이제 ID는 보안 의사 결정자의 최우선 순위입니다. 자격 증명 액세스, 권한 상승 및 공격과 같은 악의적인 TTP를 극복해야 할 필요성 측면 운동, 이보다 더 긴급한 적은 없었습니다. 침해의 80% 이상이 손상된 자격 증명의 사용과 관련되어 있으며 랜섬웨어 공격으로 인해 가장 큰 조직도 무너질 수 있습니다. 신원 보안 감당할 수 없습니다.
이러한 상황으로 인해 ID 공격 표면을 보호하기 위해 특별히 제작된 제품 범주가 등장했습니다. 신원 위협 탐지 및 대응 (ITDR). 그러나 새로운 범주의 도입은 불가피하게 구매자에게 혼란의 기간을 수반하는데, 이 기간 동안 신원 보안 팀은 어떤 ITDR 필수적이고 "있으면 좋은" 역량입니다.
이 기사는 조직이 얼마나 잘 평가하는지 평가하기 위한 5가지 주요 평가 기준을 제공하여 이러한 여정에서 조직을 지원합니다. ITDR 솔루션은 약속을 지킬 수 있습니다.
평가 기준 #1: 적용 범위의 폭과 깊이
The 신원 공격 표면은 매우 이질적이며 여러 구성 요소로 구성됩니다. 우리는 이를 다음 그룹으로 분류할 수 있습니다.
리소스
온프레미스 환경에는 워크스테이션과 서버, IT 인프라, 데이터베이스, 레거시 앱이 포함됩니다. 일부 가상 머신은 데이터 센터 서버에서 관리되는 반면 IaaS 가상 머신은 퍼블릭 클라우드에 상주합니다. 이는 저장, 이메일 및 기타 목적을 위해 기업 SaaS 및 웹 앱과 결합됩니다.
프로토콜 및 액세스 방법
Active Directory NTLM과 같은 프로토콜을 사용합니다. Kerberos, LDAP를 사용하여 서버, 워크스테이션, 기타 온프레미스 리소스에 대한 액세스를 관리합니다. 이 액세스는 명령줄, RDP, 전용 원격 액세스 도구(Teamviewer 및 기타 유사한 도구) 등 다양한 방법으로 수행됩니다. VPN 원격 액세스는 일반적으로 RADIUS를 통해 수행되는 반면, 페더레이션 서버 및 클라우드 IdP는 SAML, OpenID 및 OAuthor를 사용하여 사용자의 웹 브라우저를 통해 SaaS 앱에 액세스합니다.
또한 표준, 특권, 인간, 비인간 등 다양한 유형의 사용자가 있습니다. 일부는 감지하고 모니터링하기가 더 쉽지만 다른 일부는 더 어렵습니다. 대표적인 예가 다음과 같은 비인간 신원(NHI)입니다. 서비스 계정 in Active Directory 위치를 파악하고 매핑하기가 매우 어려운 환경입니다.
ITDR 솔루션은 하이브리드 환경의 모든 사용자, 리소스 및 액세스 방법에 해당 기능을 적용할 수 있어야 합니다..
시청시간 왜 중요한가?
진정으로 보호하려면 공격 표면 사각지대 없이 전체를 보호해야 합니다. 일부만 보호하면 적대자가 보호되지 않은 부분을 대신 공격할 수 있는 길이 생깁니다. 그래서 예를 들어, 측면 이동과 랜섬웨어 전파는 대부분 명령줄 액세스(예: PsExec의, PowerShell 및 WMI 도구)가 아닌 RDP를 사용합니다. 후자는 일반적으로 다음으로 보호됩니다. MFA, 전자는 지원하지 않습니다. 보안되지 않은 다른 액세스 포인트가 있는 경우 서버에 대한 단일 액세스 방법을 보호하는 것만으로는 충분한 보호가 되지 않습니다.
