Microsoft는 최근에 발표 Windows 클라이언트에 대한 NTLM 프로토콜이 더 이상 사용되지 않습니다. 이는 보안 위험으로 인해 NTLM에서 벗어나려는 Microsoft의 권장 사항과 일치하며, NTLM 사용을 유지하면 환경이 더 위험해질 수 있다는 점을 깨우치는 역할을 합니다.
오늘날의 모습과의 놀라운 유사점을 간과할 수 없습니다. NTLM 10년 전 Windows XP의 지원 중단 및 EOL. 두 경우 모두 마이크로소프트는 사용자를 심각한 위험에 노출시키는 레거시이지만 매우 일반적인 인프라에 대한 지원을 중단했습니다.. XP의 경우 악성 원격 코드 실행이 위험이었습니다. NTLM을 사용하면 자격 증명 액세스 이후 측면 운동 랜섬 확산.
이 블로그에서는 NTLM이 오늘날 조직에 도입하는 잠재적인 ID 위협에 대한 요약을 제공하고 환경의 탄력성을 유지하기 위한 완화 계획을 간략하게 설명합니다.
NTLM이 살아있고 활발하다는 것을 알고 계셨나요?
NTLM이 '안전하지 않다'는 것은 상식이지만 프로덕션 환경에서는 여전히 많이 사용되고 있습니다. 그만큼 신원 지하 보고서, 2024년 XNUMX월에 출판된, 사용자, 관리자 및 서비스 계정의 놀라운 비율은 여전히 리소스 액세스에 NTLM을 사용합니다.:
의 64의 % 사용자 계정 리소스 액세스를 위해 정기적으로 NTLM을 사용합니다.
관리자 사용자의 37%가 정기적으로 리소스 액세스를 위해 NTLM을 사용합니다.
의 46의 % 서비스 계정 리소스 액세스를 위해 정기적으로 NTLM을 사용합니다.
NTLM이 대규모 랜섬웨어 확산을 가능하게 할 수 있다는 것을 알고 계셨습니까?
그러나 높은 NTLM 사용으로 인한 실제 위험은 무엇입니까?
NTLM 보안 문제는 암호 대신 해시를 사용하는 방식에서 비롯됩니다. 이렇게 하면 일반 텍스트 비밀번호를 유선으로 전송할 필요가 없어 좋습니다. 그러나 공격자는 이 메커니즘을 남용하여 NTLM 해시 자체를 악의적인 리소스 액세스에 해당하는 암호로 사용할 수 있습니다.
이 NTLM 남용을 매핑해 보겠습니다. MITRA ATT&CK 프레임워크 용어:
- 자격 증명 액세스: 공격자는 사용 가능한 다양한 도구를 사용하여 시스템 메모리의 저장소에서 또는 시스템 간 네트워크를 통과하는 동안 NTLM을 추출할 수 있습니다.
- 측면 운동: 해시 손상 이후 공격자는 해시 자체를 사용하거나 오프라인으로 해독하여 일반 텍스트 비밀번호를 얻을 수 있습니다. 전자의 경우 Pass-the-Hash 또는 NTLM 릴레이와 같은 기술을 사용합니다. 후자의 경우 악의적인 액세스를 위해 새로 얻은 비밀번호를 사용합니다.
의 조합 자격 증명 액세스 측면 이동은 최근 몇 년간 조직이 경험한 모든 세간의 이목을 끄는 랜섬웨어 공격의 이면에 있는 X 요소입니다.
아는 것이 힘입니다: NTLM 위험 노출을 이해하고 해결하려면 다음 질문을 하십시오.
질문을 통해 환경의 NTLM 노출 및 완화 기능에 대한 통찰력을 얻으십시오. 신원 보안 다음 질문을 팀으로 묶어보세요.
우리 환경에서 실제 NTLM 사용에 대한 가시성이 있습니까?
이 질문은 모든 사용자, 관리자, 서비스 계정 및 NTLM이 사용되는 리소스 전반에 걸쳐 NTLM 노출 범위에 중점을 둡니다. 대답은 위에 표시된 것과 같이 백분율로 정량화되어야 합니다.
NTLM 사용을 현재 위치로 제한할 수 있나요? 절대적으로 필요한?
다음 단계는 NTLM 사용을 최소화하기 위해 무엇을 할 수 있는지 확인하는 것입니다. 이 질문에 대한 대답은 NTLM 사용 중 제거할 수 없는 부분(레거시 앱이 가장 일반적인 예)과 운영 중단 없이 제거할 수 있는 부분을 표시해야 합니다.
NTLM이 촉진하는 측면 이동을 실시간으로 차단할 수 있나요?
여기서는 위반이 이미 발생했다고 가정해야 합니다. NTLM이 적용되면 공격자가 암호를 손상시키고 악의적인 액세스를 시도할 가능성이 높습니다. 이 질문에 대한 대답에는 NTLM 관련을 사용하여 악의적인 액세스 시도를 감지하고 차단할 수 있는 보안 제어가 나열되어야 합니다. 손상된 자격 증명.
결론: NTLM 위험을 완화하기 위해 확인하고, 알고, 조치를 취하세요.
Windows XP와 마찬가지로 사전 대처는 NTLM으로 인한 위험을 완화하는 최선의 접근 방식입니다. 위의 세 가지 질문은 사전 예방적 완화 전략에 대한 개요입니다. 따라서 ID 및 보안 팀이 이에 대한 확실한 답변을 제공할 수 있습니까? 물론 이는 현재 보유하고 있는 ID 및 보안 솔루션에 따라 달라집니다. 답변을 찾을 수 없거나 고객이 만족하지 못하는 경우 도움이 될 수 있는 솔루션을 찾기 위한 즉각적인 조치가 필요합니다. 그보다 짧으면 노출될 수 있습니다.
XP와 조직이 매일 경험하는 다양한 공격을 기억하십니까? 그 문제는 저절로 사라지지 않았습니다. NTLM도 다르지 않습니다.
