전통적인 도메인 가입 세계 Active Directory (AD) 폭발과 충돌했다 클라우드 서비스, SaaS 앱, 비인간적 정체성 (국민건강보험공단), 그리고 자율성 AI 에이전트, 광대하지만 종종 보이지 않는 공격 표면을 생성합니다.
이전에는 Kerberos 티켓으로 잘 패치된 성이었던 곳이 이제는 토큰 확산, 과도하게 프로비저닝된 서비스 계정, 그리고 AI 기반 정글로 변했습니다. 측면 운동 기계 속도로.
하지만 진실은, "정체성"을 구성하는 요소가 끊임없이 진화하고 있음에도 불구하고, 많은 조직들은 2000년대 초부터 존재해 온 근본적인 문제들과 여전히 씨름하고 있다는 것입니다. 맞습니다. 제가 말하는 것은 바로 레거시입니다. Active Directory.
CISO가 C-Suite의 나머지 구성원과 안전한 AI 도입에 대한 대화를 진행하는 동안 CIO와 IAM 각 팀은 조용히 배경에서 작업을 계속했습니다. 회사를 지탱하는 인프라의 종류와 관계없이 존재하는 비즈니스 요구 사항과 협업 기능을 지원하는 방법에 집중했습니다.
IAM != ID 보안
오늘날 IAM이 작동하는 방식이 신원과 관련된 보안을 구축하는 가장 좋은(또는 유일한) 접근 방식이라는 오해가 널리 퍼져 있으며, 지금은 CIO와 CISO가 같은 생각을 가져야 할 때입니다.
액세스 권한을 제공한다고 해서 액세스로 인해 발생하는 위험을 통제하는 것은 아닙니다. 바로 이 부분에서 신원과 보안이 충돌하며, 다음과 같은 의문이 제기됩니다. “안녕하세요 CISO님, CIO와 잘 지내시나요? Active Directory AI 시대의 전략은 무엇인가?”
예를 들어 보겠습니다. IAM 팀이 온프레미스 AD를 동기화합니까? Entra ID? 마케팅 부서의 Jane Doe는 이제 비밀번호를 변경합니다. 게다가 온프레미스에 저장되는 것이 아니라 클라우드에 복제되어 저장되었습니다. 온프레미스와 클라우드의 데이터 처리 및 보안 방식이 다르기 때문에 인프라 팀은 본래 해야 할 업무를 수행하면서 조직의 공격 범위를 확장했습니다.
이 게시물의 나머지 부분에서는 신원 위험의 진화와 특정 위험의 원인을 살펴보겠습니다. 신원 보안 전략은 IT 팀과 보안 팀 간의 협력적인 노력이 되어야 하며, 규정 준수를 유지하면서 공유 목표를 수립하기 위한 실행 가능한 조치를 취하는 방법을 알아야 합니다.
ID는 이제 #1 공격 표면입니다.
Active Directory AI를 염두에 두고 설계된 적이 없습니다. 중앙 집중식 신뢰 시스템인 Kerberos를 사용했고, 인증, 그리고 그룹 정책은 경계가 제한되어 쉽게 정의할 수 있었습니다. 신원은 대부분 사람이었고 권한 에스컬레이션 예측 가능한 측면 경로(예: 해시 전달)를 따랐습니다. 보안은 GPO 강화, Tier 0 네트워크, 골든 티켓 방어라는 명확한 모델을 따랐습니다.
그런데 와서 클라우드 및 하이브리드 전환...
경계가 사라졌습니다. 조직이 비즈니스에 중요한 애플리케이션과 규정 준수를 위해 온프레미스 AD를 계속 유지하면서 ID를 확장함에 따라 하이브리드가 표준이 되었습니다. Entra ID or OktaSaaS 애플리케이션을 쉽게 구할 수 있게 되면서 섀도우 IT가 그 어느 때보다 널리 퍼졌고, 많은 신원이 이제 SOC의 시야 밖에서 확산되고 있습니다.
