Uber Breach 주요 내용: 손상된 자격 증명으로부터 보호하기 위해 MFA, 서비스 계정 보호 및 PAM이 함께 작동해야 하는 이유
최근의 Uber 침해 사건은 오늘날의 기업 환경에서 신원 보호가 구현되고 실행되는 방식을 다시 생각하게 하는 경종을 울려야 합니다. 이 위반의 가장 눈에 띄는 측면은 손상된 자격 증명이 수행한 역할뿐만 아니라 신원 보호 해당 자격 증명의 악의적인 사용을 방지하기 위해 마련된 조치입니다.
사실 이 공격은 현재의 고유한 격차 때문에 신원 위협이 오늘날 가장 눈에 띄는 공격 벡터인 이유를 완벽하게 보여줍니다. MFA 와 PAM 솔루션. 이 기사에서는 이러한 격차를 조사하고 논의합니다. Silverfort의 통합된 접근 방식 신원 보호 이러한 정확한 위협을 저지할 수 있는 특수 제작된 플랫폼을 통해.
공격 흐름: 모든 과정에서 손상된 자격 증명
- 공격자는 타사 계약자로부터 VPN 자격 증명을 얻었습니다. 우버 게시 "공격자는 계약자의 개인 기기가 맬웨어에 감염되어 자격 증명이 노출된 후 다크 웹에서 계약자의 Uber 회사 비밀번호를 구입했을 가능성이 있습니다."
- 이러한 자격 증명을 손에 넣은 후 공격자는 다음을 수행했습니다. MFA 폭격 공격 그런 다음 지원 직원을 사칭하는 계약자에게 직접 전화를 겁니다. 이로 인해 계약자는 MFA 알림을 승인하여 공격자에게 Uber의 내부 환경에 대한 액세스 권한을 부여했습니다.
- 일단 내부에 들어가면 공격자는 네트워크 공유를 찾을 때까지 네트워크를 스캔했습니다. 짹짹, 일부 Powershell 스크립트가 포함되어 있습니다. Powershell 스크립트 중 하나에는 admin 사용자의 사용자 이름과 암호가 포함되어 있습니다. WFP'. 이를 사용하여 PAM에 액세스하고 DA, Duo, OneLogin, AWS 및 Google Workspace를 포함한 다양한 시스템에서 데이터를 추출할 수 있었습니다.
중요: 스크립트에 포함된 이 '도메인 사용자'는 스크립트가 작업을 수행하는 데 필요한 인증을 수행할 수 있도록 생성된 서비스 계정일 가능성이 큽니다. 이러한 자격 증명을 스크립트에 하드코딩하는 것이 일반적이지만 보관할 수 없고 PAM 암호 회전의 대상이 되어 공격에 취약합니다. - 거기에서 그들은 내부 게시판에 노골적인 사진을 게시하는 것을 포함하여 마음대로 여러 리소스에 액세스했습니다.
공격을 가능하게 한 틈
적용된 보안 조치를 분석하면 MFA 및 PAM 솔루션과 이 공격이 성공할 수 있었던 서비스 계정 보호 전반에 걸쳐 다양한 약점이 있음을 알 수 있습니다. 각각을 살펴보겠습니다.
MFA: 제한된 보호 및 부분 적용
- 위험한 인증을 감지할 수 없음: 사용 중인 MFA 솔루션에는 지속적으로 거부된 액세스 시도를 위험 지표로 식별하는 기능이 없었기 때문에 계약자에게 계속해서 프롬프트가 표시되었습니다.
- 네트워크 공유에 대한 액세스를 보호할 수 없음: 직관적인 사용자 경험에도 불구하고 네트워크 공유에 액세스하면(UI 또는 명령줄을 통해) CIFS 프로토콜을 통해 백그라운드에서 인증 프로세스가 트리거됩니다. 이 서비스는 기본적으로 MFA를 지원하지 않기 때문에 네트워크 공유 액세스에 대한 보호가 없었습니다.
PAM: 독립 실행형 보호로 배포 시 단일 장애 지점
- 보호되지 않은 액세스: PAM 인터페이스에 대한 초기 로그인에 대한 보안 제어가 없었습니다. 이 액세스에 MFA를 요구하면 공격자가 손상된 자격 증명을 악의적인 액세스에 활용할 수 없게 됩니다.
- 단일 실패 지점: 공격자가 PAM을 위반하고 데이터에 액세스하기 시작한 후에도 더 이상 진행할 필요가 없었습니다. 건전한 보안 아키텍처는 권한 있는 액세스에 대한 다중 계층 보호를 배치하여 PAM 계층이 침해되더라도 공격자의 진출을 막을 수 있는 다른 보안 제어가 여전히 존재하도록 해야 합니다.
