검색

지원하는 언어

랜섬웨어가 주요 신원 위협이 된 이유

7월 19th, 2023

» 블로그 » 랜섬웨어가 주요 신원 위협이 된 이유

랜섬웨어는 전 세계 조직을 계속 괴롭히고 있습니다. 493.3년에 2022억 XNUMX만 건 이상의 공격 탐지. 보안 스택에서 제품의 확산에도 불구하고 기업은 이러한 공격의 희생양이 되고 있습니다. 평균 $812,360 몸값 요구. 그리고 조직의 총 비용은 4.5억 XNUMX천만 달러로 추산, 이러한 침해를 감지하고 해결하는 데 걸리는 시간 때문입니다.

이 기사에서는 랜섬웨어 공격이 급격히 증가한 이유, 신원 보호 사각지대가 이러한 공격에서 어떻게 근본적인 역할을 하는지, 조직이 이러한 사각지대를 해결하기 위해 무엇을 할 수 있는지 살펴봅니다. 랜섬웨어 중지 전부.

차례

  • 랜섬웨어가 중요한 비즈니스 위험으로 진화한 방법
  • 랜섬웨어의 영향은 측면 이동으로 증폭됩니다.
  • 측면 이동 공격은 손상된 자격 증명에 의해 촉진됩니다.
  • 두 가지 사각지대 때문에 랜섬웨어 공격이 증가하고 있습니다.
  • 방법 Silverfort 랜섬웨어를 막기 위해 보안 사각지대 해결

    • 랜섬웨어가 중요한 비즈니스 위험으로 진화한 방법

    랜섬웨어는 새로운 현상이 아니지만 최초 기록된 공격은 1989년으로 거슬러 올라갑니다. – 이것이 세계적인 위기가 된 것은 불과 몇 년 사이입니다. 이는 공격자가 조직이 따라잡을 수 있는 것보다 훨씬 빠른 속도로 기술을 발전시켰기 때문입니다. 예를 들어 약 10년 전까지만 해도 위협 행위자는 한 번에 하나의 시스템만 감염시킬 수 있었습니다. 랜섬. 이는 사용자에게는 재앙이었을 뿐만 아니라 보안 팀에게도 문제였지만 궁극적으로 조직의 위험을 나타내지는 않았습니다.

    그러나 2017년 현재 악명 높은 여러 사이버 공격(WannaCry 및 NotPetya 포함)이 등장하면서 사이버 범죄자들은 ​​암호화 페이로드를 자동화된 전파 메커니즘과 결합할 수 있음을 보여주었습니다. 이는 공격자가 이제 환경을 가로질러 이동할 수 있는 새로운 기술을 사용하여 한 번에 하나의 시스템만 공격하는 것이 아니라 한 번에 전체 조직을 감염시킨다는 것을 의미했습니다.

    이에 대한 최근의 주목할만한 사례는 2021년 XNUMX월 콜로니얼 파이프라인 공격으로, 미국 동부 해안의 주요 연료 동맥을 폐쇄하여 연료 부족과 대통령의 비상 사태 선언으로 이어졌습니다. 사실 그해, 공격은 78년보다 2020% 증가했으며 전 세계 조직의 66%가 랜섬웨어의 영향을 받았습니다..

    랜섬웨어의 영향은 측면 이동으로 증폭됩니다.

    이러한 공격이 왜 그렇게 널리 퍼지고 성공적인지 이해하려면 공격의 개념을 이해하는 것이 중요합니다. 측면 운동. 에 따르면 MITRE사, 횡이동 공격자가 초기 손상 이후 환경에서 존재를 확장하기 위해 사용하는 일련의 기술로 정의됩니다.

    측면 이동을 수행할 수 있는 이 기능은 오늘날 랜섬웨어에 대한 만족할 줄 모르는 욕구를 불러일으켰습니다. 이제 단일 손상 지점이 공격자에게 잠재적으로 막대한 보상을 제공할 수 있기 때문입니다. 사실은, 측면 이동은 현재 모든 랜섬웨어 공격의 82%에서 사용되고 있습니다.. 불과 몇 년 전만 해도 이 능력이 국가 지원 해킹 그룹 및 외국 정보 기관과 같은 고도로 정교한 사이버 범죄자에게만 제한되었기 때문에 이것은 불안한 발전입니다.

