권한 에스컬레이션

차례

이 용어집을 공유하세요:

권한 상승은 리소스에 대한 무단 액세스를 얻거나 컴퓨터 시스템 또는 네트워크 내에서 무단 작업을 수행하려는 공격자의 행동을 설명하는 사이버 보안에서 사용되는 용어입니다.

이러한 유형의 공격은 개별 시스템부터 대규모 네트워크 인프라에 이르기까지 모든 조직의 환경에서 발생할 수 있습니다. 권한 상승에는 두 가지 기본 유형이 있습니다.

  1. 수직적 권한 상승: "권한 상승"이라고도 하는 이는 공격자가 관리 또는 루트 액세스를 대상으로 할 때 더 높은 권한을 얻을 때 발생합니다. 이를 통해 공격자는 기밀 데이터 액세스, 시스템 구성 수정, 악성 소프트웨어 배포 등 시스템에서 거의 모든 작업을 수행할 수 있습니다.
  2. 수평적 권한 상승: 이 시나리오에서 공격자는 비슷한 권한 수준을 가진 다른 사용자의 신원을 가장하여 네트워크 전체에 걸쳐 액세스를 확장합니다. 권한을 수직적으로 상승시키지는 않지만 공격자는 추가 리소스에 대한 무단 액세스 권한을 얻습니다. 이는 정보 도용이나 네트워크 내 추가 공격에 악용될 수 있습니다.

권한 상승의 일반적인 시나리오

소프트웨어 취약점 악용: 공격자는 자신의 권한을 상승시킬 수 있는 소프트웨어나 운영 체제의 결함을 악용하는 경우가 많습니다. 이러한 취약점은 부적절한 테스트, 레거시 코드 또는 패치되지 않은 시스템으로 인해 발생할 수 있습니다.

구성 오류: 권한이 지나치게 부여된 잘못 구성된 시스템 및 서비스는 권한이 낮은 사용자에게 중요한 기능이나 데이터에 대한 액세스 권한을 실수로 부여할 수 있습니다.

섀도우 관리자: 섀도우 관리자는 사용자 계정 실수로 전체 또는 부분 관리자 권한이 할당되거나 관리자 계정에 대한 구성/재설정 권한이 할당되었습니다. 타협하다 섀도우 관리자 공격자가 높은 액세스 및 구성 권한을 가진 계정을 제어할 수 있게 하여 추가 리소스에 대한 추가 액세스 및 손상을 위한 길을 열어줍니다.

무제한 위임: 안전하지 않은 레거시 버전의 위임입니다. 그것은 허용합니다 손상된 계정 위임 계정과 동일한 모든 리소스에 액세스합니다. 이 기능은 사용자를 대신하여 다른 컴퓨터에 액세스하는 컴퓨터 계정에 주로 필요합니다. 예를 들어 앱 서버가 앱 사용자에 대한 데이터를 가져오기 위해 데이터베이스에 액세스하는 경우입니다. 관리자 계정이 무제한 위임이 있는 머신에 로그인하면 해당 TGT는 머신의 메모리에 계속 저장됩니다. 이를 통해 공격자는 사용자 계정의 TGT 권한으로 새 세션을 설정할 수 있습니다.

사회 공학 및 피싱 공격: 공격자는 합법적인 사용자나 관리자를 속여 악의적인 작업을 실행함으로써 높은 권한을 얻을 수 있습니다.

도난당한 자격 증명의 사용: 공격자는 키로깅이나 데이터 침해 악용 등 다양한 방법을 사용하여 자격 증명을 훔칠 수 있습니다. 그런 다음 이러한 자격 증명은 보안 조치를 우회하여 합법적인 사용자로 시스템에 액세스하는 데 사용됩니다.

측면 운동: 권한 상승은 공격 체인의 측면 이동보다 먼저 발생하는 경우가 많습니다. 처음에는 공격자가 제한된 권한으로 네트워크에 액세스할 수 있습니다. 권한 상승을 통해 네트워크의 보다 안전한 영역에 액세스하거나 맬웨어 설치 또는 민감한 데이터 추출과 같은 특정 작업을 실행하는 데 필요한 더 높은 수준의 권한을 획득합니다.

권한 상승 시도 감지

권한 상승 탐지는 포괄적인 사이버 보안 방어 전략의 중요한 구성 요소입니다. 이러한 시도를 조기에 식별함으로써 IT 및 보안 전문가는 잠재적인 피해를 완화하고 공격자가 무단 액세스를 시도하는 것을 방지할 수 있습니다. 이 섹션에서는 주요 침해 지표(IoC)와 효과적인 탐지에 사용되는 도구 및 기술을 간략하게 설명합니다.

침해 지표(IoC)

비정상적인 계정 활동: 여기에는 반복적인 로그인 실패, 관리자가 아닌 사용자의 권한 있는 명령 사용 또는 사용자 권한의 갑작스러운 변경이 포함됩니다. 이러한 활동은 공격자가 상승된 권한을 얻거나 이용하려는 시도를 나타낼 수 있습니다.

