Uber Breach 주요 내용: 손상된 자격 증명으로부터 보호하기 위해 MFA, 서비스 계정 보호 및 PAM이 함께 작동해야 하는 이유

최근의 Uber 침해 사건은 오늘날의 기업 환경에서 신원 보호가 구현되고 실행되는 방식을 다시 생각하게 하는 경종을 울려야 합니다. 이 위반의 가장 눈에 띄는 측면은 손상된 자격 증명이 수행한 역할뿐만 아니라 신원 보호 해당 자격 증명의 악의적인 사용을 방지하기 위해 마련된 조치입니다.

사실 이 공격은 현재의 고유한 격차 때문에 신원 위협이 오늘날 가장 눈에 띄는 공격 벡터인 이유를 완벽하게 보여줍니다. MFA 와 PAM 솔루션. 이 기사에서는 이러한 격차를 조사하고 논의합니다. Silverfort의 통합된 접근 방식 신원 보호 이러한 정확한 위협을 저지할 수 있는 특수 제작된 플랫폼을 통해.

공격 흐름: 모든 과정에서 손상된 자격 증명

1. 공격자는 타사 계약자로부터 VPN 자격 증명을 얻었습니다. 우버 게시 "공격자는 계약자의 개인 기기가 맬웨어에 감염되어 자격 증명이 노출된 후 다크 웹에서 계약자의 Uber 회사 비밀번호를 구입했을 가능성이 있습니다."
2. 이러한 자격 증명을 손에 넣은 후 공격자는 다음을 수행했습니다. MFA 폭격 공격 그런 다음 지원 직원을 사칭하는 계약자에게 직접 전화를 겁니다. 이로 인해 계약자는 MFA 알림을 승인하여 공격자에게 Uber의 내부 환경에 대한 액세스 권한을 부여했습니다.
3. 일단 내부에 들어가면 공격자는 네트워크 공유를 찾을 때까지 네트워크를 스캔했습니다. 짹짹, 일부 Powershell 스크립트가 포함되어 있습니다. Powershell 스크립트 중 하나에는 admin 사용자의 사용자 이름과 암호가 포함되어 있습니다. WFP'. 이를 사용하여 PAM에 액세스하고 DA, Duo, OneLogin, AWS 및 Google Workspace를 포함한 다양한 시스템에서 데이터를 추출할 수 있었습니다.
   중요: 스크립트에 포함된 이 '도메인 사용자'는 스크립트가 작업을 수행하는 데 필요한 인증을 수행할 수 있도록 생성된 서비스 계정일 가능성이 큽니다. 이러한 자격 증명을 스크립트에 하드코딩하는 것이 일반적이지만 보관할 수 없고 PAM 암호 회전의 대상이 되어 공격에 취약합니다.
4. 거기에서 그들은 내부 게시판에 노골적인 사진을 게시하는 것을 포함하여 마음대로 여러 리소스에 액세스했습니다.
   
   

공격을 가능하게 한 틈

적용된 보안 조치를 분석하면 MFA 및 PAM 솔루션과 이 공격이 성공할 수 있었던 서비스 계정 보호 전반에 걸쳐 다양한 약점이 있음을 알 수 있습니다. 각각을 살펴보겠습니다.

MFA: 제한된 보호 및 부분 적용

• 위험한 인증을 감지할 수 없음: 사용 중인 MFA 솔루션에는 지속적으로 거부된 액세스 시도를 위험 지표로 식별하는 기능이 없었기 때문에 계약자에게 계속해서 프롬프트가 표시되었습니다.
• 네트워크 공유에 대한 액세스를 보호할 수 없음: 직관적인 사용자 경험에도 불구하고 네트워크 공유에 액세스하면(UI 또는 명령줄을 통해) CIFS 프로토콜을 통해 백그라운드에서 인증 프로세스가 트리거됩니다. 이 서비스는 기본적으로 MFA를 지원하지 않기 때문에 네트워크 공유 액세스에 대한 보호가 없었습니다.

PAM: 독립 실행형 보호로 배포 시 단일 장애 지점

• 보호되지 않은 액세스: PAM 인터페이스에 대한 초기 로그인에 대한 보안 제어가 없었습니다. 이 액세스에 MFA를 요구하면 공격자가 손상된 자격 증명을 악의적인 액세스에 활용할 수 없게 됩니다.
• 단일 실패 지점: 공격자가 PAM을 위반하고 데이터에 액세스하기 시작한 후에도 더 이상 진행할 필요가 없었습니다. 건전한 보안 아키텍처는 권한 있는 액세스에 대한 다중 계층 보호를 배치하여 PAM 계층이 침해되더라도 공격자의 진출을 막을 수 있는 다른 보안 제어가 여전히 존재하도록 해야 합니다.

