ITE(ID 위협 노출)는 자격 증명 도용, 권한 상승 또는 측면 이동과 같은 ID 위협에 환경을 노출시키는 보안 약점입니다. ITE는 잘못된 구성, 레거시로 인해 발생할 수 있습니다. 신원 인프라, 또는 내장된 기능도 있습니다.
공격자는 자격 증명 도용, 권한 상승 및 공격을 수행하기 위해 이러한 ITE를 공동 공모자로 사용합니다. 측면 운동. 게다가 AD 동기화의 일반적인 관행으로 인해 사용자 계정 클라우드 IdP에 이 지하 노출 또한 공격자에게 SaaS 환경에 대한 직접 액세스를 제공할 수도 있습니다.
신원 위협 노출이 위험한 이유는 무엇입니까?
오늘날 대다수의 조직은 온프레미스 리소스용 AD(Active Directory)와 SaaS용 클라우드 IdP가 포함된 하이브리드 ID 인프라를 사용합니다.
일반적인 관행은 AD가 사용자의 해시를 클라우드 IdP에 동기화하여 사용자가 온프레미스 리소스와 동일한 자격 증명으로 SaaS 앱에 액세스할 수 있도록 하는 것입니다. 이는 SaaS 환경의 잠재력을 크게 향상시킵니다. 공격 표면, 공격자가 일반 텍스트 암호를 획득하게 되는 모든 공격은 클라우드 자산으로의 길을 열어주기 때문입니다.
약하게 해독된 비밀번호 해시(NTLM, NTLMv1, SPN을 사용하는 관리자)를 노출하거나 공격자가 사용자 비밀번호를 재설정할 수 있도록 하는 ITE(섀도우 관리자)은 이미 적들에 의해 광범위하게 악용되고 있습니다.
어떤 신원 위협 노출 유형이 있습니까?
공격자가 달성할 수 있는 악의적인 작업을 기반으로 ITE를 네 가지 그룹으로 분류합니다.
- 비밀번호 노출자: 공격자가 사용자 계정의 일반 텍스트 비밀번호에 액세스할 수 있도록 허용하는 ITE입니다.
- 프리빌리지 에스컬레이터: 공격자가 이미 소유하고 있는 액세스 권한을 상승시킬 수 있도록 하는 ITE입니다.
- 측면 이동자: 공격자가 사용할 수 있도록 하는 ITE 손상된 계정 감지되지 않은 측면 이동을 수행합니다.
- 프로텍션 다저스: 사용자 계정을 모니터링하고 보호할 때 보안 제어의 효율성을 떨어뜨리는 ITE입니다.
신원 위협 노출의 예
| 카테고리 | 관련 MITER ATT & CK | 예 |
| 비밀번호 노출자 | 자격 증명 액세스 | NTLM 인증NTLMv1 인증SPN을 사용하는 관리자 |
| 프리빌리지 에스컬레이터 | 권한 에스컬레이션 | 섀도우 관리자무제한 위임 |
| 측면 이동자 | 측면 운동 | 서비스 계정 많은 사용자 |
| 프로텍션 다저스 | 이 범주에 매핑되는 정확한 MITRE ATT&CK 기술은 없습니다. 이를 통해 공격자는 오랫동안 탐지되지 않을 수 있습니다. | 새로운 사용자 계정공유 계정오래된 사용자 |
신원 위협 노출로부터 보호하는 방법은 무엇입니까?
- 노출된 위치를 파악하세요
귀하의 환경에 있는 다양한 유형의 ITE에 대한 가시성을 확보하십시오. AD 사용자를 클라우드 IdP에 동기화하는 경우 Microsoft의 모범 사례를 따르고 대량의 유휴 사용자가 생성되지 않는지 확인하세요. - 가능한 경우 위험을 제거하세요.
귀하의 환경에 있는 다양한 유형의 ITE에 대한 가시성을 확보하십시오. AD 사용자를 클라우드 IdP에 동기화하는 경우 Microsoft의 모범 사례를 따르고 대량의 유휴 사용자가 생성되지 않는지 확인하세요. - 기존 위험을 억제하고 모니터링합니다.
다음과 같이 제거할 수 없는 ITE의 경우 서비스 계정 또는 NTLM을 사용하는 경우 SecOps 팀이 이러한 계정을 면밀히 모니터링하여 손상 징후가 있는지 확인하는 프로세스를 갖추고 있는지 확인하십시오. - 예방 조치를 취하십시오
신청 아이덴티티 세분화 가능한 경우 사용자 계정이 특집 ITE의 희생양이 되지 않도록 규칙을 적용하거나 MFA 정책을 적용합니다. 서비스 계정 그렇게 되면 미리 지정된 리소스를 벗어난 다른 목적지에 접근하는 것이 차단됩니다. - ID 및 보안 팀 연결
에 대한 책임 신원 보호 ID와 보안 팀 사이에 배포됩니다. 여기서 후자의 지식을 통해 어떤 ITE를 해결할지 우선순위를 정할 수 있고, 전자는 이러한 수정 사항을 적용하여 사실상 통합된 ITE를 생성할 수 있습니다. 신원 보안 자세.