Shadow Admins는 관리자 수준의 권한을 효과적으로 부여하는 중요한 권한을 보유한 관리자가 아닌 사용자입니다. 이러한 권한에는 리소스에 대한 직접 액세스 또는 다른 사용자의 설정을 수정하는 기능(예: 암호 재설정, "모든 속성 쓰기" 권한 얻기 등)이 포함될 수 있습니다. 이 블로그 게시물에서는 두 번째 유형에 중점을 둘 것입니다.
섀도우 관리자 계정이 생성되는 이유는 여러 가지가 있습니다. 사람의 실수, 잘못된 관리, 일시적인 필요 또는 액세스 권한을 얻었고 자신의 존재를 숨기려는 공격자 때문입니다.
섀도우 관리자는 Microsoft를 포함한 거의 모든 ID 공급자(IdP)에 대해 알려진 위험입니다. Active Directory (AD), 마이크로소프트 Entra ID (이전의 Azure AD) 및 Okta 등이 있습니다. 여기서는 AD 내의 섀도우 관리자에 대해 설명합니다.
ID 팀은 관리자 권한을 취소하기 위해 섀도우 관리자 계정을 지속적으로 검색합니다. 그러나 이 프로세스는 특히 조직에 많은 수의 섀도우 관리자가 있는 경우 시간이 오래 걸리고 지루한 경우가 많습니다. 우리 팀과 나는 사용자가 섀도우 관리자가 될 수 있는 일반적인 권한 구성과 이를 식별하고 완화하는 가장 좋은 방법에 대해 궁금했습니다.
이 블로그 게시물에서는 알고리즘 도구와 그래프 이론을 사용하여 조직 내 섀도우 관리자를 표시하고 분석하고 해결하는 새로운 방법을 제시합니다.
섀도우 관리자의 위협 이해
A 사용자 계정 기존 관리자 계정에 대한 강력한 권한이 있는 경우 섀도우 관리자가 됩니다. 마찬가지로 섀도우 관리자보다 강력한 권한을 가진 다른 계정도 섀도우 관리자가 됩니다.
예를 들어 Alice에게 관리자 권한이 있는 일반 계정이 있는 경우 그녀는 섀도우 관리자가 됩니다. Bob이 Alice에 대해 강력한 권한을 얻은 경우 그는 또한 그림자 관리자가 됩니다.
이 권한 체인은 많은 합병증을 유발하며 현실은 많은 섀도우 관리자가 실제로 자신을 관리자로 만드는 방법이 두 가지 이상이라는 것을 보여줍니다. 섀도우 관리자 계정을 까다롭고 위험하게 만드는 것은 이들이 모니터링되거나 감독되지 않으며 이들의 활동이 잠재적으로 감지되지 않을 수 있다는 것입니다.
섀도우 관리자에 대해 자세히 알아보고 조직을 위협하는 방법에 관심이 있으십니까? 이 블로그 게시물 읽기: https://www.silverfort.com/blog/the-hidden-dangers-of-shadow-admins/
따라서 섀도우 관리자의 위험을 해결하려면 시간과 노력이 필요한 과도한 권한을 일부 취소해야 합니다. 따라서 섀도우 관리자가 많은 조직은 최소한의 노력(즉, 조직 권한 변경)으로 최대 섀도우 관리자 수를 해결하는 것을 목표로 하는 것이 이치에 맞습니다.
이를 효율적으로 수행하기 위해 선택한 수정 권한 집합에서 사용자 및 그룹의 권한에 관한 정보를 검색하고 모니터링할 수 있습니다. 그런 다음 로그를 사용하여 권한 체인을 구성하고 조직의 섀도우 관리자에 대한 세부 정보를 얻을 수 있습니다.
섀도우 관리자가 있는 모든 조직에는 사용자와 사용자가 잠재적으로 인수할 수 있는 관리 계정 사이에 연결 경로를 생성하는 여러 권한 체인이 있습니다.
우리가 조직에 대해 설정한 목표는 섀도우 관리자의 많은 부분을 해결하면서 권한을 가능한 한 적게 변경하는 것입니다. 따라서 질문은 다음과 같습니다. 어떤 권한이 있습니까?
따라서 문제를 다시 표현해 보겠습니다. 취소될 경우 최대 섀도우 관리자 수를 완화할 최적의 K 권한 집합을 식별합니다.
이제 이 정의가 있으므로 그래프 이론을 사용하여 문제를 시각적인 문제로 변환할 수 있습니다. 모든 계정 또는 그룹을 그래프의 노드로 표시하고 모든 권한을 이러한 노드 사이의 방향성 에지로 표시하여 이를 수행합니다. 이를 통해 모든 권한 체인을 각각의 권한 및 속성과 함께 단일 그래프에 표시하고 연결할 수 있습니다.
권한 체인에 포함된 정보를 사용하여 조직의 관리자 및 관리 그룹이 누구인지 식별하고 섀도우 관리자의 최종 목표이므로 그래프에 표시할 수 있습니다.
이 단계에서 이러한 그래프는 다음과 같습니다.
다음으로, 문제 설명을 한 번 더 다시 작성할 것입니다. 제거 시 그래프의 나머지 부분에서 가능한 한 많은 섀도우 관리자의 연결을 끊을(예: 완화) K 에지 세트를 찾습니다.
