Okta 위반 – 공격자만이 가르칠 수 있는 교훈

“적 외에는 스승이 없다. 적이 무엇을 하려는지 알려줄 사람은 오직 적뿐이다. 적을 제외하고는 아무도 당신에게 파괴하고 정복하는 방법을 가르쳐주지 않을 것입니다. 적만이 당신이 약한 곳을 보여줍니다. 적만이 자신이 강한 곳을 보여줍니다. 그리고 게임의 규칙은 당신이 그에게 할 수 있는 것과 그가 당신에게 하는 것을 막을 수 있는 것입니다.”
(엔더스 게임, 올슨 스콧 카드)

최근 공개되면서 옥타에 대한 공격 범위와 영향이 제한된 것처럼 보였지만, 그럼에도 불구하고 이번 침해에서 손상된 자격 증명 사용이 수행한 중요한 역할에 대한 핵심 통찰력을 제공합니다. 오늘날의 위협 환경의 전반적인 맥락에서 이 침해를 배치하면 사용자 신원이 주요 표적이 되었음을 알 수 있습니다. 공격 표면. 위협 행위자의 플레이북에 있는 이러한 변화는 우리의 보안 아키텍처와 관행에 어떤 영향을 미쳐 우리가 다음을 사용하는 공격에 맞서 승리할 수 있도록 해야 할까요? 사용자 계정 주요 공격 벡터로 사용됩니까? 이 기사에서는 Lapsus$ 위협 행위자가 이번 위반에서 우리에게 가르친 주요 교훈과 이러한 교훈을 사용하여 신원 위협에 대한 환경의 복원력을 향상시킬 수 있는 방법을 살펴봅니다.

Okta 침해에 대한 간략한 요약

Lapsus$ 공격 그룹의 공격자는 RDP를 통해 타사 지원 엔지니어의 엔드포인트를 손상시키는 데 성공했습니다. 엔드포인트가 손상된 후 공격자는 엔드포인트 보호 에이전트를 비활성화하고 ProcessHacker 및 Mimikatz와 같은 다양한 도구를 다운로드했습니다. 그런 다음 손상된 엔드포인트에서 이러한 도구를 사용하여 365년 2021월 제366자 서비스 공급자가 인수한 회사와 연결된 OXNUMX 계정에 대한 자격 증명을 얻었습니다. 이 액세스 권한을 얻은 후 공격자는 새 계정을 만들고 모든 계정을 전달하는 규칙을 구성했습니다. XNUMX Okta 고객에게 잠재적으로 영향을 미칠 수 있습니다.

보안 관계자를 위한 주요 내용:

교훈 #1: 공격자는 당신의 약점을 표적으로 삼습니다

그렇다면 적군은 이 틈을 통해 우리에게 무엇을 가르쳐 주었습니까? 우리는… 많이 믿습니다. 무엇보다도 우리는 체인이 가장 약한 링크만큼만 강하고 공격자들이 초기에 이러한 약한 링크를 표적으로 삼아 궁극적으로 더 강한 링크 뒤에 있는 것에 액세스한다는 사실을 상기했습니다(새로운 것은 아닙니다). 지금까지 설명한 공격 흐름을 기반으로 약한 링크를 살펴보겠습니다. Lapsus$ 위협 행위자 공격 대상:

약점 #1: 새로운 M&A 환경 추가

여기에 새로운 것은 없지만 여전히 유용한 알림입니다. 합병 및 인수는 비즈니스 라이프사이클의 필수적인 부분입니다. 즉, 하나의 라이브 IT 환경을 다른 환경으로 흡수하는 쉬운 방법은 없습니다. 여기에는 쉬운 해결책이 없지만 보안 팀은 공격자의 플레이북에서 한 페이지를 가져와 공격 대상이 될 가능성이 가장 높은 네트워크의 새로운 부분에 더 많은 주의를 기울여야 합니다.

약점 #2: 공급망 및 제XNUMX자 액세스

최신 엔터프라이즈 IT 환경은 독립 실행형 엔터티가 아니라 에코시스템입니다. 즉, 설계상 사람들은 귀하가 관리하지 않는 시스템에서 귀하의 것과 일치하지 않을 수 있는 보안 관행으로 귀하의 환경에 연결하는 반면, 이로 인해 발생하는 위반에 대한 책임은 귀하에게 있습니다. 결국 제어할 수 있는 공급망 에코시스템의 유일한 측면은 액세스 정책과 제3자가 신뢰할 수 있도록 이행해야 하는 요구 사항입니다.