예상치 못한 시스템 변경: 사전 승인이나 통지 없이 시스템 파일을 수정하거나 새 소프트웨어를 설치하거나 시스템 구성 설정을 변경하는 것은 지속적인 권한 상승 공격을 나타낼 수 있습니다.

네트워크 트래픽의 이상: 특히 알려진 악성 IP 주소나 도메인에 대한 비정상적인 아웃바운드 트래픽 패턴은 공격자가 높은 액세스 권한을 얻은 후 데이터를 유출하고 있음을 시사할 수 있습니다.

보안 로그 변조: 공격자는 보안 로그를 삭제하거나 변경하여 자신의 흔적을 가리려고 하는 경우가 많습니다. 로그 파일의 설명할 수 없는 공백이나 로그 항목의 불일치는 승인되지 않은 작업을 숨기기 위한 조작의 명백한 징후일 수 있습니다.

완화 전략 및 모범 사례

권한 상승 위험을 효과적으로 완화하려면 예방 조치, 강력한 보안 정책, 조직 내 사이버 보안 인식 문화의 조합이 필요합니다. 다음은 권한 상승 공격에 대한 노출을 최소화하고 보안 태세를 강화하기 위해 고안된 주요 전략과 모범 사례입니다.

예방 조치

  • 정기적인 소프트웨어 업데이트 및 패치 관리: 권한 상승에 대한 가장 간단하면서도 효과적인 방어 방법 중 하나는 모든 시스템과 소프트웨어를 최신 상태로 유지하는 것입니다. 패치를 정기적으로 적용하면 공격자가 상승된 권한을 얻기 위해 악용할 수 있는 취약점이 해결됩니다.
  • 원리 최소 권한 (PoLP): 사용자가 자신의 역할에 필요한 액세스 권한만 갖도록 하여 최소 권한 원칙을 시행합니다. 사용자 권한에 대한 정기적인 검토 및 감사는 악용될 수 있는 불필요한 액세스 권한의 축적을 방지하는 데 도움이 됩니다.
  • 강력한 인증 및 액세스 제어 조치: 다단계 인증 구현(MFA) 및 강력한 액세스 정책을 통해 무단 액세스 시도로부터 사용자 계정을 보호합니다. 민감한 시스템과 높은 권한 계정의 경우 고급 사용을 고려하세요. 인증 생체 인식이나 하드웨어 토큰과 같은 방법.
  • 업무 분리(SoD): 중요한 작업과 권한을 여러 사용자 또는 부서에 나누어 단일 손상 지점의 위험을 줄입니다. 이 접근 방식은 공격자가 조직의 한 세그먼트 내에서 권한을 상승시키는 경우 공격자가 입힐 수 있는 잠재적 피해를 제한합니다.

대응 전략

  • 신원 위협 탐지 및 대응 (ITDR): 신원 도용 및 남용과 관련된 위협을 실시간으로 탐지합니다. ITDR 솔루션은 액세스 패턴과 행동을 분석하여 권한 상승 시도를 나타낼 수 있는 의심스러운 활동을 식별하고 그에 따라 대응할 수 있습니다.
  • 사고 대응 계획: 권한 상승 사고 처리를 위한 특정 절차를 포함하는 포괄적인 사고 대응 계획을 개발하고 정기적으로 업데이트합니다. 이 계획에는 역할, 책임, 의사소통 프로토콜, 격리, 근절 및 복구 단계가 요약되어 있어야 합니다.
  • 사전 모니터링 및 경고: SIEM, EDR 활용, 신원 보안 권한 상승 징후를 지속적으로 모니터링하는 UEBA 솔루션. 에스컬레이션 시도를 나타내는 비정상적인 활동에 대한 경고를 구성하여 공격자가 심각한 피해를 입히기 전에 신속하게 대응할 수 있습니다.
  • 법의학 분석 및 해결: 권한 상승 사고 후 철저한 포렌식 분석을 수행하여 공격 벡터, 악용된 취약점 및 위반 범위를 이해합니다. 이 정보를 사용하여 보안 조치를 강화하고 향후 발생을 방지하세요.

보안 환경을 위한 모범 사례

  • 보안 인식 교육: 사이버 보안 모범 사례, 사회 공학의 위험성, 운영 보안 유지의 중요성에 대해 모든 직원을 정기적으로 교육합니다. 교육받은 사용자는 권한 상승으로 이어질 수 있는 공격에 희생될 가능성이 적습니다.
  • 보안 구성 및 강화: 모든 시스템과 애플리케이션에 보안 구성 지침과 강화 표준을 적용합니다. 불필요한 서비스를 제거하고, 사용하지 않는 포트를 닫고, 보안 설정을 시행하여 공격 표면.
  • 취약점 검색 및 침투 테스트: 정기적으로 취약성 평가 및 침투 테스트를 수행하여 보안 취약점을 식별하고 교정합니다. 이러한 연습을 통해 공격자가 악용하기 전에 잠재적인 권한 상승 경로를 찾아낼 수 있습니다.

