레거시 애플리케이션의 MFA 사각지대

지난 몇 년 동안 모든 리소스를 클라우드로 이동하려는 움직임이 급증했음에도 불구하고 레거시 온프레미스 애플리케이션의 사용은 사라지지 않습니다. 일반적인 기업에서 이러한 애플리케이션은 금융, 제조, 제조 등 거의 모든 분야에서 일상적인 운영 프로세스를 지원합니다. 건강 관리 그리고 환대.

레거시 애플리케이션은 조직이 기능하는 데 필수적이지만 보안 위험을 초래합니다. 가장 눈에 띄는 것 중 하나는 정체성에 있습니다. 공격 표면, 레거시 애플리케이션은 일반적으로 MFA 보호를 지원하지 않기 때문입니다. 이로 인해 레거시 애플리케이션은 조직 보안 아키텍처의 사각지대가 되어 손상된 사용자 자격 증명을 획득하는 모든 위협 행위자에게 민감한 데이터가 노출됩니다.

이 게시물에서는 레거시 애플리케이션의 ID 보안 의미와 이러한 애플리케이션으로 MFA 사각지대를 해결하는 방법을 살펴봅니다.

레거시 애플리케이션이란 무엇입니까?

일반적인 조직은 다양한 유형의 애플리케이션을 사용하여 일상적인 작업을 실행합니다. 이러한 응용 프로그램의 상당 부분은 '레거시'로 알려져 있으며, 이전 기술을 기반으로 하지만 여전히 조직 운영의 일부입니다. 대부분의 경우 이러한 애플리케이션을 클라우드로 마이그레이션하는 운영 오버헤드와 비용이 너무 높아 영구적인 온프레미스 리소스가 됩니다. 또한 오늘날의 보안 제어 및 모범 사례에 맞게 설계되지 않았기 때문에 다양한 보안 문제가 발생합니다.

에서 신원 보호 측면에서 레거시 애플리케이션은 MFA 보호를 지원하지 않으므로 공격 시 손상된 자격 증명을 사용하는 위협 행위자에게 노출됩니다. 이러한 MFA 격차는 조직의 보안 아키텍처에 사각지대를 만들어 이러한 앱의 중요한 데이터와 들어오는 공격으로부터 이에 의존하는 운영 연속성을 효율적으로 보호하지 못하게 합니다. 이러한 위험은 이제 레거시 애플리케이션에 대한 포괄적인 MFA 보호의 필요성에 대한 보안 이해 관계자의 관심을 점점 더 끌고 있습니다.  

레거시 애플리케이션을 MFA로 보호할 수 없는 이유는 무엇입니까?

레거시 애플리케이션은 오래 전에 개발되었습니다. MFA 기술 널리 사용 가능하므로 기본 인증 프로세스에서 구현을 기본적으로 지원하지 않습니다. MFA를 레거시 애플리케이션에 통합하려면 조직은 운영 연속성에 마찰을 일으킬 수 있는 애플리케이션 코드를 변경해야 합니다. 따라서 대부분의 조직에서 실행 가능한 옵션으로 간주되지 않습니다.

또한 레거시 애플리케이션은 일반적으로 다음을 인증합니다. Active Directory NTLM을 통해 Kerberos SaaS 및 웹 애플리케이션에서 사용하는 최신 인증 프로토콜과 달리 MFA도 지원하지 않는 프로토콜입니다. 이로 인해 실제 MFA 보호 옵션이 없는 레거시 애플리케이션이 남게 됩니다.

레거시 앱에 대한 MFA 부족으로 조직이 데이터 손실 및 운영 중단에 노출

MFA는 위협 행위자가 손상된 자격 증명을 악의적인 액세스에 사용하지 못하도록 차단하는 가장 효과적인 보안 조치입니다. Microsoft에 따르면, MFA는 계정 침해 공격을 99.9% 이상 차단할 수 있습니다. 이러한 유형의 공격이 급격히 증가하고 있습니다. 이는 데이터 유출의 82%에서 나타나며 랜섬 공격 – 레거시 앱에 대한 MFA 보호 부족으로 인해 공격 표면이 심각하게 노출됩니다.