빨리감기 인간이 아닌 정체성 그리고 에이전트 AI. NHI는 이제 서비스 계정과 API 키를 좋아합니다. 인간의 정체성보다 적어도 50:1로 더 많다AI 에이전트는 파일, 금융 시스템, 캘린더, 코드베이스에 대한 액세스 권한을 부여받고 새로운 토큰, 자격 증명, 로그를 남깁니다.
최종 결과는 어떨까요? 이제 AD는 분리되고 과도한 권한이 부여된 시스템들의 허브에서 하나의 스포크에 불과합니다. 신원 위험은 이제 동적이므로 정적인 역할 기반 모델에 의존할 수 없습니다. SolarWinds와 같은 보안 침해는 페더레이션된 신원 및 SAML 토큰 위조를 악용하여 신원이 종종 영구적이고, 과도한 권한이 부여되며, 제대로 관리되지 않는다는 사실을 드러냅니다.
"ID"를 순수한 액세스 관리로 접근하는 대신 지속적인 보안 평가가 필요합니다.
"귀하의 AD는 이제 연결이 끊기고 권한이 과도하게 부여된 시스템 허브의 한 스포크일 뿐입니다." -에릭 홀러, 고문
위험 환경에서는 무엇이 바뀌었나요?
AI와 디지털 혁신으로 인해 ID 활용 방식이 변화하고 있습니다. 클라우드를 통해 통합되고, AI를 통해 가장되기 때문에 가시성 확보 및 제어권 확보 문제는 더욱 어려워집니다. 이러한 환경은 의사소통과 전략도 바뀌어야 합니다인프라 프로비저닝을 담당하는 IAM 팀은 인프라 보안을 담당하는 보안 팀과 긴밀히 협력해야 하며, 그 반대의 경우도 마찬가지입니다. 더 이상 중간자란 없습니다.
이 새로운 현실로 인해 공유해야 할 북극성 목표는 다음과 같습니다.
- 신원 인벤토리를 유지하세요
- 사용 최소 권한의 원칙
- ID 우선 관점에서 시스템 구성
북극성 목표 설정 및 해당 작업 항목에 대한 지침
이러한 북극성 목표가 어떤 모습인지, 그리고 왜 중요한지 구체적으로 알아보겠습니다.
1단계: 존재하는 정체성을 알고 분류합니다.
Gartner는 이것을 "ID 인벤토리 및 가시성 및 인텔리전스 플랫폼(IVIP)”라고 말하지만, 이는 ID 팀과 보안 팀 모두 어떤 ID가 존재하는지, 어떤 유형의 ID인지, 그리고 해당 ID가 주변 시스템과 어떻게 상호 작용하는지 명확하게 설명할 수 있어야 한다는 것을 다소 과장되게 표현한 것일 뿐입니다. 실제 예로, ID 팀이 SharePoint의 특정 폴더에 대한 액세스 권한을 프로비저닝하고 보안 팀이 해당 ID의 존재 여부와 권한을 파악하는 경우가 있습니다. 보안 모범 사례에 대한 지식을 바탕으로 보안 관리자는 조직 내 ID 액세스의 전체 상황을 파악한 후 최소 권한 권장 사항을 제공할 수 있습니다. 보안 리더는 또한 의도된 프로비저닝 범위를 넘어 계정에 어떤 다른 격차가 있는지 또는 어떤 다른 액세스 권한이 있는지에 대한 핵심 맥락을 제공할 수 있습니다. 이는 특히 조직 내 ID 수가 계속 증가함에 따라 일반적으로 간과되는 검증 및 위험 평가 기회를 제공합니다. 다시 말하지만, 이는 우리가 뭐 정체성이 존재한다 하이브리드 환경 전체에서의 관계.
2단계: 모든 특권 ID를 우선시합니다(PAM이 알고 있는 ID뿐만 아니라)
귀하의 조직에서는 다음을 사용할 가능성이 있습니다. PAM (PAM) 솔루션. 그 문제는 PAM입니다 시스템에 있는 ID만큼만 유효합니다. 모든 ID를 식별하고 계층화하는 것이 중요합니다. 특권 계정 실제 인증 활동을 기반으로 합니다. 이를 통해 전체 환경의 위험을 매핑하고 보안 팀이 JIT(Just-in-Time) 액세스 제어를 구현할 수 있도록 지원합니다. IAM 팀은 각 권한 있는 ID에 대한 추가적인 맥락을 제공하고 강력한 소유권 및 문서화를 보장함으로써 이를 지원할 수 있습니다. 또 다른 이점은 공유되는 세부 정보의 수준을 기반으로 더욱 강력한 SOC 경보 엔지니어링 전략을 수립할 수 있다는 것입니다.
