검색

지원하는 언어

Silverfort MFA로 횡적 이동에 대한 보호를 혁신합니다 – SolarWinds 공격에 대한 반영

12월 24th, 2020

» 블로그 » Silverfort MFA로 횡적 이동에 대한 보호를 혁신합니다 – SolarWinds 공격에 대한 반영

*****Yiftach Keshet, 제품 마케팅 이사, Silverfort *****

MFA는 계정 도용의 99.9%를 방지합니다. 그러나 이 매우 효율적인 보안 조치는 현재 핵심 엔터프라이즈 리소스, 무엇보다도 온프레미스 엔드포인트 및 서버에 적용할 수 없음. 최근 SolarWinds 공격 횡적 이동에 대한 보호가 오늘날의 보안 스택에서 가장 약한 부분 중 하나임을 다시 한 번 보여줍니다. Silverfort 온프레미스 환경에서 엔드포인트와 서버의 액세스에 MFA를 도입하여 횡적 이동에 대한 보호를 혁신하고 기존 측면 이동 기술 SolarWinds 위협 행위자가 사용하는 것과 같은 것입니다.

차례

  • SolarWinds 공격의 측면 이동 개요
  • 측면 이동 보호 기능이 손상됨
  • 측면 이동에 대해 MFA를 사용할 수 없음
  • 하지만 만약에...?
  • 횡적 이동에 대비하여 온프레미스 환경을 무장하십시오. Silverfort 
  • 최종 생각

    • SolarWinds 공격의 측면 이동 개요

    XNUMXD덴탈의 측면 운동 SolarWinds 공격의 일부는 잘 알려진 패턴을 따랐습니다. 초기 손상 후 공격자는 자격 증명 사냥을 시작했고 결국 관리자 자격 증명을 획득하고 실제 대상(이 경우 ADFS 서버)에 로그인하는 것으로 끝났습니다. 경로를 따라 다양한 시스템에 대한 로그온은 분명히 원격 액세스 명령줄 도구를 사용하여 수행되었습니다(PSexec, 파워쉘 등).

    측면 이동 보호 기능이 손상됨

    SolarWinds 공격의 초기 액세스 부분은 극도의 혁신, 정교함 및 창의성을 특징으로 한다는 점을 언급할 가치가 있습니다. 측면 이동 부분의 경우는 그렇지 않습니다. 그러나 효과가 덜하지는 않았습니다.

    슬픈 사실은 측면 이동 기술 그리고 전술은 XNUMX년 전과 크게 달라지지 않았습니다. 단순히 그럴 필요가 없었기 때문입니다. 공격자의 관점에서 볼 때 잘 작동하는 것을 변경할 필요가 없습니다. 불행히도 이 경우에는 그들이 옳습니다. 기업의 보안 스택은 횡적 이동에 대해 반복적으로 실패합니다.

    이는 본질적으로 횡적 이동이 유효한(손상된) 자격 증명이 있는 시스템에 로그인하는 것에 지나지 않기 때문입니다. 엔드포인트에 직접 배치하든 네트워크 트래픽을 모니터링하든 기존 보안 제어는 기껏해야 검색 비정상적인 로그인이 발생했음을 알리고 경고합니다. 그러나 그들은 실제로 실시간으로 아무것도 할 수 없습니다. 예방 실제로 발생하는 로그인 – 대부분의 경우 너무 늦을 것입니다.

    측면 이동을 방지하는 핵심은 방금 말한 내용의 실제 의미를 이해하는 것입니다. 횡적 이동은 유효한 자격 증명을 사용하여 시스템에 로그인하는 것에 지나지 않습니다.. 즉, 우리가 완화해야 하는 보안되지 않은 인증이며 위협 행위자가 유효한 자격 증명을 사용하여 엔터프라이즈 리소스에 액세스하려고 시도하는 시나리오를 저지하기 위한 특수 목적 기술인 다단계 인증이 있습니다.

    측면 이동에 대해 MFA를 사용할 수 없음

    보안 실무자들 사이에서 몇 안 되는 합의점 중 하나는 MFA가 제공하는 막대한 가치입니다. 마이크로소프트에 따르면, MFA 구축으로 계정 도용의 99.9% 방지. 그러나, 그 Active Directory 횡적 이동의 주요 대상인 기반 엔드포인트 및 서버는 MFA가 제공하는 보호에서 제외됩니다.

    현재 공격자가 시스템 간에 수평 이동하는 데 사용하는 원격 액세스 명령줄 도구에서 MFA를 시행할 수 있는 기술은 없습니다. MFA는 악의적인 로그인을 방지하는 가장 효과적이고 검증된 기술입니다. 온프레미스 환경에서 로그인이 없기 때문에 최신 SolarWinds 공격을 포함하여 수많은 APT에서 본 것처럼 측면 이동이 번성할 수 있습니다.

    하지만 만약에...?

    그러나, MFA는 공격자에 대한 판세를 쉽게 뒤집을 수 있습니다.. MFA가 설치된 상태에서 공격자가 새 컴퓨터에 로그인 자격 증명을 제공하면 이 자격 증명이 속한 실제 사용자 휴대폰이나 데스크톱으로 알림을 받습니다. 알림은 시스템에 대한 액세스 허용 또는 거부 여부를 묻고 실제 사용자가 이 로그인 시도를 수행하지 않았기 때문에 요청이 궁극적으로 거부되며 공격자는 시스템에 액세스할 수 없습니다.

    횡적 이동에 대비하여 온프레미스 환경을 무장하십시오. Silverfort 

    Silverfort 통합 인증 신원 보호 플랫폼(UIPP)은 리소스 및 액세스 방법을 포함하여 모든 엔터프라이즈 리소스에서 MFA 확장을 개척합니다. Silverfort 시행령을 최초로 도입한 MFA 원격 명령줄 도구를 통한 온프레미스 엔드포인트 및 서버 액세스에 대한 액세스 정책.

    도메인 관리자가 원격 액세스 명령줄 도구를 사용하여 로그인할 때마다 MFA 확인을 요구하는 간단한 정책은 모든 측면 이동의 성공률을 근본적으로 감소시킵니다. 이는 공격자가 관리자의 자격 증명에 손을 대는 SolarWinds 공격 시나리오에도 적용됩니다. 실제로 공격자들은 있다 자격 증명을 사용하여 실제 작업을 수행할 수 없습니다. 로그인 그들이 목표로 하는 자원에.

    최종 생각

    그동안 온프레미스 환경에서 MFA가 없는 것이 왜 당연하게 여겨졌습니까? 이러한 부재는 일반적인 사고 방식에 깊이 뿌리박고 있기 때문에 대부분의 모든 보안 실무자, 실무자 및 경영진은 이를 보안 격차로 간주하지 않고 오히려 우리가 함께 살아야 하는 현실로 간주합니다. Silverfort 이 현실을 바꾸기 위해 여기에 있습니다.

    자세히 알아보기 Silverfort 여기에서 지금 확인해 보세요.

    데모 준비가 되셨습니까?
    오늘 등록하십시오.

    최근 게시물

    오월 6일 (2024년)

    MITM을 사용하여 FIDO2 피싱 방지 보호 우회

    , 2을 2024nd 수 있습니다

    Silverfort RSA 2024에서 연구 공개: MITM을 사용하여 SSO에 대한 최신 인증 방법 우회

    사월 24 일 (2024 년)

    AD 위생을 강화하는 5가지 방법 Silverfort  

    26년 2024월 XNUMX일

    Identity Underground 보고서: 가장 중요한 ID 보안 격차에 대한 심층적인 통찰력  
    더보기

    Follow Us

    인증 공격 막기