평가 기준 #2: 최대한 실시간에 가깝게
ITDR 솔루션은 사용자 인증 및 액세스 시도를 분석하여 잠재적인 위협을 공개합니다. 실시간 분석은 ITDR에 각 항목에 대한 가시성을 제공합니다. 인증 시작 및 검증 단계부터 실제 완료 및 액세스까지. 대안은 액세스 시도가 승인되거나 거부된 후 인증 로그를 분석하는 것입니다.
시청시간 왜 중요한가?
ITDR의 목적은 의심되는 악의적인 활동을 탐지하는 것입니다. 이 분석이 실시간 인증 이벤트에 가까울수록 악성 액세스가 실제 위협으로 발전하기 전에 탐지할 가능성이 높아집니다. 이 밖에도 실제 인증 과정에서만 감지할 수 있는 다양한 이상 현상이 존재합니다. 이는 소급 로그 분석에 의존하는 ITDR 솔루션의 사각지대가 될 수 있습니다.
평가 기준 #3: 다층 탐지 엔진
악의적인 활동을 탐지하려면 표준적인 합법적인 행동에서 벗어나는 이상 현상을 찾아내야 합니다. 그러나 이는 제로섬 게임이 아니며 일부 변칙은 분명히 악의적인 활동과 연관되어 있지만 대부분은 관련 없는 다른 이유로 발생할 수 있습니다. 다양한 유형의 이상 징후를 탐지할 수 있는 위험 엔진을 사용하면 정확성을 높이고 오탐지 위험을 줄일 수 있습니다. ITDR이 일반적으로 찾아야 하는 이상 현상은 다음과 같습니다.
프로토콜 이상
이러한 이상 현상은 티켓 전달, 해시 전달 등 악의적인 액세스 권한을 얻기 위해 인증 프로토콜의 약점을 이용하는 공격 기술로 인해 발생합니다. 이러한 이상 현상은 인증 프로세스 변경과 관련되므로 프로토콜 이상 현상이라고 합니다.
행동 이상
이러한 이상 현상은 측면 운동 활동의 결과로 발생합니다. 측면 이동은 본질적으로 공격자가 목표 달성에 도움이 될 수 있는 저장된 사용자와 기계를 찾기 위해 기계에서 기계로 이동하는 기회주의적 활동입니다. 예를 들어, 환자 제로 시스템에 착륙한 공격자는 이를 출발점으로 사용하여 다른 시스템에 하나씩 액세스하고 저장된 관리자 자격 증명이나 중요 서버의 컴퓨터 이름을 검색합니다. 이러한 유형의 검색 및 이동은 합법적인 표준 사용자 액세스와 크게 다릅니다.
사용자 이상
각 사용자는 자체 리소스 액세스 기준을 갖습니다. 이는 특히 다음에 해당합니다. 인간이 아닌 정체성 AD 서비스 계정과 유사하지만 대부분의 인간 사용자에게도 적용됩니다. 문제 해결을 위해 여러 대의 컴퓨터에 액세스해야 하는 헬프데스크 및 IT 관리자를 제외하고 대부분 사용자는 작업 루틴에서 액세스하는 정의된 리소스 집합을 가지고 있습니다. 적이 측면 이동을 수행하기 위해 사용자 계정을 침해하면 이 사용자가 이전에 액세스한 적이 없는 리소스에 액세스하려고 시도할 가능성이 높습니다.
시청시간 왜 중요한가?
각각의 이상 현상은 그 자체로 일정 비율의 오탐지를 수반하지만, 이들 간의 교차점은 훨씬 더 안정적입니다. 예는 다음과 같습니다.