이러한 완화 전략을 구현하고 사이버 보안 모범 사례를 준수한 결과, 조직은 권한 상승 공격의 위험을 크게 줄일 수 있습니다. 이러한 위협으로부터 방어하려면 경계, 교육, 지속적인 개선을 최우선으로 하는 기술 솔루션과 사전 예방적인 보안 문화가 모두 필요합니다.

클라우드 환경에서 권한 상승

클라우드 컴퓨팅으로의 전환으로 인해 권한 상승을 방지하는 것이 더욱 복잡하고 어려워졌습니다. 클라우드 환경의 고유한 확장성, 유연성 및 공동 책임 모델로 인해 보안에 다르게 접근해야 합니다. 이 섹션에서는 클라우드 기반 인프라의 독특한 과제를 강조하고 권한 상승 위협으로부터 클라우드 환경을 보호하기 위한 모범 사례를 제공합니다.

클라우드 환경의 고유한 과제

  1. 복잡한 ID 및 액세스 관리(IAM) 구성: 클라우드 플랫폼은 잘못 구성될 경우 실수로 과도한 권한을 부여하여 권한 상승 기회로 이어질 수 있는 세분화된 IAM 기능을 제공합니다.
  2. 책임 분담 모델: 클라우드 서비스 공급자(CSP)와 고객 간의 보안 책임 분할로 인해 적용 범위의 격차가 발생할 수 있으며, 특히 IAM 구성 보안을 담당하는 사람이 누구인지 모호한 경우 더욱 그렇습니다.
  3. API 보안: 클라우드 서비스는 API를 통해 액세스 및 관리되는 경우가 많으며, API가 제대로 보호되지 않으면 권한 상승 공격의 벡터가 될 수 있습니다.
  4. 임시 리소스 및 동적 액세스: 리소스가 증가하고 감소하는 클라우드 환경의 동적 특성으로 인해 과도한 권한을 방지하기 위해 적응적이고 지속적으로 업데이트되는 액세스 제어가 필요합니다.

클라우드 환경 보안 모범 사례

  • 구현 최소 권한 클라우드 리소스에 대한 액세스: 온프레미스 방식과 유사하게 클라우드 IAM 정책이 최소 권한 원칙을 엄격하게 준수하는지 확인하세요. IAM 정책과 역할을 정기적으로 감사하여 악용될 수 있는 불필요한 권한을 제거합니다.
  • 클라우드 기반 IAM 도구 활용: AWS IAM Access Analyser 또는 Azure AD Privileged와 같이 CSP에서 제공하는 도구를 활용합니다. ID 관리, 권한을 분석하고 잠재적인 권한 에스컬레이션 경로를 감지합니다.
  • 보안 관리 인터페이스 및 API: 시행하다 MFA 클라우드 관리 인터페이스 및 API에 액세스하기 위한 강력한 인증 방법. IP 허용 목록과 같은 네트워크 제한을 적용하여 이러한 중요한 엔드포인트에 대한 액세스를 제한합니다.
  • 탐지 및 교정 자동화: CSPM(클라우드 보안 상태 관리) 도구를 사용하여 잘못된 구성 및 IAM 이상 감지를 자동화합니다. 식별된 문제를 신속하게 해결하기 위해 자동화된 교정 워크플로우를 구현합니다.
  • 클라우드 팀 교육 및 훈련: 클라우드 환경을 다루는 팀이 클라우드 보안 모범 사례와 CSP의 특정 보안 기능에 대해 잘 알고 있는지 확인하세요. 정기적인 교육은 권한 상승으로 이어지는 실수로 인한 잘못된 구성을 방지하는 데 도움이 될 수 있습니다.
  • 지속적인 모니터링 및 로깅: 클라우드 서비스 로그를 활성화하고 모니터링하여 비정상적인 액세스 패턴이나 IAM 구성 변경 사항을 감지합니다. 클라우드 네이티브 또는 타사 SIEM 솔루션을 사용하여 로그 데이터를 집계하고 분석하여 잠재적인 권한 상승 징후를 찾아보세요.
  • DevSecOps 접근 방식 채택: 보안을 CI/CD 파이프라인에 통합하여 IAM 정책 및 클라우드 구성이 개발 및 배포 프로세스의 일부로 평가되도록 합니다. 이러한 사전 예방적 접근 방식은 보안 문제가 프로덕션에 도달하기 전에 이를 포착하고 해결하는 데 도움이 됩니다.

권한 상승으로부터 클라우드 환경을 보호하려면 기술 제어, 지속적인 모니터링, 강력한 보안 문화를 결합한 사전 예방적이고 계층화된 접근 방식이 필요합니다. 클라우드 IAM의 고유한 문제를 해결하고 클라우드 기반 보안 도구를 활용함으로써 조직은 클라우드에서 권한 상승 공격에 대한 방어력을 강화할 수 있습니다.

용어집으로 돌아가기