신원 위협 탐지 및 대응

  • 전문가 팀으로부터
데모 받기

신원 위협 탐지 및 대응

  • 전문가 팀으로부터
데모 받기
둘러보기
차례

Rescale과 함께 비즈니스를 가속화하는 방법에 대해 알아보세요.

을 참조 Silverfort 플랫폼 작동 중

다른 기업이 할 수 없는 보안을 위해 최고 기업들이 우리를 신뢰하는 이유를 확인해 보세요.

데모 받기

ITDR(ID 위협 탐지 및 대응)은 자격 증명 도용, 권한 상승 및 가장 중요한 측면 이동을 포함하여 ID 관련 위험을 식별하고 완화하는 데 초점을 맞춘 프로세스 및 기술을 의미합니다. ITDR에는 ID 손상 징후 모니터링, 의심스러운 활동 조사, 위협을 억제하기 위한 자동 및 수동 완화 조치 수행이 포함됩니다.

ITDR은 다양한 방법을 사용하여 분석합니다. 인증 잠재적인 신원 기반 위협을 감지하기 위한 트래픽. 눈에 띄는 방법은 머신 러닝을 사용하여 액세스 이상을 감지하고, 의심스러운 인증 시퀀스를 모니터링하고, 인증 패킷을 분석하여 Pass-the Hash와 같은 TTP를 공개하는 것입니다. 케르베로스팅 및 기타. 가장 중요한 것은 다음과 같습니다. ITDR 이러한 모든 방법을 결합하여 정확도를 높이고, 새로운 컴퓨터에 액세스하는 사용자를 비정상으로 표시하여 경고를 발생시키는 거짓 긍정을 방지합니다.  

ITDR 솔루션 다단계 인증과 같은 자동화된 대응을 통해 감지된 이상이 실제로 악의적인지 확인하고 손상된 것으로 판단된 계정의 액세스를 차단하는 조치를 취합니다. . 또한 보안 분석가가 조사하고 해결할 수 있도록 경고를 생성합니다. 분석가는 계정 비밀번호를 재설정하고, 계정을 잠금 해제하고, 검토할 수 있습니다. 특권 계정 액세스하여 데이터 유출 징후를 확인합니다.

효과적인 ITDR을 위해서는 조직 전반에 걸쳐 ID 신호를 집계해야 합니다. 신원 인프라. 여기에는 온프레미스 및 클라우드 디렉터리는 물론 사용자 인증을 관리하는 환경 내의 모든 구성 요소(예: Active Directory). 이상적으로는 액세스 시도가 시작될 때 이러한 신호를 실시간으로 처리하고 분석해야 하지만 일부 ITDR 솔루션은 로그를 소급하여 분석합니다. ITDR 솔루션이 더 많은 데이터를 분석할수록 정교한 위협을 더 정확하게 탐지할 수 있습니다. 그러나 개인정보 보호, 데이터 보안, GDPR과 같은 규정 준수도 보장해야 합니다. 

ITDR은 강력한 사이버 보안 아키텍처의 중요한 구성 요소입니다. ITDR은 조직이 강력한 회복력을 구축하도록 돕습니다. 측면 운동, 계정 탈취 및 랜섬웨어 확산을 방지하여 오늘날 기업의 사이버 위험의 중요한 부분을 제거합니다.

ITDR이 중요한 이유는 무엇입니까?

ITDR이 사이버 보안의 중요한 구성 요소가 된 데에는 몇 가지 이유가 있습니다.

  • ID는 새로운 경계입니다. 기업이 클라우드 및 하이브리드 환경으로 전환함에 따라 기존 네트워크 경계가 해체되었습니다. 사용자 및 장치 ID는 새로운 경계이므로 보호해야 합니다. 더욱이, 사용자 신원은 온프레미스 환경을 공격할 때 점점 더 악용되는 역사적인 사각지대입니다.
  • 자격 증명은 손상되기 가장 쉬운 보안 수단입니다. 피싱과 소셜 엔지니어링이 널리 퍼져 있습니다. 피싱 이메일과 사회 공학 전술은 일반적으로 사용자 자격 증명과 액세스 시스템을 도용하는 데 사용됩니다. ITDR 솔루션은 사용자 행동을 분석하여 탐지합니다. 자격 증명 도난 그리고 의심스러운 활동.
  • 규정 준수 요구 사항이 필요합니다. GDPR, HIPAA, PCI DSS 등의 규정에 따라 기업은 개인 데이터를 보호하고 신원 침해 사건 및 데이터 위반을 모니터링해야 합니다. ITDR 솔루션은 이러한 규정 준수 요구 사항을 해결합니다.
  • 공격자는 계정과 자격 증명을 표적으로 삼습니다. 도난당한 사용자 이름, 비밀번호 및 손상된 계정 네트워크와 시스템에 침투하는 데 자주 사용됩니다. ITDR은 계정 및 자격 증명이 도난당하거나 오용된 경우를 감지하여 빠른 대응을 가능하게 합니다.