이 노출이 실제 시나리오로 어떻게 변환됩니까? 위협 행위자가 대상 환경에 침투하여 유효한 자격 증명 세트를 손상시키면 레거시 앱과 포함된 모든 것에 중단 없이 액세스할 수 있습니다. 이 액세스는 민감한 IP의 유출 또는 운영 중단 위협에 따른 갈취로 이어집니다.

또한 레거시 애플리케이션에 MFA 보호를 적용하지 않으면 업계의 규제 프레임워크를 충족하려는 조직에 규정 준수 문제가 발생할 수 있습니다. 사이버 보험 요건. 

현재 신원 보호 대안으로는 충분하지 않습니다.

일부 조직은 레거시 앱에 대한 사용자의 액세스 및 활동을 면밀히 모니터링하여 손상을 나타낼 수 있는 이상 징후를 캡처하여 MFA 적용 범위의 부족을 보완하려고 시도합니다. 그러나 이 방법에는 두 가지 주요 결함이 있습니다. 첫째, 본질적으로 사후 대응적이며 감지된 위협을 방지하기보다는 항상 대응합니다. 둘째, 실제 모니터링을 수행하기 위해 레거시 앱을 SIEM 또는 기타 중앙 집중식 로그 수집기에 수동으로 통합해야 하고 전담 보안 팀이 필요하기 때문에 리소스가 매우 많습니다. 이것은 대부분의 조직에서 비실용적인 선택입니다.

앞에서 설명한 것처럼 앱의 코드를 다시 작성하거나 클라우드로 마이그레이션하는 것도 옵션이 아닙니다. 따라서 교착 상태에 빠진 것 같습니다. 한편으로는 MFA가 필요하지만 다른 한편으로는 불가능해 보입니다. 어떻게 해결할 수 있습니까?

해결 방법 : Silverfort의 통합 ID 보호 MFA

Silverfort 세계 최초로 개척한 통합 신원 보호 플랫폼 MFA 및 최신 ID 보안을 레거시 애플리케이션을 포함하여 모든 사용자 및 리소스로 확장합니다. 이전에는 보호할 수 없었습니다.

이 아키텍처는 응용 프로그램이 기본적으로 MFA를 지원하는지 여부에 대한 문제를 제거합니다. 중요한 것은 응용 프로그램이 AD에 인증되는지 여부이기 때문입니다. 만약 그렇다면(대부분의 레거시 애플리케이션에 해당하는 경우) Silverfort 이를 분석하고, 필요한 경우 MFA를 트리거하고, 위에서 설명한 대로 평결을 AD에 전달할 수 있습니다.

한 번 Silverfort 플랫폼이 환경에 설치되어 있고, Active Directory 액세스를 허용하거나 거부하기 전에 위험 분석을 위해 들어오는 모든 액세스 요청을 전달합니다. Silverfort의 위험 엔진은 액세스 시도를 검사하고 신뢰할 수 있는지 또는 MFA 확인이 필요한지 결정합니다. 추가 확인이 필요한 경우, Silverfort MFA 서비스(자체 또는 타사 서비스)에 연결하고 사용자에게 자신의 신원을 증명하도록 요청합니다. 답변을 바탕으로, Silverfort 액세스 요청을 신뢰할 수 있는지 여부를 AD에 알려줍니다.

이러한 방식으로, Silverfort 이전 섹션에서 설명한 모든 문제를 극복합니다.

• 앱 자체에 대한 코드 변경이 필요하지 않습니다.
• 앱 서버에 에이전트를 설치할 필요가 없습니다.
• 사용하는 모든 액세스 시도를 다룹니다. Active Directory.
• 레거시 앱에 액세스하기 위해 손상된 자격 증명을 사용하려는 시도를 사전에 실시간으로 방지합니다.

MFA 사각지대와 이를 보호하는 방법에 대해 자세히 알아보십시오. Silverfort의 eBook: MFA 보호 재평가.