간격을 조심하십시오! 조직에서 ID 위협으로부터 보호할 책임이 있는 사람은 누구입니까?

신원 위협(예: 대상 리소스에 대한 악의적인 액세스를 위해 손상된 자격 증명 사용)은 오늘날의 위협 환경에서 지배적인 요소가 되었습니다. 또한 이들은 조직이 가장 보호하기 어려운 위협입니다. 측면 운동 랜섬웨어가 확산되어 일상적으로 광범위한 피해를 야기합니다. 그러나 대부분의 조직에는 실제로 이러한 공격을 방지할 책임이 있는 사람과 관련하여 격차가 있습니다. 그리고 이러한 격차는 조직이 ID 위협에 대해 우위를 점하기 위해 고군분투하는 근본적인 이유 중 하나입니다.

이 게시물에서는 모든 사이버 보안 전문가가 조직에 이 격차가 얼마나 존재하고 어떻게 해결할 수 있는지 반성하도록 유도하기 위해 샘플 사용 사례를 검토하여 이 격차에 대해 논의할 것입니다.

ID 팀은 사이버 공격을 방지할 책임이 없습니다.

잭을 만나보세요. Jack은 ID 및 액세스 관리(IAM) 그의 회사에서 엔지니어. Jack의 역할 중 일부는 다단계 인증을 구현하는 것입니다(MFA) 사용자의 액세스를 보호합니다. 완벽한 전문가인 Jack은 다음을 평가, 구매 및 배포합니다. MFA 솔루션 회사의 모든 SaaS 및 웹 앱, 온프레미스 환경에 대한 원격 VPN 액세스 및 내부 RDP(원격 데스크톱 프로토콜) 액세스.

그러나 왜냐하면 RDP용 MFA 환경의 각 서버에 에이전트를 설치해야 하는 경우 여러 비즈니스 크리티컬 앱을 지원하는 특정 이전 서버 그룹에 배포하지 않기로 결정했습니다. 여기서 우려되는 점은 MFA 에이전트의 추가 로드가 이러한 서버를 충돌시켜 용납할 수 없는 가동 중지 시간이 발생한다는 것입니다. 따라서 이러한 고려 사항을 고려할 때 프로젝트는 성공적인 것으로 간주됩니다.

보안 팀은 ID 보호 제품을 평가하고 배포할 책임이 없습니다.

이제 회사 보안팀의 SOC(보안 운영 센터) 관리자인 Jill을 만나보세요. 그녀의 KPI는 사이버 공격을 예방, 탐지, 대응하는 것입니다. 질은 그것을 알고 있다 랜섬 기업 환경 전체에 확산되는 공격은 심각한 위협입니다. 공격자는 손상된 사용자 자격 증명을 사용하여 가능한 한 많은 시스템에 로그인함으로써 이러한 확산을 수행합니다. 이를 방지하기 위해 Jill의 팀은 경고에 대응하고 그러한 확산이 발생하고 있음을 나타낼 수 있는 비정상적인 사용자 액세스를 사전에 찾는 데 상당한 노력을 기울입니다.

그러나 Jill과 그녀의 팀 구성원 중 어느 누구도 현재 기업 환경 전반에 배치되어 있는 MFA 솔루션의 평가, 테스트 및 롤아웃에 관여하지 않았습니다. 그녀의 초점은 사이버 공격에 있기 때문에 MFA 프로젝트가 성공적으로 완료되었다는 소식을 듣고 그녀의 유일한 반응은 행복합니다.

결과: 신원 위협을 포함하는 사이버 공격은 거의 방어되지 않습니다.

어느 날 랜섬웨어가 닥쳤습니다. 적들은 조직의 앱 서버가 인질을 잡기에 가장 좋은 표적임을 깨닫습니다. 이러한 서버를 제어하고 데이터를 암호화하기 위해 그들은 손상된 사용자의 자격 증명을 사용하여 RDP를 통해 로그인을 시도합니다. 그리고 이러한 서버에는 MFA가 없으므로 시도가 성공합니다. 이제 공격자는 완전한 통제권을 갖고 조직에 랜섬웨어를 요구할 수 있습니다.

우리의 이야기를 남기고 여기서 일어난 일을 생각해 봅시다.

교훈: 아무도 위험을 소유하지 않을 때 위험이 당신을 소유합니다.

그렇다면 헌신적이고 유능한 ID 및 보안 팀이 있음에도 불구하고 무엇이 이러한 위반을 가능하게 했습니까? 대답은 Jack과 Jill이 조직에서 할당된 역할을 어떻게 인식하는지에 있습니다.

Jack은 랜섬웨어 확산 방지가 아니라 MFA 솔루션 배포를 담당했습니다.. 그의 관점에서 MFA 보호가 없는 서버는 보안 위험으로 간주되지 않고 대신 프로젝트의 전체 MFA 적용 비율에서 누락된 비율로 간주되었습니다. 그리고 90%의 커버리지율은 이전의 0%보다 훨씬 좋습니다. 최선을 다했고 결과가 완벽하지는 않았지만 충분히 좋았습니다.

반면 Jill은 MFA 프로젝트에 전혀 참여하지 않았습니다. SIEM 또는 EDR과 달리 MFA는 보안 제품이 아니라 ID 팀의 초점으로 간주됩니다. Jill이 MFA 토론에 참여했다면 앱 서버가 노출되고 이를 업그레이드하도록 푸시되어 이러한 서버가 완전히 보호되기 전에는 MFA 프로젝트가 완료된 것으로 간주되지 않는다는 사실을 발견했을 수 있습니다.

그래서 Jack이 위반에 대한 책임이 있습니까? 이것은 결코 그의 책임이 아니었기 때문입니다. 그것은 Jill이 부분적인 MFA 보장에 책임이 있다는 것을 의미합니까? 실제로는 MFA가 그녀의 관할권에 포함된 적이 없기 때문입니다.

이것이 바로 우리가 말하는 책임의 격차입니다.

귀하의 환경에 책임 격차가 존재할 수 있습니까?

이 이야기는 상태의 좋은 예입니다. 신원 보호 오늘. 이 책임성 격차가 어떻게 발생했으며 ID 보호 내에서만 발견되는 이유(엔드포인트 또는 네트워크 보호와 달리)는 별도로 논의할 가치가 있습니다. 더 중요한 것은 유사한 시나리오가 귀하의 환경에서 발생할 수 있는지 묻는 것입니다.

다음은 스스로에게 물어봐야 할 몇 가지 주요 질문입니다.

• SecOps 팀이 MFA 및 WFP?
• CISO가 IAM 인프라의 설계 및 구현에 대해 발언권이 있습니까?
• ID 팀이 평가하고 배포하는 솔루션이 실제로 전체 조직을 위험에 빠뜨릴 수 있는 공격에 대한 최후의 방어선이라는 사실을 알고 있습니까?

그리고 가장 중요한 질문: 신원 위협을 방지할 책임과 이를 달성하기 위해 시행해야 하는 보안 조치를 결정할 수 있는 권한과 지식을 모두 가진 이해 관계자가 조직에 한 명 있습니까? 이것은 책임의 격차를 해결한 후에 신원 보호가 완료될 것이라는 말은 아닙니다. 확실히 거기에 도달하기 전에 극복해야 할 다른 도전이 있습니다. 그러나 이러한 보호를 가능하게 하기 위해 취해야 할 필수적인 첫 번째 단계입니다. 궁극적으로 책임자가 ID 측면에서 오든 보안 팀에서 오든 상관 없습니다. 조직에 명확한 소유자가 있는 한 ID 위협에 대한 우위를 점하는 초기 이정표가 달성될 것입니다.