ITDR의 작동 방식

ITDR 시스템은 의심스러운 활동을 감지하면 민감한 데이터에 액세스하거나 도난당하기 전에 위협을 억제하기 위해 자동화된 대응을 시작합니다. 일반적인 응답은 다음과 같습니다.

  • 의심스러운 활동에 대한 경고를 생성합니다. 
  • 계정 액세스에 다단계 인증 요구
  • 인식할 수 없는 장치나 위치로부터의 접근 차단

효과적인 ITDR을 위해서는 조직 전체의 ID 및 계정 데이터를 집계하고 분석해야 합니다. 여기에는 다음이 포함됩니다.

사용자 액세스 데이터

어떤 계정이 어떤 시스템과 리소스에 액세스할 수 있는지에 대한 세부정보입니다. 비정상적인 액세스 패턴을 모니터링하면 계정 탈취 또는 권한 에스컬레이션 공격.

행동 프로필

사용자 로그인 시간, 위치, 사용된 장치 및 기타 동작의 과거 패턴. 확립된 프로필과의 차이는 계정 손상을 나타낼 수 있습니다.

그래프 기반 사이버 위협 인텔리전스

활성 사이버 위협, 공격 기술 및 손상 지표에 대한 정보입니다. ITDR 솔루션은 이상 행동 및 의심스러운 이벤트를 알려진 위협과 비교하여 표적 공격을 식별할 수 있습니다.

관계 매핑

사용자, 계정 및 시스템 간의 연결. 관련되지 않은 계정이나 리소스 간의 측면 이동을 감지하면 활성 침입을 발견할 수 있습니다.

ITDR은 이 데이터를 지속적으로 모니터링하고 위협이 감지되면 신속하게 조치를 취함으로써 중요한 고객 데이터, 지적 재산 또는 기타 중요한 디지털 자산을 노출시킬 수 있는 신원 기반 위반의 위험을 줄이는 데 도움이 됩니다. 사이버 범죄자들이 공격 벡터로서 ID에 점점 더 초점을 맞추면서 ITDR은 많은 조직에서 심층적인 사이버 방어의 중요한 구성 요소가 되었습니다.

ITDR 솔루션의 핵심 구성 요소

효과적인 ITDR 솔루션은 함께 작동하는 네 가지 핵심 구성 요소에 의존합니다.

지속적인 모니터링

지속적인 모니터링은 네트워크, 시스템 및 사용자 계정 신원 위협을 나타낼 수 있는 변칙적인 경우. 로그, 이벤트, 기타 데이터에 대한 지속적인 분석을 통해 위협을 조기에 탐지하는 데 도움이 됩니다. 지속적인 모니터링 솔루션은 기계 학습 및 행동 분석을 사용하여 정상적인 활동의 기준을 설정하고 ID 시스템을 표적으로 하는 공격 신호를 보낼 수 있는 편차를 찾아냅니다.

ID 거버넌스

ID 거버넌스는 디지털 ID 및 액세스 권한을 관리하는 것을 목표로 합니다. 이는 사용자 액세스가 적절하고 보안 정책을 준수하는지 확인합니다. ID 거버넌스 솔루션은 사용자 프로비저닝 및 프로비저닝 해제를 자동화하고 액세스 정책을 시행하며 정책 위반을 모니터링합니다. 이는 조직의 시스템과 애플리케이션 전반에 걸쳐 액세스를 제어하는 ​​중앙 집중식 방법을 제공합니다.

그래프 기반 사이버 위협 인텔리전스

위협 인텔리전스는 네트워크와 계정을 표적으로 삼는 위협 행위자의 동기, 방법, 도구에 대해 조직에 알려줍니다. ITDR 솔루션은 위협 인텔리전스를 통합하여 보안 팀이 새로운 유형의 ID 공격을 예측하는 데 도움을 줍니다. 새로운 위협에 대한 지식으로 무장한 조직은 정교한 ID 손상을 더 효과적으로 감지하고 대응할 수 있습니다.

