는다는 것은 무엇을 의미합니까?
이 기사에서는 MFA 및 권한 있는 액세스 제어, 위험을 완화하고 환경 전체에 완전히 배포하는 데 장애가 됩니다.
방법을 보여주면서 마무리하겠습니다. Silverfort의 통합 ID 보호 플랫폼을 사용하면 ID 및 보안 팀이 이러한 격차를 해소하고 계정 도용으로부터 환경을 보호할 수 있습니다. 측면 운동, 랜섬웨어 확산.
차례
요약: MFA 및 관리 액세스 제어란 무엇입니까?
MFA 관리 액세스 제어는 기본 사용자 이름-암호 일치 위에 보호 계층을 추가하여 사용자 인증 프로세스를 강화합니다. 근거는 자격 증명이 손상될 수 있다는 것입니다. 즉, 적법한 사용자 이름과 암호를 사용하여 로그인할 수 있습니다. MFA는 이 시나리오를 완화합니다. 적이 가질 가능성이 없는 정품 식별자를 제공하여 실제 사용자가 자신의 신원을 확인하도록 합니다. ㅏ 권한 있는 액세스 관리(PAM) 솔루션은 저장 및 정기적인 암호 교체를 통해 자격 증명 손상 행위를 훨씬 더 어렵게 만들어 본질적으로 동일한 결과를 얻을 수 있습니다.
잘못된 목적: 필연적으로 보안 허점으로 이어지는 체크박스 사고방식
ID 또는 보안 팀이 MFA에서 범하는 가장 일반적인 오류는 목적 수단을 착각하는 것입니다. 예를 들어, "규정 X를 준수하려면 MFA를 적용해야 합니다." 또는 "우리가 진전을 이루고 있음을 경영진에게 보여줄 수 있도록 MFA 적용 범위를 늘려야 합니다."와 같은 사고 프로세스가 있습니다. 이러한 유형의 사고 방식은 근본적으로 결함이 있습니다. 왜냐하면 MFA 또는 MFA 배포에 기술적 장벽이 있을 때마다 이를 보장하기 때문입니다. 특권 계정 액세스 제어가 나타나면(이 문서 뒷부분에서 이에 대한 예를 보여줌) 배포가 발생하지 않습니다. 규정 준수 요구 사항은 환경의 탄력성을 실질적으로 향상시키는 것보다 보호하기 쉬운 것을 보호함으로써 보호 범위가 점진적으로만 진행되는 모호한 보상 제어로 충족될 수 있습니다.
더 나은 보호를 달성할 수 있는 유일한 방법은 우리가 달성하고자 하는 것이 무엇인지 지속적으로 염두에 두는 것입니다. 따라서 MFA 및 관리 액세스 제어를 통해 달성하려는 보호가 정확히 무엇인지, 완화하려는 위협이 무엇인지 살펴보겠습니다.
진정한 목적: 계정 탈취, 내부 이동 및 랜섬웨어 확산과 같은 신원 위협 방지
이러한 보호의 실제 목적을 자세히 살펴보면 악의적인 액세스를 위해 손상된 자격 증명을 사용하는 것과 관련된 ID 위협(예: 모든 유형의 공격 또는 공격 구성 요소)을 방지하는 것이 분명합니다. 가장 대표적인 예로는 계정 탈취, 측면 이동 등이 있습니다. 랜섬 확산. 이는 오늘날 조직에 가장 큰 운영 위험을 가져오는 위협이기 때문에 이것은 큰 문제입니다. 그럼 왜 그런지 이해해 봅시다.
신원 위협은 오늘날 사이버 공격에서 궁극적인 손상 가속기입니다.
그렇다면 신원 위협 보호가 중요한 이유는 무엇입니까? 이유를 더 잘 이해하기 위해 랜섬웨어 예제를 사용합시다. 랜섬웨어 공격은 항상 워크스테이션 또는 서버의 초기 손상으로 시작하여 적에게 대상 환경에서 초기 발판을 제공합니다. 그러나이 시점에서 피해는 단일 시스템에만 국한됩니다. 여기에서 X 요소는 측면 이동 단계로, 공격자는 손상된 자격 증명을 사용하여 가능한 모든 시스템에 랜섬웨어 페이로드를 심을 수 있는 위치에 도달할 때까지 환경의 추가 시스템에 로그인하고 액세스합니다. 이제 공격은 로컬 단일 머신 이벤트에서 실제로 비즈니스 운영을 중단시킬 수 있는 이벤트로 발전했습니다.
확인란 사고 방식이 환경을 위험에 빠뜨리는 방법
이것이 바로 MFA 및 PAM 솔루션이 중지해야 하는 것입니다. 따라서 규정 준수 확인란 사고 방식이 어떻게 부족한지 알 수 있습니다. ID 위협을 차단하기 위해 MFA 및 PAM 보호는 모든 사용자, 리소스 및 액세스 방법을 포함해야 합니다. 그보다 적은 것은 적에게 열린 문을 남깁니다. 그러나 기존의 MFA 및 PAM 기술 제한으로 인해 이러한 유형의 적용 범위를 달성하는 것은 사실상 불가능합니다.
