검색

지원하는 언어

Silverfort

신원 지하 보고서

손상으로 이어지는 가장 일반적인 ID 보안 허점

귀하의 방어력은 매우 높지만 지하에는 노출되어 있습니다.

우리는 사이버 보안 연구에 공백이 있음을 발견했습니다. 현재 제공되는 대부분의 위협 보고서는 맬웨어, 위협 행위자 및 공격 킬 체인에 대해 매우 자세히 설명하고 있지만 거의 모든 사이버 공격의 일부로 작용하는 신원 격차와 약점에 대한 데이터는 거의 포함되어 있지 않습니다. 우리는 그것을 바꾸기로 결정했습니다.

 

Identity Underground는 온프레미스 및 클라우드 모두에서 자격 증명 도용, 권한 상승 또는 측면 이동으로 이어지는 가장 중요한 ID 보안 약점을 찾아내기 위한 첫 번째 시도입니다. 이는 그 자체로 취약점이나 공격이 아니라 위협 행위자가 공격에 정기적으로 사용하는 ID 인프라에 내재된 약점입니다. 따라서 우리는 이러한 격차를 ITE(Identity Threat Exposure)라고 부르기로 결정했습니다.

 

이 보고서의 데이터는 수백 개의 라이브 프로덕션 환경에서 수집되었습니다. 우리의 희망은 Identity Underground가 ID 및 보안 팀이 보안 프로그램을 벤치마킹하고 ID 보안에 투자할 위치에 대해 정보에 입각한 결정을 내릴 수 있도록 지원하는 것입니다.

당신은 알고 계십니까?

31%

전체 사용자 중 액세스 권한은 높고 가시성이 낮은 서비스 계정이 있습니다.

13%

의 사용자 계정이 오래되어 어떤 활동도 수행하지 않습니다.

12%

의 관리자 계정이 무제한 위임을 갖도록 구성되었습니다.

ITE(신원 위협 노출)로 인해 조직이 공격에 노출됩니다.

Identity Underground는 공격자가 자격 증명에 액세스하고 권한을 확대하며 온프레미스 및 클라우드 모두에서 측면 이동을 허용하는 가장 중요한 ITE를 매핑합니다. 우리는 이를 암호 노출자, 권한 에스컬레이터, 측면 이동자 및 보호 다저스의 네 가지 범주로 분류했습니다. ITE는 제거하기 어렵고 잘못된 구성, 과실, 레거시 ID 인프라 또는 내장된 기능으로 인해 발생할 수 있습니다. 그들은 자격 증명 도용의 급격한 증가와 측면 운동, 거의 모든 공격의 특징입니다. 이 보고서에 나오는 ITE는 널리 퍼져 있고 영향력이 크며 공격자가 악용할 수 있는 것으로 입증되었습니다. 다양한 유형의 ITE가 여러 개 있지만 우리는 모든 조직이 경험할 가능성이 있는 위험을 초래하는 항목만 포함했습니다.

IT 1

비밀번호 노출자

공격자가 사용자 계정의 일반 텍스트 비밀번호에 액세스할 수 있도록 허용합니다.

관련 MITRE ATT&CK 기법: 자격 증명 액세스

예 :

  • NTLM 인증
  • NTLMv1 인증
  • SPN을 사용하는 관리자

IT 2

프리빌리지 에스컬레이터

공격자가 탐지되지 않은 채 측면으로 이동할 수 있도록 합니다.

관련 MITRE ATT&CK 기법: 권한 상승

예 :

  • 섀도우 관리자
  • 무제한 위임

 

IT 3

측면 이동자

공격자가 기존 액세스 권한을 상승시킬 수 있습니다.

관련 MITRE ATT&CK 기법: 측면 이동

예 :

  • 서비스 계정
  • 많은 사용자

 

에 대한 일반적인 관행입니다. Active Directory (AD) 사용자 해시를 클라우드 IdP에 동기화하여 사용자가 온프레미스 리소스와 동일한 자격 증명으로 SaaS 앱에 액세스할 수 있도록 합니다.

이러한 방식으로 사용자 비밀번호를 동기화함으로써 조직은 실수로 온프레미스 ID 약점을 클라우드로 마이그레이션하고 비밀번호 노출기 ITE를 생성합니다. 다음을 포함한 공격자들 Alphv BlackCat 랜섬웨어 그룹는 온프레미스 설정에서 클라우드 환경을 해킹하는 것으로 알려져 있습니다.

무차별 대입 공격으로 쉽게 해독되는 NTLM 인증은 자격 증명을 도용하고 환경에 더 깊이 침투하려는 공격자의 주요 표적입니다.

최근 연구 증명점 보안 위협 행위자 TA577이 비밀번호를 얻기 위해 NTLM 인증 정보를 훔치는 모습을 보여줍니다. 이것은 Password Exposer ITE의 또 다른 예입니다.

단일 구성 오류 Active Directory 계정은 평균 109명의 새로운 섀도우 관리자를 생성합니다. 

섀도우 관리자는 비밀번호를 재설정하거나 다른 방법으로 계정을 조작할 수 있는 권한을 가진 사용자 계정입니다. 권한 에스컬레이터로 간주되는 공격자는 Shadow Admin을 사용하여 설정, 권한을 변경하고 환경에 더 깊이 들어가면서 머신에 더 많은 액세스 권한을 부여합니다.

모든 사용자 계정의 거의 3분의 1은 권한이 높은 서비스 계정입니다. 

서비스 계정은 기계 간 통신에 사용되며 많은 액세스 권한과 권한을 가진 ID입니다. 공격자의 표적 서비스 계정, 보안 팀에서 종종 간과하기 때문입니다. 오직 20%의 기업이 매우 자신감을 갖고 있습니다. 모든 서비스 계정에 대한 가시성을 확보하고 이를 보호할 수 있습니다. 알 수 없는 서비스 계정인 측면 이동자 ITE를 고려합니다.

조직을 보호하기 위해 지금 할 수 있는 일

신원은 거의 모든 공격에서 교활한 부분으로 남아 있습니다. 신원 위협 노출의 지하 세계는 조직의 신원 공격 표면. 좋은 소식은 이러한 ITE를 제거하고 신원 보안을 강화하기 위해 지금 취할 수 있는 조치가 있다는 것입니다.

1

노출된 위치를 파악하고 가능한 경우 위험을 제거하세요.

귀하의 환경에서 ITE에 대한 가시성을 확보하고, Microsoft의 모범 사례를 따르며, 오작동이나 잘못된 구성으로 인해 발생한 모든 ITE를 제거하십시오. 
자세한 내용은 여기를 찾아

2

기존 위험을 억제하고 모니터링합니다.

서비스 계정이나 NTLM 사용과 같이 제거할 수 없는 ITE의 경우 이러한 계정에 손상 징후가 있는지 면밀히 모니터링하세요.
자세한 내용은 여기를 찾아

3

예방 조치를 취하십시오

ID 분할 규칙 또는 MFA 정책을 적용하여 사용자 계정을 보호하고 서비스 계정에 액세스 정책을 시행합니다. 
자세한 내용은 여기를 찾아

4

ID 및 보안 팀 연결

ID 팀과 보안 팀의 전문 분야를 결합하여 ITE에 대한 수정 사항의 우선 순위를 정하고 구현합니다. 
자세한 내용은 여기를 찾아

신원 위협 노출을 밝히는 데 100% 전념하는 세계 최초의 보고서를 받아보세요.