사고 대응

ID 위협이 감지되면 자동화된 사고 대응 기능을 통해 피해를 최소화할 수 있습니다. ITDR 솔루션은 손상된 계정 비활성화, 영향을 받은 시스템 격리, 비밀번호 재설정 등 사전 정의된 대응 조치를 실행합니다. 또한 보안 팀에 사건에 대해 알리고 추가 조사 및 해결에 도움이 되는 정보를 제공합니다.

이러한 네 가지 구성 요소가 모두 포함된 ITDR 솔루션은 조직이 지속적인 모니터링 및 거버넌스를 통해 ID 위협에 대해 선제적인 입장을 취하고, 위협 인텔리전스에서 새로운 공격 기술에 대한 통찰력을 얻고, 사고 발생 시 신속하게 대응하는 데 도움이 됩니다. 디지털 ID 및 액세스에 대한 포괄적인 가시성과 제어 기능을 통해 조직은 계정, 네트워크, 시스템, 애플리케이션 및 데이터에 대한 위험을 줄일 수 있습니다.

조직에 ITDR 구현

ITDR 솔루션을 구현하려면 전략적 계획과 실행이 필요합니다. 조직에 ITDR을 성공적으로 배포하려면 다음과 같은 몇 가지 주요 단계를 따라야 합니다.

  1. 먼저, 조직의 보안 취약성과 위험을 평가합니다. 여기에는 모니터링과 보호가 필요한 중요 시스템, 애플리케이션, 데이터 자산 식별이 포함됩니다. 또한 ITDR 솔루션으로 해결할 수 있는 격차를 확인하기 위해 기존 보안 제어 및 절차를 평가하는 작업도 포함됩니다.
  2. 다음으로 ITDR 요구 사항과 범위를 결정합니다. 조직은 무단 액세스, 데이터 위반, 계정 탈취 등 솔루션이 해결해야 하는 위협과 위험을 결정해야 합니다. 또한 ITDR 솔루션이 모니터링할 시스템, 애플리케이션 및 계정을 결정해야 합니다.
  3. 요구 사항이 정의되면 조직은 요구 사항을 충족하는 공급업체의 다양한 ITDR 솔루션을 평가할 수 있습니다. 감지된 ID 위협 유형, 배포 및 사용 용이성, 기존 보안 도구와의 통합, 비용 등의 요소를 평가해야 합니다. 옵션을 비교한 후 요구 사항에 가장 적합한 솔루션을 선택합니다.
  4. 선택한 ITDR 솔루션은 조직의 인프라 및 보안 스택과 함께 배포, 구성 및 통합됩니다. 사용자 액세스 및 권한이 설정되고, 경고 및 대응에 관한 정책이 설정되며, 관리자는 솔루션 운영을 위한 적절한 교육을 받습니다.
  5. 배포 후에는 ITDR 솔루션이 제대로 작동하고 최대 가치를 제공하는지 지속적으로 모니터링해야 합니다. 정책과 구성은 학습된 교훈을 바탕으로 시간이 지남에 따라 조정되어야 합니다. 새로운 ID 위협을 해결하기 위해 솔루션 자체를 업그레이드해야 할 수도 있습니다. 지속적인 교육과 실습은 ID 위협을 탐지하고 대응하는 팀의 기술을 구축하는 데 도움이 됩니다.

세심한 관리와 적절한 솔루션을 갖춘 조직은 피해를 주는 신원 위협에 대비해 보안 태세를 강화할 수 있습니다. ITDR을 잘 구현하면 회사는 ID 손상이 피해를 입히기 전에 발견하고 완화할 수 있는 강력한 메커니즘을 제공합니다.

ITDR 모범 사례

ITDR의 모범 사례에는 주요 취약점 식별, 위협 모니터링, 대응 계획 마련이 포함됩니다.

확인하다 신원 보안 격차가 있는 경우 조직은 정기적인 위험 평가와 침투 테스트를 수행해야 합니다. 위험 평가에서는 인프라, 애플리케이션 및 사용자 액세스 제어를 평가하여 공격에 악용될 수 있는 약점을 찾습니다. 침투 테스트는 실제 공격을 시뮬레이션하여 취약점을 찾아냅니다. 취약점을 식별하는 것은 새로운 위협이 등장하고 환경이 변화함에 따라 지속적인 프로세스입니다.

지속적인 모니터링도 중요합니다. 여기에는 비정상적인 로그인 활동에 대한 사용자 계정 모니터링, 무차별 대입 공격 또는 데이터 유출 징후가 있는지 네트워크 트래픽 관찰, 사후 손상 감지를 위한 로그 분석이 포함됩니다. 보안팀은 주요 위험 지표를 설정하고 정기적으로 모니터링해야 합니다.

