Air-Gapped 네트워크를 위한 MFA 보호

러시아-우크라이나 전쟁의 일환으로 시작된 최근 사이버 공격은 에어갭 네트워크의 보안, 특히 신원 보호에 대한 우려를 다시 불러일으켰습니다. 에어갭 국가의 중요 인프라, 군사 및 정부 환경, 제조 현장에서 발견되는 것과 같이 매우 민감한 네트워크의 공격 표면을 줄이기 위해 구현됩니다. 이러한 유형의 네트워크는 위협 행위자의 표적이 될 가능성이 높으며, 이는 재래식 전쟁을 자제하면서 적대감의 대안적 표현 역할을 할 가능성이 있습니다. 이 기사에서는 Silverfort 통합 인증 신원 보호 플랫폼은 에이전트, 코드 수정 또는 인증 인프라 변경 없이 MFA에 FIDO2 하드웨어 토큰을 사용할 수 있도록 하여 에어 갭 환경 내에서 보안 인증을 시행합니다. 이런 방법으로, Silverfort 이러한 네트워크에 대한 실시간 보호를 제공합니다. 측면 운동 자동화된 맬웨어 전파.

Air-Gapped 네트워크란 무엇입니까?

에어갭 네트워크는 외부 세계에 연결된 인터페이스가 없는 컴퓨터 네트워크입니다. 이는 분명히 과감한 조치이므로 이 접근 방식은 일반적으로 최대 수준의 보안이 필요한 매우 민감한 조직에서만 사용됩니다.

Air-Gapped 네트워크는 환경을 구성하는 시스템이 인터넷에 직접 연결되거나 아웃바운드 내부 네트워크에 간접적으로 연결되지 않는 프로덕션 환경입니다. 네트워크는 에어 갭(air-gap)이 되어 공격 표면 사이버 공격에 대한 탄력성을 높입니다.

에어 갭 네트워크의 몇 가지 두드러진 예로는 국방, 정부 및 군대와 같은 다양한 국가 보안 행위자뿐만 아니라 에너지, 수도 유틸리티 및 기타 지원 서비스를 제공하는 중요한 인프라 엔터티가 있습니다. 이러한 유형의 조직은 가장 민감한 네트워크 세그먼트를 완전히 분리하기 위해 노력하므로 모든 인터넷 연결이 차단됩니다.

Air-Gapped 네트워크는 여전히 악의적인 침투에 노출되어 있습니다.

이 접근 방식은 이론적으로는 의미가 있지만 실제로는 완전한 에어 갭핑을 거의 불가능한 작업으로 만드는 다양한 제약이 있습니다. 일반적으로 일어나는 일은 모든 초기 의도와 관계없이 대부분 운영상의 이유로 인해 외부 세계에 대한 어느 정도의 연결이 여전히 유지된다는 것입니다. 외부 파일을 네트워크로 전송해야 하는 운영자, 소프트웨어 업데이트, 원격 기술 지원은 몇 가지 일반적인 예. 결국 이 모든 것이 합쳐져 진정한 100% 에어 갭 아키텍처를 구현할 수 없는 본질적인 무능력이 됩니다. 그만큼 스턱스넷 악성코드, USB 플래시 드라이브와 같은 감염된 이동식 드라이브를 사용하여 Air-Gapped 네트워크에 초기에 도입된 것은 Air-Gapped 네트워크에 대한 초기 액세스가 여전히 가능하다는 사실을 지속적으로 상기시켜야 합니다.

에어 갭 네트워크의 측면 이동

공격자가 에어갭 네트워크에서 초기 발판을 마련하면 훔친 암호와 자격 증명을 사용하여 측면 이동을 수행하여 존재를 확장하고 공격 영향을 높일 수 있습니다. 2017년에 악명 높은 NotPetya 공격은 표준 IT 네트워크와 에어갭 OT 네트워크 모두에서 이러한 측면 이동을 수행했습니다.

따라서 에어 갭 자체는 그 이름이 암시하는 철갑 보호를 보증할 수 없습니다. 과거에는 가능했을 수도 있지만 오늘날의 초연결 IT 환경에서는 비실용적입니다. 따라서 초기 악의적인 액세스와 손상 후 단계의 측면 이동 모두로부터 이러한 네트워크를 가장 잘 보호하는 방법에 대한 재평가가 필요합니다.

Air-Gapped 네트워크 보호를 어렵게 만드는 제한 사항은 무엇입니까?

에어갭 네트워크는 표준 보안 솔루션으로는 쉽게 보호할 수 없습니다.

무엇보다도 클라우드 연결이나 인터넷 연결에 의존하는 솔루션은 사용할 수 없습니다.

둘째, 에어갭 네트워크의 주요 특징은 24x7x365 운영 안정성에 대한 약속입니다. 예를 들어, 이는 소프트웨어 설치 또는 패치가 적용된 후에는 재부팅이 불가능함을 의미합니다. 대부분의 경우 이러한 네트워크는 서버에 타사 소프트웨어 설치를 허용하지 않는 엄격한 공급업체 보증 조건이 적용되는 다른 독점 시스템도 사용합니다. 또한 제조업체 지원이 더 이상 존재하지 않는 경우에도 이러한 네트워크에서 여전히 활성 상태인 레거시 시스템을 찾을 수 있습니다. 이는 모든 유형의 에이전트 기반 솔루션을 배제합니다.