3단계: 기본 보안 위생 강화
보안이 강화된 환경은 관리와 프로비저닝도 더 쉽습니다. 예를 들어, 6개월 전에 퇴사한 운영팀 계약직 직원은 아직 시스템에 남아 있습니다. 지속적인 모니터링은 기존 시스템을 "정리"하는 데 도움이 됩니다. why 전체 ID 인벤토리에서 보안 팀이 ID를 축소하는 것을 더 쉽게 만들어줍니다. 공격 표면 그리고 ID 팀은 사용 중인 시스템과 애플리케이션을 관리합니다. 한 걸음 더 나아가 두 부서는 협력하여 위험 기반 조건부 액세스 정책을 수립하고 범위를 격리하여 비정상 활동을 감지하는 SIEM/SOAR 파이프라인과의 시너지 효과를 더욱 효율적으로 개선합니다. 이는 IAM 팀과 보안 팀 간의 공동 성과를 확립하는 데 있어 가장 중요한 고려 사항 중 하나입니다. CIO와 CISO가 협력하면 계약업체의 접근 차단과 같은 자동화된 예방 전략을 악용 사례 발생 전에 구축할 수 있습니다.
공유된 목표를 바탕으로 작업할 수 있는 실행 가능한 행동 계획
북극성을 구축한 후에는 CIO, CISO, 그리고 각 부서의 IAM 및 보안 팀이 한자리에 모여 서로 소통할 차례입니다. 함께 논의할 주제는 다음과 같습니다. a) 측정 가능한 성과를 확인하고 b) 해소해야 할 소통 및 프로젝트 격차를 파악합니다.
- 지도를 만드세요 왕관 보석 시스템 그리고 누가 (또는 무엇이) 그것에 접근하는지
- 식별하다 가장 위험한 신원 10가지 특권, 사용 및 확산에 따라
- 개발 SOAR 플레이북 잠재적 액세스 종료(또는 이와 유사한 것)와 같은 주요 ID 수명 주기 이벤트를 모니터링합니다.
- 파트너 경보 엔지니어링(및 강화/컨텍스트 흐름) 계정 남용에 대한 SOC 가시성을 개선하려면 이를 통해 의도된 사용자에 대한 IAM의 지식(실제 사용자에 대한 보안 관점 대비)을 활용하여 보호 기능을 개선합니다.
- 세우다 의사소통 과정 감지되지 않은 사고(보안)와 제어 실패(IT)로 인해 발생한 사고가 제어 개선(IAM) 및 보안 적용 범위를 위한 문을 여는 경우
- 사용 시작 행동 기반 MFA, 신원 우선 위협 탐지 및 세분화된 로깅
신원을 제어하면 킬 체인을 제어할 수 있습니다.
자동화와 AI가 발달한 세상에서 Active Directory 여전히 비즈니스 연속성과 생산성을 유지합니다. 신원은 새로운 종착점이다새로운 경계, 그리고 왕국으로 가는 새로운 열쇠. 보이지 않는다면, 세분화하고, 안전하게 보호하세요. 이는 IAM과 보안이 공통된 행동과 목표를 바탕으로 작동해야 가능한 업적입니다. 하지만 이미 실패한 것입니다.
차세대 ID 방어에 대해 진지하게 생각해 보세요. 다음 침해는 무차별 대입 공격이 아닐 테니까요. 오래된 API 키를 사용하는 자율 AI 에이전트가 될 것입니다..
IAM과 보안 팀 간의 공유 결과 및 프로젝트 구축을 시작하려면 먼저 당신의 정체성 인벤토리를 구축하세요 주변 환경에서 실제로 무슨 일이 일어나고 있는지 밝히기 위해서입니다.