접근 방식 분리
언뜻 보면 다양한 권한 체인을 연결하는 네트워크를 나타내는 DAG(Directed Acyclic Graph)가 보입니다. 그러나 각 엔터티가 다른 엔터티에 대한 권한을 보유할 수 있는 방법뿐만 아니라 그래프 및 연결의 표현에 대해 생각해 봅시다. 어떤 방식으로 우리는 그래프에서 한 노드에서 가장자리의 다른 노드로 "이동하는" 섀도우 관리자를 상상할 수 있습니다. 아마도 한 명 이상의 섀도우 관리자가 그러한 움직임을 할 수 있을 것입니다.
이제 조직의 모든 섀도우 관리자가 레드 노드(관리자)로 이동하기 시작하고 각 경로에서 일정 수의 섀도우 관리자가 최종 목표를 향해 "흐르고" 있다고 상상해 봅시다.
또한 여러 섀도우 관리자가 경로의 단일 노드를 향해 흐르고 있는지 또는 노드가 단일 계정인지는 중요하지 않습니다. 모든 섀도우 관리자가 해당 지점에 도달하면 단일 계정만 경로를 계속할 수 있기 때문입니다.
그건 그렇고, 이것은 액체가 몇 개의 소스 노드에서 몇 개의 대상 노드로 파이프를 통해 흐르는 시스템이 있는 유체 역학의 시나리오인 유명한 "흐름 문제"를 연상시킵니다.
이제 "최소 컷-최대 흐름"이라는 정리로 눈을 돌려 보겠습니다. 이것은 소스 노드에서 대상 노드로 전달되는 시스템의 최대 흐름량이 최소 절단에서 가장자리의 총 가중치와 동일함을 나타냅니다.
다음을 정의합니다.
- 가장자리의 흐름 용량 - 모든 가장자리에는 이를 통과하는 흐름에 대한 상한이 있습니다.
- 흐름 보존 - 노드로 들어오는 흐름은 나가는 흐름과 같아야 합니다.
- 컷 — 네트워크를 두 부분으로 분할하는 노드 분할:
- 컷은 소스 노드와 싱크 노드를 모두 포함할 수 없습니다.
- 컷의 가중치는 나가는 가장자리의 용량 합계와 같습니다.
알고리즘의 목표는 네트워크에서 소스 노드에서 싱크 노드로의 최대 흐름을 찾는 동시에 이들을 분리하는 컷의 용량을 최소화하는 것입니다. 알고리즘은 증가 경로를 더 이상 찾을 수 없을 때까지 소스에서 싱크까지의 경로를 따라 흐름을 반복적으로 증가시킵니다.
이 정리를 사용하여 흐름 문제를 해결하면 제거할 K 에지 세트를 식별하는 것과 동일한 최소 절단 솔루션을 얻을 수 있습니다. 이중성 문제는 시스템을 통해 가능한 최대 흐름이기 때문에 파티션을 최대화하면서 컷의 무게. 알고리즘이 적용될 결과 그래프는 다음과 같습니다.
결과 및 결론
우리의 방법을 30개 이상의 조직 그룹에 적용한 결과, 중앙값이 섀도우 관리자로 식별된 조직당 활성 계정이 약 30개였으며 일부 조직은 그러한 계정을 1,000개나 보유하고 있음을 발견했습니다.
알고리즘을 적용하면 가장자리 집합이 최소한으로 절단되어 제거될 경우 조직의 권한에 대한 변경을 최소화하여 대부분의 섀도우 관리자를 완화할 수 있습니다.
결과는 다음과 같습니다.
평균적으로 우리는 알고리즘의 단일 반복으로 조직의 그림자 관리자의 약 70%를 해결했습니다. 게다가 이를 달성하는 데 필요한 모든 것은 평균적으로 XNUMX개의 권한을 취소하는 것이었습니다!
즉, 최소한의 노력으로 섀도우 관리자를 최대한 완화할 수 있도록 조직에서 취소를 고려해야 하는 정확한 에지(즉, 권한) 세트를 제공할 수 있습니다.
생각을 폐쇄
섀도우 관리자는 종종 간과되는 심각한 위협이며 기존 방법으로는 쉽게 완화되지 않습니다. 도메인 관리자로 연결되는 일련의 권한을 갖는 것이 항상 잘 문서화되어 있는 것은 아닙니다.
우리가 발견한 일반적인 패턴 중 하나는 실제로 사용자가 섀도우 관리자가 되는 방법에는 여러 가지가 있다는 것입니다. 다른 접근 방식은 구현하기가 훨씬 더 간단했지만 이러한 패턴을 해결할 수 없었고 차선의 결과를 반환했습니다.
우리의 솔루션은 IdP 환경에서 주어진 권한을 모니터링하고 최소한의 조치로 섀도우 관리자의 수를 줄이기 위해 해결해야 할 최상의 권한 세트를 동적으로 구축할 수 있습니다.
이와 같은 방법은 사이버 보안 도메인에서 실제 문제를 가져와 솔루션에 도달하기 위해 알려진 알고리즘을 활용하여 시각화함으로써 최소한의 노력으로 해결할 최적의 권한 집합을 정확히 찾아내는 데 도움이 될 수 있습니다.
