지난 주, BlackCat 랜섬웨어 그룹(ALPHV라고도 함)이 MGM Resorts의 운영을 공격하여 IT 시스템을 강제로 종료했습니다. 이 공격이 기존의 랜섬웨어 공격과 다른 점은 공격자가 특정 시점에서 온프레미스 환경의 도메인 지배력을 활용하여 클라우드를 손상시킬 수 있다는 것입니다. 신원 인프라, Okta 사용자의 일반 텍스트 비밀번호를 수집합니다.
공격은 이제 다른 공격에 합류합니다. Okta, 동네 짱및 시스코 – 온프레미스와 SaaS 환경의 상호 연결성을 활용하여 온프레미스를 통해 SaaS를 손상시키는 새로운 패턴을 표시합니다. 이는 오늘날 하이브리드 환경(예: 온프레미스 및 클라우드 디렉터리 모두 사용)을 보유한 모든 조직에 심각한 위험을 초래하며 통합 솔루션의 필요성을 강조합니다. 신원 보호 보다 더 전체적인 접근 방식으로 피할 수 있습니다.
MGM 위반: 공격 단계 살펴보기
공개적으로 사용 가능한 데이터를 사용하여 다음 흐름을 구성할 수 있습니다.
- 공격자들은 LinkedIn에서 한 직원에 대한 정보를 입수하고 헬프 데스크에 전화를 걸어 소셜 엔지니어링을 사용해 네트워크에 접근했습니다.
- 이어 그들은 공연을 펼쳤다. 측면 운동 도메인 컨트롤러에 액세스하고(이 단계에서 사용된 정확한 기술에 대한 세부 정보는 불분명함) 거기에 저장된 사용자 비밀번호를 훔칠 때까지 말입니다.
- 이 시점에서 공격자들은 몸값을 요구했고, 이것이 거부되자 이후 설치를 진행했습니다. 랜섬 MGM의 ESXi 서버에서 Okta 서버에 액세스할 때까지 측면 이동을 지속했습니다.
- 공격자는 그곳에 도착하면 서버에서 일반 텍스트 비밀번호를 빼내어 로그인할 수 있는 기능을 얻었습니다. Okta 그리고 관리하는 모든 SaaS 앱에 액세스할 수 있습니다.
SaaS 환경으로의 디딤돌로 사용되는 온프레미스 도메인 지배력
이 공격에서 흥미로운 점은 해커가 다음에 액세스할 수 있다는 것입니다. Active Directory (AD) 해시를 사용하여 비밀번호에 액세스할 수 없었습니다. 공격자는 AD를 사용하여 Okta로 전환하고 일반 텍스트 비밀번호를 훔쳤습니다. 본질적으로, Active Directory 옥타(Okta)로 가는 관문 역할을 했습니다. 이는 조직이 ID 인프라의 약점과 구성 오류를 식별하고 해결해야 할 필요성을 강조합니다. 많은 조직이 연결됩니다. Active Directory Okta에 연결했지만 종종 이 연결 보안을 간과했는데, 이 경우 공격자에게 약점을 악용할 수 있는 기회가 제공되었습니다.
하이브리드 ID 인프라의 중요한 격차: 연결되어 있지만 보호되지 않음
이번 위반은 너무 일반적으로 무시되는 본질적인 약점, 즉 하이브리드 환경에서 ID 인프라의 단편화되고 사일로화된 특성을 강조합니다. 이제 이에 대해 더 자세히 살펴보겠습니다.
대부분의 조직은 온프레미스 사용자를 관리합니다. Active Directory. 동시에 이들은 페더레이션 서버의 클라우드 디렉터리에서 동일한 사용자를 관리합니다(예: Entra ID, 옥타, 핑 등). 사용자가 원활한 로그인 환경을 누릴 수 있도록 이 두 가지 다른 ID 공급자가 동기화됩니다. 즉, 온프레미스 리소스와 SaaS 리소스 모두에 액세스하는 데 동일한 사용자 이름과 비밀번호 조합이 사용됩니다. 또한 SaaS 앱에 사용되는 디렉터리는 온프레미스 환경(예: 이번 위반의 경우 Okta 서버)에 일부 공간을 차지하는 경우가 많습니다.