    그럼 여기서 실제로 어떤 일이 벌어지고 있는지 자세히 살펴보겠습니다.

    측면 이동 공격은 손상된 자격 증명에 의해 촉진됩니다.

    일부 추정에 따르면, 24.6억 개의 도난당한 자격 증명 (예: 사용자 이름-비밀번호 조합) Dark Web에서 판매 가능. 이는 랜섬웨어 강탈에 가담하려는 기회주의적 위협 행위자에게 보물 창고를 나타냅니다. 이러한 자격 증명을 가지고 있기 때문에 공격자는 피싱, 스미싱 또는 사회 공학과 같은 검증된 기술을 사용하여 결국 조직 환경에 대한 초기 액세스 권한을 얻은 다음 만연할 수 있음을 알고 있습니다.

    그 이유는 근본적인 결함 때문이다. 신원 인프라 그 자체. 공격자가 초기 시스템에 액세스하면 사용자 인증을 담당하는 ID 공급자에게 손상된 자격 증명을 제시하기만 하면 됩니다. Microsoft Active Directory (AD), 글로벌 포춘 90대 기업의 1000%가 사용 – 측면 이동이 시작될 수 있습니다.

    이것이 횡적 이동이 심각한 신원 위협인 이유입니다. 도난당한 사용자 자격 증명의 가용성과 손상된 시스템에서 자격 증명을 추출하거나 네트워크 트래픽을 가로채는 공격자의 능력으로 인해 사이버 범죄자가 여러 시스템에 인증할 수 있기 때문입니다. 전체 네트워크에 걸쳐 랜섬웨어 페이로드를 확산하고 여러 시스템을 동시에 암호화합니다.

    두 가지 사각지대 때문에 랜섬웨어 공격이 증가하고 있습니다.

    이것은 우리에게 중요한 점을 알려줍니다. 다단계 인증(MFA)은 모든 사이버 공격의 99.9%를 방지할 수 있는 것으로 알려져 있습니다.. 그러나 이것이 사실이라면 이러한 랜섬웨어 공격이 계속해서 줄어들지 않는 이유는 무엇입니까?

    그 이유는 놀라울 정도로 간단합니다.

    MFA는 모든 곳에서 시행할 수 없습니다.
    MFA는 SaaS 애플리케이션, 클라우드 워크로드 및 VPN 액세스에 사용할 수 있지만 다음과 같은 일반적인 명령줄 액세스 도구에서는 시행할 수 없습니다. PsExec의, PowerShell 및 WMI. 이는 AD가 사용하는 인증 프로토콜, 특히 Kerberos 및 NTLM – MFA를 지원하지 않습니다. 이러한 명령줄 도구는 네트워크 관리자가 네트워크를 통해 시스템에 대한 원격 액세스 권한을 얻기 위해 정기적으로 사용하지만, 훔친 자격 증명을 사용하여 방해받지 않고 측면 이동을 위해 도구를 활용할 수 있다는 것을 알고 있는 사이버 범죄자도 사용합니다. MFA. 이것은 중요한 맹점입니다.

    보호 서비스 계정 도전이다
    두 번째 맹점은 네트워크 환경에서 소프트웨어 업데이트 및 상태 확인과 같은 스캔 수행과 같은 중요한 기능을 자동으로 수행하는 데 사용되는 기계 대 기계 계정인 비인간 서비스 계정(봇이라고도 함)과 관련이 있습니다. 문제는 대부분의 조직이 이러한 계정이 몇 개인지 또는 각 계정이 무엇을 하는지(즉, 다양한 서비스 계정이 인증하는 소스 및 대상) 알지 못한다는 것입니다.

    그 이유는 이러한 계정을 모두 검색할 수 있는 진단 도구가 없습니다. 많은 조직이 수천 개를 보유하고 있기 때문에 이는 놀라운 환경입니다. 여전히 더 무서운 것은 공격자가 거의 탐지되지 않은 측면 이동을 수행하여 여러 시스템과 시스템에 쉽게 액세스할 수 있도록 종종 높은 권한을 가진 서비스 계정을 끊임없이 손상시키려는 사실입니다.

