Active Directory 서비스 계정: 가장 일반적인 NHI 중 하나와 측면 이동에서 해당 역할에 대해 자세히 살펴봅니다.
NHI(Non-Human Identities)의 보안은 이제 보안 이해관계자의 최우선 관심사입니다. 하지만 정확히 무엇입니까? 인간이 아닌 정체성, 조직의 사이버 보안 상태에 어떤 영향을 미치나요? NHI는 자동화된 작업이나 작업을 수행하기 위해 기계, 애플리케이션 또는 서비스에 자격 증명이 부여되는 경우를 설명하는 데 사용되는 광범위한 용어입니다. NHI에는 API 키, 서비스 계정, 시스템 계정, OAuth 토큰 등 다양한 유형이 있습니다. IT 관리자 Bob이 머신에 매일 서버 백업을 수행하도록 요청하는 스크립트를 작성한다고 가정해 보겠습니다. Bob은 자동 백업을 수행하기 위해 머신 자격 증명과 액세스 권한을 제공하고 있습니다. 이것은 NHI입니다.
오늘의 연구에서는 가장 널리 퍼져 있고 정기적으로 침해되는 유형에 초점을 맞추겠습니다. 국민건강보험: Active Directory 서비스 계정. 대규모 NHI 유형 풀 내에서 서비스 계정 — Microsoft 내에서 기계 간 통신에 사용됩니다. Active Directory의 (AD) 환경이 가장 우려됩니다. 이러한 신원은 인간의 신원보다 잠재적인 손상과 남용에 취약합니다. 실제로 역사적으로 가시성과 보호가 부족하여 더 심각한 위험에 처할 수도 있습니다. 일반적으로 민감한 시스템에 대한 액세스 권한을 갖고 있어 효과적으로 관리자 계정이 됩니다.
우리는 이러한 질문에 답하는 데 도움이 되는 지난 12개월 동안의 데이터를 발견했습니다. 우리는 연구를 통해 AD 서비스 계정의 범위, 침해 노출 및 신뢰도를 분석했습니다. 신원 보안 이를 발견하고 보호할 수 있는 능력이 있는 팀입니다.
NHI(AD 서비스 계정)가 공격자의 가장 친한 친구인 이유
기본적으로 공격자는 다음 서비스 계정을 표적으로 삼습니다. 측면 운동 높은 액세스 권한, 낮은 가시성 및 보호 문제로 인해. 그리고 많은 경우 서비스 계정은 존재조차 모르기 때문에 보안 및 ID 팀의 감시를 받지 않습니다. 위와 동일한 예를 사용하면 IT 관리자 Bob이 서버 백업을 자동화한 후 회사를 떠날 때 자동화된 M2M(Machine-to-Machine) 작업은 눈에 띄지 않고 모니터링되지 않은 채 계속됩니다. 서비스 계정은 여전히 서버와 백업 서버 모두에 액세스할 수 있으므로 악의적인 행위자의 유인 대상이 됩니다.
위반된 서비스 계정과 관련된 위험은 조직의 전체 SaaS 환경도 손상시킬 수 있기 때문에 엄청납니다. 서비스 계정은 AD에서 클라우드 ID 공급자(IdP)로 동기화되지 않아도 ID 팀이 실수로 동기화하는 경우가 매우 일반적입니다. 이러한 계정은 기본적으로 SaaS 리소스에 액세스하는 데 사용할 수 없지만 클라우드 IdP에 대한 관리자 액세스 권한을 얻은 공격자는 해당 계정을 활성화하고 액세스 권한을 할당할 수 있습니다.
샘플 공격 흐름:
- 공격자는 클라우드 IdP 관리 콘솔에 대한 관리자 액세스 권한을 얻습니다.
- 일단 내부로 들어가면 공격자는 동기화된 서비스 계정을 찾을 때까지 검색합니다(명명 규칙은 유용한 가이드입니다).