사용자 Bob은 이전에 한 번도 액세스한 적이 없는 리소스에 액세스합니다. 이는 Bob이 손상되었다는 뜻인가요? 반드시 그런 것은 아닙니다. 이러한 유형의 순진한 변칙은 모든 사용자의 합법적인 활동 내에서도 발생합니다. 이제 Bob이 이 리소스에 액세스하기 위해 수행한 인증이 예상보다 약한 암호화 알고리즘을 사용했다고 가정해 보겠습니다. 의심스럽기는 하지만 반드시 악의적인 것은 아닙니다. 그러나 동일한 접근 시도에서 두 가지 이상이 모두 발생한다면 악성일 확률은 상당히 높아진다.
평가 기준 #4: 실시간 신원 보안 제어를 실행하는 능력
접근 차단, MFA, Just-In-Time 접근 등 악의적 접근을 방지하기 위한 전용 제어로 ID 보안이 이루어집니다. ITDR의 핵심 역할은 다음과 같습니다. 검색 접근 시도가 악의적인지 여부. 그러나 ITDR에는 실시간 ID 보안 제어를 트리거하는 데 필요한 통합도 있어야 합니다. 가장 중요한 것은 MFA와 액세스 차단입니다.
시청시간 왜 중요한가?
경고에는 수동 선별 및 조사가 필요하며, 경험상 모든 문제를 해결하는 것은 SecOps 팀의 역량을 벗어납니다. 탐지 신호를 사용하여 MFA를 트리거하고 액세스를 차단할 수 있는 ITDR은 단순히 존재를 경고하는 것이 아니라 자동화된 실시간 보호를 제공하고 악성 활동을 차단할 수 있습니다.
평가 기준 #5: 보안 스택과의 원활한 통합
ITDR은 사이버 공격의 신원 측면을 소유하고 있지만 이는 전체 위협 보호 이야기의 중요한 부분이기는 하지만 단지 일부일 뿐입니다. 포괄적인 보호를 제공하려면 ITDR 솔루션이 보안 스택의 다른 주요 구성 요소와 데이터 및 위험 신호를 교환할 수 있어야 합니다. 예를 들어, EDR/XDR은 의심스러운 프로세스 및 파일에 대한 데이터를 ITDR에 제공할 수 있어야 하며 개방형 포트 및 트래픽 원본/목적지에 대한 방화벽 또는 ZTNA를 제공할 수 있어야 합니다. 또한 ITDR은 SIEM 솔루션과 데이터를 공유하여 네트워크 및 파일 활동의 전체 컨텍스트에 ID 보안 신호를 추가하고 자동화된 SOAR 워크플로우에서 수행될 수 있어야 합니다.
시청시간 왜 중요한가?
정확도 증가
모든 보안 솔루션에는 모니터링하고 분석할 수 있는 활동 유형과 눈에 띄지 않는 활동 유형이 있습니다. 예를 들어, 엔드포인트 보호 솔루션이 인증 프로세스를 인식하지 못하는 것과 마찬가지로 ITDR도 실행 중인 프로세스와 파일을 인식하지 못합니다. 두 가지 관점을 교차시키면 정확성과 효율성이 높아집니다.
더 나은 조작성
SecOps 팀은 다양한 보안 도구를 사용합니다. 그러나 일반적으로 경고를 관리하는 기본 인터페이스로 작동하는 구성 요소(SIEM 또는 XDR)가 있습니다. ITDR은 보안 가치를 제공하기 위해 이 인터페이스의 워크플로에 원활하게 적응할 수 있어야 합니다.
ITDR은 ID 위협의 가능성과 영향을 줄이는 핵심 요소입니다.
ITDR의 목적은 성공적인 ID 관련 공격의 확률과 영향을 줄이는 것입니다. 이 기사에서 논의된 기준은 이 원인에 대한 기여도를 기준으로 선정되었습니다.
이미 일부 ITDR 솔루션을 최종 후보로 선정하셨나요? 이러한 기준을 사용하여 어려운 질문을 해보세요. 답변을 통해 귀하가 찾고 있는 솔루션이 귀하의 신원 위험을 줄이고 원하는 복원력을 제공할 수 있는지 알려줄 것입니다.