약점 #3: 하이브리드 환경의 클라우드 리소스는 온프레미스 머신에서 발생하는 공격에 노출됩니다.

결국 클라우드 기반이고 디지털 방식으로 전환되더라도 환경과 인터페이스하거나 환경의 실제 일부가 되는 웹이 아닌 리소스가 있을 것입니다. 가장 직관적인 예는 직원이 SaaS 애플리케이션 및 클라우드 워크로드에 연결하는 데 사용하는 워크스테이션입니다. 그러한 워크스테이션이 손상되면 공격자는 저장된 자격 증명을 쉽게 손에 넣고 온프레미스의 추가 시스템뿐만 아니라 SaaS 애플리케이션 및 클라우드 워크로드까지 진출할 수 있습니다.

이러한 약점을 살펴보면 패치되지 않은 취약점이나 잘못 구성된 정책만큼 심각하지 않다는 것을 알 수 있습니다. 버튼 클릭으로 간단히 제거할 수 없으며 보안 오류의 결과가 아닙니다. 오히려 모든 IT 환경의 인프라에 내재되어 있습니다.

교훈 #2: 손상된 자격 증명이 공격의 근간이었습니다.

처음 두 가지 약점은 각각 환경을 여러 유형의 공격에 노출시키는 반면 세 번째 약점(온프레미스 환경에서 발생하는 공격에 클라우드 리소스 노출)은 그 영향을 근본적으로 강화합니다. 손상된 자격 증명 이번 공격에서 이중 역할을 수행했습니다. 첫 번째는 손상된 시스템에 대한 초기 액세스이고, 두 번째는 O365 액세스입니다. 그래서 그것은 신원 기반 공격 세 가지 약점을 매우 효과적인 공격으로 엮어 높은 보호 수준에 있는 것으로 보이는 리소스를 위험에 빠뜨리는 벡터입니다.

교훈 #3: ID 공격 표면은 통합된 경우에만 보호할 수 있습니다.

분산 신원 보호 사각지대를 만듭니다. RDP를 통한 원격 액세스가 VPN 공급자에 의해 보호되는 경우 CASB에 의한 SaaS 로그인과 EDR 공격자가 온프레미스 머신 간의 내부 연결을 하나씩 우회합니다. 더 나은 대안은 모든 인증 및 액세스 시도를 중앙에서 모니터링하고 보호하는 것입니다. 따라서 하나의 리소스에 대한 사용자 로그인에서 탐지된 위험은 이 사용자의 다른 모든 리소스에 대한 액세스도 제한할 수 있습니다.

모든 보안 관련자는 이 분석에서 한 가지 간단한 사실을 알아낼 수 있습니다. 오늘날의 기업 환경에서 ID는 주요 공격 영역입니다. 또한 사이버 공격자와의 전투에서 우위를 점하려면 보안 아키텍처를 조정하고 대응하며 이 통찰력에 기본이 되어야 합니다.

적을 멈추다

Okta 침해는 최근 몇 년 동안 서서히 증가하고 있는 추세를 보여줍니다. 공격자는 손상된 자격 증명을 사용하여 대상 리소스에 액세스하는 ID 기반 공격을 선호합니다. 그리고 이 공격 벡터는 오늘날의 기업 환경에서 보호가 가장 적기 때문에 그렇게 합니다. 우리 측의 대응은 신원이 중요한 공격 표면임을 인정하고 이에 따라 실시간 예방, 탐지, 대응을 통해 이를 보호하는 것입니다. 신원 위협 원격 워크스테이션에 대한 RDP 연결, SaaS 애플리케이션에 대한 웹 로그인 및 온프레미스 서버에 대한 명령줄 액세스에 동일하게 적용되는 온프레미스 및 클라우드.

소개 Silverfort

Silverfort 최초로 개척했다. 신원 위협 보호 손상된 자격 증명을 사용하여 대상 리소스에 액세스하는 ID 기반 공격에 대한 실시간 예방, 탐지 및 대응을 위해 특별히 제작된 플랫폼입니다. Silverfort 지속적인 모니터링, 위험 분석 및 실시간 시행을 통해 이러한 공격을 방지합니다. 제로 트러스트 온프레미스와 클라우드의 모든 사용자, 시스템, 환경에 대한 액세스 정책.

전단지에 포함된 링크에 대해 더 알아보기 Silverfort 신원 위협 보호.