서비스 계정: 모니터링 및 보호 부족

• 비밀번호 보관 및 교체 불가: 앞에서 설명한 바와 같이 자격 증명 서비스 계정 스크립트에 하드 코딩된 암호는 암호 회전 및 저장의 대상이 될 수 없습니다. 이로 인해 스크립트가 수행하는 프로세스가 중단될 수 있기 때문입니다. 그러나 이러한 자격 증명이 노출되면 공격자가 PAM에 직접 액세스할 수 있기 때문에 이 경우 결과가 중요했습니다.

XNUMXD덴탈의 Silverfort 방법: 적응형 MFA, 서비스 계정 보호 및 PAM 강화

Silverfort의 통합 신원 보호 플랫폼은 MFA를 모든 사용자, 시스템 또는 리소스(이전에는 보호할 수 없었던 리소스 포함)로 확장하고 감지된 위험에 효율적으로 대응할 수 있는 적응형 MFA 정책을 시행합니다. 게다가, Silverfort 위협 행위자의 오용을 방지하기 위해 서비스 계정 전체에 가상 울타리를 배치합니다.

PAM 솔루션과 함께, Silverfort 다음 기능을 통해 Uber와 같은 침해를 방지할 수 있습니다.

• MFA 폭격 완화: Silverfort 일련의 액세스 시도가 거부된 후 사용자에게 MFA 프롬프트를 보내지 않도록 정책을 구성할 수 있습니다. 액세스 시도가 기록되고 표시되는 동안 Silverfort 보안 팀이 조사할 콘솔, 실제 사용자는 이를 볼 수 없으므로 액세스를 허용하려는 유혹을 받지 않습니다. 더 읽어보기 Silverfort의 MFA 폭격 완화 블로그.
• 네트워크 공유를 위한 MFA 보호: Silverfort 네트워크 공유 액세스에 MFA 보호를 적용할 수 있습니다. 이것은 다음에 의해 달성됩니다. Silverfort의 통합 Active Directory, 사용된 인증 프로토콜이나 서비스에 관계없이 모든 액세스 시도를 분석할 수 있습니다. 이것은 또 다른 보호 계층을 추가하고 공격자가 자격 증명을 손상시킨 경우에도 이러한 폴더에 액세스하지 못하도록 합니다.
• 전용 서비스 계정 보호: Silverfort 환경 내의 모든 서비스 계정에 대한 검색, 활동 모니터링, 위험 분석 및 액세스 정책 생성을 자동화합니다. 즉, 서비스 계정이 표준 활동에서 벗어나면 대상 리소스에 대한 액세스를 차단하는 정책이 트리거될 수 있습니다.
• PAM 액세스를 위한 MFA 보호: Silverfort PAM 콘솔 자체에 대한 액세스에 대한 MFA 정책을 시행하여 Uber 위반과 같은 악의적인 액세스로부터 보호할 수 있습니다.
• 비 PAM 소스에서 액세스하는 권한 있는 계정에 대한 MFA 또는 액세스 차단: Silverfort MFA를 요구하거나 모든 액세스를 완전히 차단하는 정책을 시행할 수 있습니다. 특권 계정 (즉, PAM 저장소에 저장된 것) PAM 시스템 자체가 아닌 다른 소스의 리소스에 액세스하려고 시도합니다. 이러한 정책은 공격자가 PAM 콘텐츠를 악의적으로 추출한 후 새로 손상된 권한 있는 자격 증명을 사용하여 중요한 리소스에 액세스하려고 시도하는 시나리오에 대한 직접적인 완화입니다.

다음 다이어그램은 공격의 흐름과 다양한 단계를 보여줍니다. Silverfort 그것을 막았을 것입니다 :

결론

보안 이해 관계자가 해야 하는 현실적인 가정은 자격 증명이 결국 손상될 것이라는 것입니다. 이를 고려할 때 엔터프라이즈 보안 스택에서 ID 보호 부분을 측정하는 궁극적인 벤치마크는 이러한 시나리오에 대한 복원력입니다. 이 문서에서 설정한 것처럼 기존의 MFA 솔루션 독립 실행형 PAM 배포는 오늘날 기업에 ​​필요한 수준의 보호를 제공하지 못합니다.  

Silverfort의 Unified Identity Protection 플랫폼은 적응형 MFA, 자동화된 서비스 계정 보호 및 PAM 강화를 결합하여 오늘날의 ID 위협 환경에 대처할 수 있는 전체론적 솔루션을 도입한 최초의 솔루션입니다. 딸깍 하는 소리 여기에서 지금 확인해 보세요. 드리겠습니다.