- 공격자는 선택한 서비스 계정에 대한 액세스 정책을 구성하고 해당 계정에 SaaS 앱에 대한 액세스 권한을 할당합니다.
- 그런 다음 공격자는 서비스 계정을 사용하여 SaaS 환경에 액세스하고 작업합니다.
AD 서비스 계정의 엄청난 양이 놀랍습니다.
서비스 계정은 회사의 AD 내 전체 사용자의 큰 부분을 차지합니다.
평균적으로 AD 내 사용자 중 약 100,000/23,000이 서비스 계정입니다. 대기업에서는 전체 ID에 대한 서비스 계정의 비율이 더 작지만 절대 가치에 있어서 서비스 계정이 더 적다는 의미는 아닙니다. 이를 상황에 맞게 설명하면 AD에 XNUMX명의 사용자가 있는 대기업에는 약 XNUMX개의 활성 서비스 계정이 있을 수 있습니다.
소규모 조직에서는 전체 AD 사용자의 거의 절반이 높은 권한과 액세스 권한을 가진 서비스 계정입니다.
서비스 계정의 침해 노출
약한 인증 프로토콜로 인해 서비스 계정이 취약해집니다.
NTLM은 매우 약함에도 불구하고 여전히 많은 Windows 도메인에 존재합니다. 인증 자격 증명 액세스 및 측면 이동에 취약한 프로토콜입니다. 사실은, 서비스 계정의 46% 더 이상 사용되지 않는 이 프로토콜을 통해 정기적으로 인증하면 보안 침해에 더 많이 노출됩니다.
서비스 계정에 대한 가시성은 기껏해야 불투명합니다.
팀은 서비스 계정의 정확한 인벤토리를 보유하고 있는지 확신하지 못합니다.
인간과 모든 사람에 대한 완벽한 가시성 인간이 아닌 정체성 좋은 신원 보안의 기본입니다. 그러나 Osterman Research의 최근 백서에서는 다음과 같이 밝혔습니다. 조직의 5.7%만이 서비스 계정에 대한 전체 가시성을 갖고 있는 반면, 62%는 부분적인 가시성만 갖고 있습니다.
서비스 계정을 포함한 대부분의 NHI는 MFA로 보호될 수 없으며 활동에 대한 가시성이 부족하여 NHI를 보호할 가능성이 제거됩니다. PAM (PAM) 비밀번호 순환이 가능한 볼트.
서비스 계정 보호에 대한 신뢰도는 최소화됩니다.
서비스 계정 보호는 조직에 심각한 과제입니다.
공격자가 악의적인 액세스를 위해 서비스 계정을 사용하는 것을 방지할 수 있다고 확신하는 조직은 1개 중 5개뿐입니다. 이로 인해 조직의 80%가 산발적이거나 부재한 가시성 및 보안으로 인해 서비스 계정의 오용을 실시간으로 방지할 수 없습니다.
측면 움직임은 계속해서 수비수 측의 가시가 되고 있다.
조직 내에서 측면으로 이동하는 것은 공격자에게 중요한 일이며, 서비스 계정은 공격자의 주요 목표 중 하나입니다. 놀랍게도 조직의 22.4%만이 측면 이동을 중단할 수 있다고 확신했습니다. 손상된 자격 증명 그들의 환경에서.
미래 전망: NHI에는 문제가 있지만 해결책도 있습니다
NHI는 조직의 전체 정체성에서 중요한 부분을 차지합니다. 자동화, 혁신 및 강력한 증폭기인 인공 지능의 속도가 가속화됨에 따라 NHI의 규모는 계속해서 증가할 것입니다. 오늘은 일반적인 조직에서 사용되는 단일 유형의 NHI를 분석했지만, 범위를 확장하고 전 세계 조직에서 정기적으로 사용되는 다른 유형의 NHI에 분석을 적용하면 유사한 결과가 많이 나올 것이라고 상상하는 것은 어렵지 않습니다. 단일 NHI 서비스 계정이 손상되면 공격자가 여러 리소스에 액세스할 수 있으므로 정교하든 그렇지 않든 공격자에게 이상적인 표적이 됩니다. 그리고 전통적인 보안 제어와 같은 표준 보안 제어로 인해 큰 저항에 직면하는 경우는 거의 없습니다. MFA 일반적으로 사람의 신원만 보호할 수 있습니다.