체크박스 사고방식은 특히 위험하다. 최선을 다했기 때문에 규제당국과 경영진 모두 만족할 수 있기 때문이다. 또한 ID 팀은 최선을 다해 업무를 수행한 것처럼 느낄 수 있습니다. 그러나 그들의 작전이 발각되지 않고 계속될 수 있기 때문에 적들이 가장 만족할 것입니다. 그리고 대부분 불행하게도 신원 보호 오늘날 많은 조직에서 현상 유지.
MFA 및 Privileged Access Control이 전체 환경에 배포되는 것을 막는 기술 장벽은 무엇입니까?
이제 모든 사용자, 리소스 및 액세스 방법을 보호하는 데 어떤 문제가 있는지 알아보겠습니다.
기존 MFA: 보장 범위가 없는 에이전트 종속 Active Directory 인증 프로토콜
기존 MFA 제품은 보호되는 서버 및 워크스테이션에 에이전트를 설치하거나 네트워크 세그먼트 앞에 프록시를 배치해야 합니다. 이것이 실제로 의미하는 바는 보호 장치가 없는 기계는 항상 존재할 것입니다. — 추가 에이전트를 수락할 수 없거나 네트워크 아키텍처가 너무 복잡하기 때문입니다.
두 번째 제한은 훨씬 더 문제가 있습니다. Active DirectoryNTLM 및 Kerberos, MFA 기술이 등장하기 오래 전에 작성되었습니다. 이로 인해 MFA 보호는 AD 인증의 더 넓은 부분에 적용할 수 없습니다. 따라서 이러한 프로토콜을 기반으로 구축된 명령줄 액세스 도구를 통한 인증(예: PsExec의, 원격 PowerShell 및 WMI(모두 관리자가 원격 컴퓨터에 연결하기 위해 광범위하게 사용함)는 보호할 수 없습니다. 이것이 바로 이들이 측면 이동 공격에 선택되는 도구인 이유입니다. MFA로 보호할 수 없다는 것은 공격자가 손상된 자격 증명을 획득한 후에는 그들이 원하는 만큼 많은 리소스에 액세스하는 것을 막을 방법이 없다는 것을 의미합니다.
권한 있는 액세스 보호: 서비스 계정에 대한 보호가 없는 힘든 배포 프로세스
PAM은 권한 있는 계정을 보호하는 간단한 방법으로 간주되지만 그 효과를 크게 제한하는 두 가지 주요 제한 사항도 있습니다. 첫 번째는 매우 길고 지루한 온보딩 프로세스로, 보호가 필요한 모든 권한 있는 계정의 수동 검색과 IT 인프라의 모든 개별 구성 요소와의 개별 통합이 수반됩니다.
두 번째는 PAM의 저장 및 회전 보안 메커니즘과 기계 대 기계의 특성 사이의 근본적인 불일치입니다. 서비스 계정. 이러한 계정을 PAM에 온보딩하는 것은 다음과 같은 이유로 본질적으로 불가능합니다. 여전히 소스 및 대상 시스템 또는 실행되는 앱에 대한 가시성이 없습니다. 이 정보가 없으면 계정에서 관리하는 프로세스가 중단될 위험 없이 계정에 암호 순환을 적용할 수 없습니다.
MFA 및 권한 있는 계정 보호의 이러한 격차로 인해 MFA가 핵심이 되었습니다. 공격 표면 적들은 큰 성공을 거두게 됩니다.
Silverfort 통합 ID 보호: 서비스 계정에 대한 MFA Everywhere 및 자동화된 검색, 모니터링 및 보호
Silverfort 할 수 있는 최초의 특수 목적 통합 신원 보호 플랫폼을 개척했습니다. MFA 연장 모든 사용자 및 리소스에 서비스 계정의 검색, 모니터링 및 보호 자동화, 선제적으로 예방 측면 운동 과 랜섬웨어 확산 공격. Silverfort 모든 도메인 컨트롤러 및 기타 온프레미스 ID 공급자(IdPs) 환경에서 지속적인 모니터링, 위험 분석 및 액세스 정책 시행을 위해 사용자, 관리자 또는 서비스 계정이 모든 사용자, 시스템 및 환경에 대해 수행한 모든 인증 및 액세스 시도에서.
ID 및 보안 팀에서 사용 Silverfort의 플랫폼은 ID 위협으로부터 환경을 보호하는 데 필요한 필수 360도 범위를 쉽게 구현합니다. 모든 사용자 및 시스템에서 MFA 보호 범위를 늘리거나 서비스 계정에 대한 가시성과 보호를 확보해야 합니까? 전화 예약 전문가 중 한 명과 함께.