사고 대응 계획을 갖추면 조직은 침해 발생 시 신속하게 조치를 취할 수 있습니다. 계획에는 위협을 억제하고 시스템을 복원하기 위한 주요 역할과 책임, 통신 프로토콜, 절차를 지정해야 합니다. 계획은 효율성을 보장하기 위해 시뮬레이션을 통해 테스트되어야 합니다. 또한 팀은 위협 인텔리전스에 액세스하여 적의 전술, 기술 및 절차에 대한 최신 정보를 얻을 수 있어야 합니다.

기타 모범 사례는 다음과 같습니다.

  • 사용자 신원 확인을 위한 다단계 인증
  • 최소 권한 사용자 권한을 제한하는 액세스 정책
  • 정기적인 피싱 시뮬레이션 및 직원을 위한 보안 인식 교육
  • 데이터 상호 연결을 위한 중앙 집중식 로깅 및 보안 정보 및 이벤트 관리(SIEM)
  • 다음과 같은 경우의 백업 및 복구 전략 랜섬 또는 기타 파괴적인 공격
  • 신원은 다음과 같다고 가정합니다. 공격 표면.

이러한 모범 사례를 따르면 조직이 보안에 대해 사전 대응적인 입장을 취하는 데 도움이 됩니다. 위협을 조기에 감지하고 테스트된 대응 계획을 세우면 공격으로 인한 피해를 최소화하고 복구 시간을 단축할 수 있습니다. 교묘한 적들보다 앞서기 위해서는 지속적인 개선이 핵심입니다. 기술과 기법이 끊임없이 발전함에 따라 ITDR은 지속적인 우선순위가 되어야 합니다.

주요 ITDR 과제와 이를 극복하는 방법

ITDR 솔루션은 조직이 효과적이기 위해 극복해야 하는 몇 가지 주요 과제에 직면해 있습니다.

ID는 공격 표면으로 처리되지 않습니다.

The 신원 공격 표면은 오늘날 IT 환경에서 가장 덜 보호됩니다. 왜냐하면 맬웨어, 악용 또는 피싱 공격과 달리 손상된 자격 증명을 사용한 악의적인 액세스는 합법적인 액세스와 동일하여 식별 및 차단이 매우 어렵기 때문입니다.

가시성 부족

ITDR 도구는 위협을 탐지하기 위해 데이터에 의존하지만 많은 조직에서는 사용자 및 엔터티 동작에 대한 가시성이 부족합니다. 인증 로그, 네트워크 활동 및 기타 데이터 소스에 액세스하지 않으면 ITDR 솔루션은 이상 현상을 발견하는 능력이 제한됩니다. 조직은 ITDR에 필요한 데이터를 제공하기 위해 포괄적인 로깅 및 모니터링을 구현해야 합니다.

오탐지가 너무 많습니다.

너무 많은 오탐지를 생성하는 ITDR 시스템은 보안 팀을 압도하고 시스템에 대한 신뢰를 감소시킵니다. 조직은 탐지 규칙을 사용자 정의하고, 경고 임계값을 구성하고, 알려진 오탐을 필터링하여 ITDR 시스템을 해당 환경에 맞게 조정해야 합니다. 또한 기계 학습을 사용하여 시스템이 네트워크의 정상적인 동작에 적응하도록 도울 수 있습니다. 강력한 ITDR 솔루션에는 MFA 접근을 경고하거나 차단하기 전에 추가 확인 단계로 사용됩니다. 이는 노이즈를 필터링하고 실제 위협만 대응하도록 하는 가장 효과적인 방법입니다.

컨텍스트 부족

ITDR 경고는 의심스러운 이벤트에 대한 정보를 제공하지만 이벤트에 대한 컨텍스트가 부족한 경우가 많습니다. 조직은 관련된 사용자, 장치, 네트워크에 대한 세부 정보는 물론 의심스러운 이벤트로 이어지는 활동과 같은 추가 컨텍스트를 수집해야 합니다. 컨텍스트는 분석가가 경고가 참 긍정인지 아닌지를 판단하는 데 도움이 됩니다.

기술 및 자원 부족

효과적인 ITDR을 위해서는 숙련된 보안 분석가가 경고를 검토, 조사 및 대응해야 합니다. 그러나 사이버 보안 기술 부족은 많은 조직에 분석가가 부족하다는 것을 의미합니다. 조직은 ITDR을 관리형 보안 서비스 제공업체에 아웃소싱하거나 SOAR(보안 조정, 자동화 및 대응) 도구를 사용하여 검토 및 대응 프로세스를 간소화하는 것을 고려해야 합니다.