    많은 조직이 PAM(특권 액세스 관리) 솔루션 사용자 계정을 안전하게 유지하기 위한 것이지만 서비스 계정에는 제한이 있습니다. 이는 일반적으로 서비스 계정 액세스가 자격 증명이 하드 코딩된 스크립트를 실행하여 수행되기 때문입니다. 이는 이러한 비밀번호가 자동으로 교체될 수 없음을 의미합니다. WFP 문제를 일으키지 않습니다(예: 서비스 계정이 더 이상 대상 컴퓨터에 로그인할 수 없어 중요한 프로세스가 중단되는 경우).

    방법 Silverfort 랜섬웨어를 막기 위해 보안 사각지대 해결

    XNUMXD덴탈의 Silverfort 통합 인증 신원 보호 플랫폼은 이러한 사각지대를 해결하기 위해 만들어졌습니다. 사용자 인증이 이루어지는 장소(즉, ID 제공자 내)에 집중함으로써, Silverfort 모든 리소스에 대한 ID 위협의 실시간 방지를 확장하고 랜섬웨어의 확산을 방지할 수 있습니다.

    작동 방식은 AD가 모든 인증 및 액세스 시도를 Silverfort 액세스 결정을 내리기 전에 "두 번째 의견"을 위해. 한 번 Silverfort 요청을 수신하면 위험 엔진 및 구성된 정책에 대해 분석하여 추가 보안 확인(특히 MFA)이 필요한지 여부를 결정합니다. 그 의미는 Silverfort 사실상 프로토콜에 구애받지 않음: 사용자가 AD에 인증하는 한 해당 요청은 사용된 프로토콜이 Kerberos, NTLM 또는 LDAP인지 여부를 분석하고 평가할 수 있습니다.

    결과는 Silverfort 모든 리소스에 MFA를 적용할 수 있습니다. (자체 서비스를 통해 또는 MFA 공급자와의 통합을 통해) 공격자가 측면 이동을 위해 지속적으로 사용하는 명령줄 인터페이스를 포함합니다. 랜섬웨어 확산으로 이어지는 첫 번째 사각지대를 해결합니다.

    Silverfort 모든 서비스 계정을 검색하고 보호할 수도 있습니다. 플랫폼은 모든 인증 및 액세스 요청을 볼 수 있으므로 반복적인 머신 라인 동작을 표시하는 모든 계정을 신속하게 식별하고 서비스 계정으로 레이블을 지정할 수 있습니다. 뿐만 아니라, Silverfort 이러한 계정이 정상적인 활동에서 벗어나는 동작을 표시하는 경우 MFA를 트리거(또는 액세스 차단)하여 지정된 특정 시스템에만 연결하도록 허용함으로써 이러한 계정에 "가상 펜싱"을 제공할 수 있습니다. 즉, 서비스 계정을 손상시킨 공격자는 측면 이동을 수행할 수 없습니다.

    이 모든 작업은 다음에서 특정 액세스 정책을 구성하여 수행됩니다. Silverfort 쉽고 직관적인 프로세스인 플랫폼. 명령줄 액세스, 파일 공유 및 레거시 애플리케이션과 같은 보호하기 어려운 리소스에 MFA를 적용하는 정책을 즉시 적용할 수 있으며 많은 조직에서 몇 주 내에 아무런 조치 없이 모든 서비스 계정을 검색하고 보호할 수 있음을 알게 되었습니다. 비즈니스 중단.

    오늘 저희에게 연락하십시오 데모 어떻게 보는지 Silverfort 조직이 랜섬웨어를 중지하도록 도울 수 있습니다.


    데모 준비가 되셨습니까?
    오늘 등록하십시오.

    최근 게시물

    오월 9일 (2024년)

    Silverfort Microsoft와의 새로운 통합 발표 Entra ID EAM 

    오월 6일 (2024년)

    MITM을 사용하여 FIDO2 피싱 방지 보호 우회

    , 2을 2024nd 수 있습니다

    Silverfort RSA 2024에서 연구 공개: MITM을 사용하여 SSO에 대한 최신 인증 방법 우회

    사월 24 일 (2024 년)

    AD 위생을 강화하는 5가지 방법 Silverfort  
    더보기

    Follow Us

    인증 공격 막기