셋째, 이러한 네트워크의 특성은 악의적인 활동을 차단하면서 오탐 또는 중요한 프로세스 중단으로 인한 운영 중단에 대한 민감도를 높입니다. 이러한 모든 고려 사항은 에어갭 네트워크에서 사용할 수 있는 선택적 보안 제품의 범위를 크게 좁힙니다.

Air-Gapped 네트워크의 다단계 인증 요구 사항

내장된 보안 제한 극복

다중 인증(MFA) 손상된 자격 증명을 사용하여 계정 탈취 및 측면 이동과 같은 대상 리소스에 액세스하는 공격에 대한 궁극적인 솔루션입니다. 그러나 에어갭 네트워크에서 효과적이려면 MFA 솔루션이 위에서 설명한 제약 조건에 따라 몇 가지 기준을 충족해야 합니다.

• 인터넷 연결에 의존하지 않고 완벽하게 작동할 수 있습니다.
• 보호하는 시스템에 에이전트를 배포할 필요가 없습니다.
• 중단을 최소화하고 민감한 시스템 및 프로세스의 안정성과 가용성을 위협하지 않습니다.

하드웨어 토큰 지원

또한 에어갭 네트워크의 일반적인 관행은 인터넷 연결이 필요한 표준 모바일 장치 대신 물리적 하드웨어 보안 토큰을 사용하는 것입니다. 이 고려 사항은 또 다른 요구 사항을 추가합니다.

• 하드웨어 토큰을 활용하여 두 번째 인증 요소를 제공할 수 있어야 합니다.

FIDO2는 하드 토큰에 대해 선호되는 표준이며 고려됩니다. 고급 피싱 공격과 기존 피싱 공격 모두에 탄력적입니다.

그러나 FIDO2 토큰은 웹 인증 or U2F 인증 프로토콜. 에어 갭 네트워크 내의 시스템이 처음에 이러한 프로토콜과 함께 작동하도록 설계되지 않았다면 필요한 변경을 수행하기가 매우 어려울 것입니다(위의 24/7/365 가용성 참조). 결과적으로 마지막 요구 사항이 쉽게 충족되지 않아 많은 에어갭 네트워크가 공격에 노출됩니다.

Silverfort Air-Gapped 네트워크를 위한 보안 인증

우리의 사명은 Silverfort 보안 인증을 모든 사용자, 액세스 인터페이스 및 리소스로 확장하는 것입니다. 우리는 IT 인프라, 파일 공유, 데이터베이스, IIOT, 심지어 HMI 및 프로덕션 서버와 같은 OT 시스템과 같이 이전에는 이러한 방식으로 보호할 수 없었던 리소스에 MFA 보호를 적용하는 데 성공했습니다.

이 비전에 맞춰, Silverfort 또한 Air-Gapped 네트워크에 대해 에이전트 없는 MFA 보호를 제공하여 보호되는 시스템에서 코드를 변경하지 않고도 FIDO2 하드웨어 토큰을 사용할 수 있습니다.

1. A 고객에게 기여  배포 모드 불가지론자 인터넷 연결: Silverfort 전체 온프레미스 배포 모드를 제공합니다. 이 모드에서는 Silverfort 전체 기능을 사용할 수 있는 가상 어플라이언스 온프레미스로 배포됩니다. 참고 Silverfort 또한 SaaS 기반 배포 옵션과 하이브리드 온프레미스 SaaS 배포 옵션을 제공합니다.
2. 에이전트 없는 아키텍처 과 코드 변경 필요 없음: Silverfort의 독창적이고 혁신적인 아키텍처 조직은 보호된 시스템에 에이전트를 설치하지 않고 코드 사용자 지정이나 인증 프로토콜을 변경하지 않고도 Multi-Factor Authentication을 모든 시스템이나 리소스로 확장할 수 있습니다.
3. FIDO2 준수 하드웨어 토큰: Silverfort 조직은 모든 ​​FIDO2 하드웨어 토큰을 포함하여 에어갭 환경에서 인증자를 선택할 수 있습니다.

고객의 에코시스템 내에서 가장 널리 사용되는 구현은 YubiKey 토큰과 통합. 이 원활한 통합은 최신 FIDO2 토큰과 기존 인증 인프라 간의 격차를 해소하여 다음을 제공합니다. 포괄적인 MFA 보호 에어갭 네트워크에.

결론

에어 갭핑은 건전한 보안 전략이지만 사용할 수 있는 보안 제품에 대한 갭과 영향을 모두 인정해야 합니다. Silverfort의 MFA를 사용하면 보안 인증을 시행하고 Air-Gapped 네트워크에서 사용자의 신원을 검증하여 사용자를 보호할 수 있습니다. ID 기반 공격.