서비스 계정: 모니터링 및 보호 부족
- 비밀번호 보관 및 교체 불가: 앞에서 설명한 바와 같이 자격 증명 서비스 계정 스크립트에 하드 코딩된 암호는 암호 회전 및 저장의 대상이 될 수 없습니다. 이로 인해 스크립트가 수행하는 프로세스가 중단될 수 있기 때문입니다. 그러나 이러한 자격 증명이 노출되면 공격자가 PAM에 직접 액세스할 수 있기 때문에 이 경우 결과가 중요했습니다.
XNUMXD덴탈의 Silverfort 방법: 적응형 MFA, 서비스 계정 보호 및 PAM 강화
Silverfort의 통합 신원 보호 플랫폼은 MFA를 모든 사용자, 시스템 또는 리소스(이전에는 보호할 수 없었던 리소스 포함)로 확장하고 감지된 위험에 효율적으로 대응할 수 있는 적응형 MFA 정책을 시행합니다. 게다가, Silverfort 위협 행위자의 오용을 방지하기 위해 서비스 계정 전체에 가상 울타리를 배치합니다.
PAM 솔루션과 함께, Silverfort 다음 기능을 통해 Uber와 같은 침해를 방지할 수 있습니다.
- MFA 폭격 완화: Silverfort 일련의 액세스 시도가 거부된 후 사용자에게 MFA 프롬프트를 보내지 않도록 정책을 구성할 수 있습니다. 액세스 시도가 기록되고 표시되는 동안 Silverfort 보안 팀이 조사할 콘솔, 실제 사용자는 이를 볼 수 없으므로 액세스를 허용하려는 유혹을 받지 않습니다. 더 읽어보기 Silverfort의 MFA 폭격 완화 블로그.
- 네트워크 공유를 위한 MFA 보호: Silverfort 네트워크 공유 액세스에 MFA 보호를 적용할 수 있습니다. 이것은 다음에 의해 달성됩니다. Silverfort의 통합 Active Directory, 사용된 인증 프로토콜이나 서비스에 관계없이 모든 액세스 시도를 분석할 수 있습니다. 이것은 또 다른 보호 계층을 추가하고 공격자가 자격 증명을 손상시킨 경우에도 이러한 폴더에 액세스하지 못하도록 합니다.
- 전용 서비스 계정 보호: Silverfort 환경 내의 모든 서비스 계정에 대한 검색, 활동 모니터링, 위험 분석 및 액세스 정책 생성을 자동화합니다. 즉, 서비스 계정이 표준 활동에서 벗어나면 대상 리소스에 대한 액세스를 차단하는 정책이 트리거될 수 있습니다.
- PAM 액세스를 위한 MFA 보호: Silverfort PAM 콘솔 자체에 대한 액세스에 대한 MFA 정책을 시행하여 Uber 위반과 같은 악의적인 액세스로부터 보호할 수 있습니다.
- 비 PAM 소스에서 액세스하는 권한 있는 계정에 대한 MFA 또는 액세스 차단: Silverfort MFA를 요구하거나 모든 액세스를 완전히 차단하는 정책을 시행할 수 있습니다. 특권 계정 (즉, PAM 저장소에 저장된 것) PAM 시스템 자체가 아닌 다른 소스의 리소스에 액세스하려고 시도합니다. 이러한 정책은 공격자가 PAM 콘텐츠를 악의적으로 추출한 후 새로 손상된 권한 있는 자격 증명을 사용하여 중요한 리소스에 액세스하려고 시도하는 시나리오에 대한 직접적인 완화입니다.
다음 다이어그램은 공격의 흐름과 다양한 단계를 보여줍니다. Silverfort 그것을 막았을 것입니다 :
결론
보안 이해 관계자가 해야 하는 현실적인 가정은 자격 증명이 결국 손상될 것이라는 것입니다. 이를 고려할 때 엔터프라이즈 보안 스택에서 ID 보호 부분을 측정하는 궁극적인 벤치마크는 이러한 시나리오에 대한 복원력입니다. 이 문서에서 설정한 것처럼 기존의 MFA 솔루션 독립 실행형 PAM 배포는 오늘날 기업에 필요한 수준의 보호를 제공하지 못합니다.
Silverfort의 Unified Identity Protection 플랫폼은 적응형 MFA, 자동화된 서비스 계정 보호 및 PAM 강화를 결합하여 오늘날의 ID 위협 환경에 대처할 수 있는 전체론적 솔루션을 도입한 최초의 솔루션입니다. 딸깍 하는 소리 여기에서 지금 확인해 보세요. 드리겠습니다.