이 연결은 공격자가 성공적으로 손상된 사용자 온프레미스 환경의 자격 증명을 사용하여 SaaS 앱에 직접 로그인할 수 있을 뿐만 아니라 측면으로 이동하여 온프레미스 환경의 클라우드 ID 인프라 구성 요소를 손상시킬 수도 있습니다.
온프레미스는 신원 위협에 노출되어 SaaS를 침해하는 궁극적인 공격 벡터가 됩니다.
최근 발간된 백서 오스터 만 연구, "ID 공격 표면 상태: 중요한 보안 격차에 대한 통찰력," 온프레미스 환경이 악의적인 액세스를 위해 손상된 자격 증명을 사용하는 데 매우 취약하다는 것을 분명히 보여줍니다.
보고서 내용에 따르면 전통적인 다중 요소 인증 (MFA) 및 PAM(Privileged Access Management) 솔루션은 대다수 조직의 ID 위협에 대해 충분한 실시간 보호를 제공하지 못합니다.
위협 행위자는 이러한 사각지대를 고통스럽게 인식하고 이를 활용하여 온프레미스 환경 내에서 측면 이동을 수행하며 저항이 거의 또는 전혀 없습니다. 그리고 측면 이동은 MGM 침해 사례에서 알 수 있듯이 로컬 이벤트(예: 단일 손상된 시스템)를 기업 수준 사고로 바꾸는 X 요소입니다.
결론: 온프레미스의 ID 보호는 클라우드의 ID 보호와 동일합니다.
모든 사슬은 가장 약한 고리만큼만 강합니다. 그리고 하이브리드 환경은 온프레미스와 클라우드가 밀접하게 얽혀 있는 체인입니다. 따라서 온프레미스 환경을 강화한다는 것은 전체 체인을 강화한다는 의미입니다. 클라우드 마이그레이션이 얼마나 진행되었는지에 관계없이 여전히 온프레미스 부분이 있다면 이는 해결해야 할 심각한 노출입니다.
하지만 조직은 이러한 격차를 정확히 어떻게 해결할 수 있습니까? 결국, 클라우드가 존재하기 이전에도 측면 이동의 위험을 완화하고 이를 실시간으로 방지할 수 있는 보안 솔루션은 없었습니다.
Silverfort 통합 신원 보호 플랫폼: 실시간 측면 이동 차단
Silverfort 최초로 개척했다. 통합 신원 보호 모든 사용자, 시스템 및 환경에서 실시간으로 신원 위협을 방지하기 위해 특별히 설계된 플랫폼입니다. Silverfort 온프레미스 및 클라우드 ID 인프라와 통합하여 지속적인 모니터링, 위험 분석 및 MFA 또는 액세스 차단과 같은 제어 기능을 제공합니다. 인증 및 액세스 시도.
이러한 방식으로, Silverfort 이전에는 보호할 수 없었던 리소스에 대한 신원 보호를 제공할 수 있습니다. 예를 들면 다음과 같은 도구를 통해 명령줄을 통해 워크스테이션 및 서버에 액세스하는 것입니다. PsExec의 또는 원격 PowerShell. 이러한 유형의 액세스는 공격자가 측면 이동을 수행하는 기본 방식이며 기존 MFA 솔루션의 적용 범위를 벗어납니다. Silverfort 첫 번째 솔루션이 가능합니다 MFA가 필요합니다 이러한 유형의 악의적인 액세스를 감지하고 차단합니다.
방법 Silverfort MGM과 유사한 공격 시나리오를 예방할 수 있었음
앞서 언급한 것처럼 공격자가 네트워크에서 측면 이동 공격을 어떻게 수행했는지는 확실하지 않습니다. 하지만 그럴 가능성이 높다 Silverfort 두 가지 방법으로 이러한 위반을 방지할 수 있었습니다.
- Silverfort 측면 움직임을 감지했을 가능성이 높습니다. Active Directory, 공격자가 이를 손상시키기 전에 차단합니다.
- 또한, Silverfort 공격자가 AD에서 Okta로 이동하는 것을 감지하여 Okta 서버의 손상을 방지했을 가능성이 높습니다.
아래 다이어그램은 방법을 보여줍니다. Silverfort의 보호가 있었다면 공격을 초기 단계에서 막을 수 있었을 것입니다.
귀하의 조직에는 하이브리드 환경이 있습니까? 방법에 대해 자세히 알아보세요. Silverfort 위험을 줄이는 데 도움이 될 수 있습니다. 전화 예약 전문가 중 한 명과 함께.