이라는 사실과 결합하여 조직 5개 중 1개만 신원 위협을 방지하는 데 매우 자신감이 있다는 점에서 이는 놀라운 그림을 그립니다.
인간이 아닌 신원을 보호하는 단계
1. 을 위해 노력 최소 특권: 소스, 대상, 프로토콜, 시간 및 기타 요소를 기반으로 가장 세부적인 수준, 특히 권한이 있는 사람이 아닌 계정에 대한 액세스를 제한합니다. 과도한 권한은 조직에 데이터 손실이나 도난과 같은 의도하지 않은 위험을 초래할 수 있을 뿐만 아니라 피싱 공격을 위한 불필요한 대상을 더 많이 생성할 수 있습니다.
2. 귀하의 "정상"을 정의하십시오. 위험을 설정하거나 네트워크에서 비정상적인 활동으로 간주되는 것을 설정하려면 인간과 인간이 아닌 모든 신원에 대해 "정상적인" 행동이 어떤 것인지에 대한 기준을 명확하게 설정하십시오. 이는 행동이 매우 예측 가능하고 반복적인 서비스 계정의 경우 특히 쉬울 것입니다. 물론 이미 NHI에 대한 가시성이 있다고 가정합니다.
3. 비정상적인 활동을 신속하게 파악합니다. 와 더불어 사전에 모니터링하고 경고할 수 있는 올바른 도구가 마련되어 있습니다. 이러한 비정상적인 활동에 대해 팀은 신속하게 대응할 수 있습니다. 이는 추가 편차를 식별하고 방지하는 데 도움이 됩니다. are 네트워크에 침입하려고 시도하면 보안 팀은 공격 범위를 효율적으로 완화하고 억제할 수 있습니다.
4. 비정형 서비스 계정의 액세스 시도를 자동으로 차단합니다. 탐지만으로는 충분하지 않습니다. 또한 손상된 것으로 의심되는 서비스 계정이 대상 리소스에 액세스하지 못하도록 적극적으로 차단할 수 있어야 합니다.
5. 인간의 정체성을 넘어 MFA를 확장하는 도구를 찾아보세요. MFA는 공격자를 저지하는 데 있어 여러 번 입증된 검증된 보안 제어입니다. 한때 보호할 수 없었던 리소스에 MFA를 확장함으로써 마침내 NHI의 경우에도 모든 인증 요청에 대해 "이중 확인"을 수행할 수 있습니다. 방법에 대해 자세히 알아보세요. Silverfort 귀하의 NHI를 보호하는 데 도움이 될 수 있습니다.
보고 방법론
In Silverfort의 신원 지하 보고서, 우리는 고도로 특권적이고 널리 퍼져 있는 문제에 중점을 두고 비인간 신원 문제의 범위를 결정하기 위해 다양한 규모와 업종의 수백 명의 고객에 걸쳐 수십만 개의 데이터 포인트를 조사했습니다. Active Directory 서비스 계정.
또한 Osterman Research와 함께 연구를 수행했는데, 여기에는 637년 2023월~1,000월 동안 ID 역할을 담당하는 XNUMX명의 응답이 포함되었습니다. 자격을 갖추려면 응답자는 직원이 XNUMX명 이상인 조직에서 근무해야 했습니다. 설문조사는 XNUMX개국에서 실시되었으며, 프랑스와 독일의 설문조사는 각각 프랑스어와 독일어로 진행되었습니다. 이번 조사는 산업 전반에 걸쳐 진행되었으며, 제외되거나 제한되는 산업은 없었습니다.