부실한 대응 계획

효과적인 탐지가 이루어지더라도 조직은 위협에 적절하게 대응하고 이를 억제하기 위해 잘 정의된 대응 계획을 가지고 있어야 합니다. 조직은 다양한 유형의 위협에 대한 대응을 결정하고, 일반적인 시나리오에 대한 실행서를 작성하고, 역할과 책임을 할당하고, 대응 효과를 측정하기 위한 지표를 설정해야 합니다. 계획과 실천은 조직이 신원 위협으로 인한 피해를 최소화하는 데 도움이 될 수 있습니다.

ITDR의 미래: 다음은 무엇입니까?

ITDR 분야는 새로운 위협에 대처하고 새로운 기술을 활용하기 위해 끊임없이 발전하고 있습니다. 앞으로 진행될 개발 사항 중 일부는 다음과 같습니다.

자동화와 AI

인공 지능과 자동화가 ITDR 솔루션으로 진출하고 있습니다. AI는 엄청난 양의 데이터를 분석하여 이상 징후를 탐지하고, 제로데이 위협을 식별하고, 사고에 대한 대응을 조율하는 등의 작업에 도움을 줄 수 있습니다. 자동화는 반복적인 수동 작업을 처리하여 보안 분석가가 보다 전략적인 작업에 집중할 수 있도록 해줍니다. 현재 많은 ITDR 솔루션에는 일정 수준의 AI와 자동화가 통합되어 있으며, 이러한 추세는 향후 몇 년 동안 더욱 가속화될 것입니다.

클라우드 기반 솔루션

더 많은 조직이 인프라와 워크로드를 클라우드로 이동함에 따라 ITDR 솔루션이 뒤따르고 있습니다. 클라우드 기반 ITDR 옵션은 온프레미스 및 클라우드 환경 전반에 걸쳐 비용 절감, 확장성 향상, 일관된 보안과 같은 이점을 제공합니다. 또한 클라우드 제공업체가 제공하는 클라우드 기반 보안 도구와 고급 위협 탐지 옵션을 활용합니다. 시간이 지남에 따라 ITDR이 계속해서 클라우드로 전환될 것으로 예상됩니다.

ITDR 기술의 통합

현재 조직에서는 SIEM, 엔드포인트 탐지 및 대응, 네트워크 트래픽 분석, 신원 위협 탐지와 같은 기능을 위해 별도의 도구를 배포하는 경우가 많습니다. 이러한 분산된 접근 방식은 보안 허점을 야기할 수 있으며 광범위한 수동 통합 작업이 필요할 수 있습니다. 미래는 위협 탐지 및 대응 수명주기 전반에 걸쳐 단일 창을 제공하는 통합 ITDR 플랫폼인 융합입니다. 통합 솔루션은 복잡성을 줄이고 가시성 격차를 해소하며 프로세스를 간소화하고 궁극적으로 조직의 보안 상태를 개선합니다.

신원 및 액세스에 중점

경계 방어가 해체됨에 따라 ID가 새로운 경계가 되었습니다. 미래의 ITDR 솔루션은 사용자 자격 증명, 계정 및 액세스 권한을 표적으로 삼는 위협을 탐지하고 대응하는 데 더욱 중점을 둘 것입니다. 신원 분석, 사용자 행동 모니터링 및 관련 기능 권한 있는 액세스 관리 계속해서 확대하고 강화해 나갈 것입니다. 많은 조직에서 신원 위협 탐지 및 대응은 ITDR 전략의 초석이 될 수 있습니다.

맺음말

개인 ID와 계정을 대상으로 사이버 위협이 더욱 정교해짐에 따라 ITDR 솔루션은 이상 징후를 탐지하고 진행 중인 계정 탈취를 중지하며 영향을 교정할 수 있는 사전 예방적인 방법을 제공합니다. 기계 학습 및 행동 분석을 통해 ITDR은 규칙 기반 시스템이 놓친 위협을 찾아낼 수 있습니다. 그리고 조직은 오케스트레이션을 통해 대응을 자동화하여 위협을 신속하게 억제할 수 있습니다. 사이버 보안 전문가와 그 조직의 경우 강력한 ITDR 전략을 구현하는 것이 오늘날 가장 위험한 ID 기반 공격에 앞서기 위한 핵심입니다.

용어집으로 돌아가기