이제 우리는 정기적으로 성공적인 푸시 폭격 공격이 일반적인 공격 방법이 되었기 때문입니다. 오늘날 조직은 일반적으로 공격자가 이미 사용자 이름/비밀번호와 같은 인증 요소 중 하나를 가지고 있는 멀티팩터 인증(MFA) 푸시 폭탄 공격에 더 많이 직면하고 있습니다. 그런 다음 공격자는 사용자의 스마트폰으로 전송되는 푸시 알림을 요청할 수 있습니다.
프롬프트 폭격 공격은 다음을 기반으로 합니다. MFA 피로. 예기치 않은 푸시 알림을 받는 것은 정상적인 일이 아니지만 사용자는 요청을 승인할 수 있습니다. 사용자가 올바른 선택을 하여 처음에 요청을 거부하더라도 메시지로 인해 지치거나 혼란스러워할 수 있습니다. 단 한 번의 '허용'만 있으면 공격자가 인증됩니다. 환경의 구조 및 기타 보안 제어에 따라 위협 행위자가 기업 애플리케이션, 네트워크 또는 파일에 액세스할 수 있는 권한이 부여될 수 있습니다. 저희는 최근 다음과 같은 사양을 자세히 설명했습니다. ID Plus 라는 블로그에서 이러한 공격을 탐지하고 방어하는 데 사용하는 방법을 설명합니다. MFA 프롬프트 폭탄 공격으로부터 보호.
MFA 피로를 처리하는 것은 대부분의 조직에서 흥미로운 보안 과제입니다. 이러한 유형의 공격이 일상적으로 발생해서는 안 되지만, 공격이 발생하면 보안팀은 이에 대해 알고 대응해야 합니다. 이는 공격을 받고 있다는 의미일 뿐만 아니라 이미 일부 자격 증명이 유출되었을 가능성이 높습니다. 프롬프트 폭격은 발생 빈도가 낮고 위험도가 높은 범주에 속합니다. 이 글에서는 보안 운영팀의 관점에서 이러한 유형의 공격에 대처하는 몇 가지 기본적인 방법을 간략하게 설명합니다.
푸시 폭격에 대비하고 MFA 피로에 맞서려면 인적 요소부터 준비해야 합니다.
- 사용자 인식. 사용자는 인식하는 것 이상으로 정보를 얻고, 경계하고, 관심을 가져야 합니다. 하지만 동시에 사이버 보안에 대한 인식을 쉽게 키울 수 있어야 하며, 그렇지 않으면 실패할 것입니다. 1년에 한 번 보안 인식 교육을 받는 것은 규정 준수 요구 사항을 충족하고 어느 정도 도움이 될 수 있지만, 정교한 공격에 대응하기에는 충분하지 않습니다. 사용자들에게 커뮤니케이션을 시작하지 않은 경우 의심스러운 것으로 간주해야 한다는 사실을 알려야 합니다. 사용자에게 적절한 도구와 교육이 있다면 기회가 있을 수 있습니다.
- 사용자 교육. 최종 사용자가 잘못된 푸시 인증 요청을 받을 수 있으며, 100번 본 대화 상자에서 자동으로 '확인'을 클릭해서는 안 된다는 사실을 알 수 있도록 해야 합니다. 이 메시지가 일부 또는 대부분의 사용자에게 전달되도록 하려면 보안 프로그램에서 이메일 알림, 모든 사용자가 액세스할 수 있는 영구 블로그 페이지에 알림 게시, 다른 회사 문서나 보안 랜딩 페이지에 알림 링크를 추가하거나 사이버 보안 인식의 달의 테마로 설정하는 등 사용자에게 정기적으로 알리는 방법을 고려해야 합니다.
- 사용자 리소스. MFA 피로도 및 프롬프트 폭격 공격을 성공적으로 실행하려면 공격자가 이미 사용자의 자격 증명을 가지고 있을 가능성이 높다는 점을 기억하세요. 보다 지능적인 공격자는 스피어 피싱을 시작하고 사용자에게 SMS, WhatsApp 알림, 전화 또는 이메일을 보내 MFA 피로에 혼란을 더할 수 있습니다. 사용자가 이러한 시도에 대응할 수 있으려면 문제를 신고하는 방법을 잘 알고 헬프 데스크, 서비스 데스크 및 보안 팀이 어떻게 소통하는지 잘 이해해야 합니다. 다시 말하지만 여기서 말하는 인식은 연례 교육이 아니라 사용자와의 지속적인 커뮤니케이션과 필요한 리소스를 찾는 방법 및 작동 방식에 대한 일반적인 이해를 의미합니다. 모든 사용자가 즉시 서비스 데스크에 전화하는 방법을 알고 있고 서비스 데스크에 최신 문서가 있거나 팀원 중 누군가가 이 리소스의 존재를 기억하고 찾을 수 있다면 조직은 잘 준비되어 있는 것입니다.
- 사용자 작업. 교육을 받지 않은 리소스가 없는 사용자가 좋은 표적이 될 수 있습니다. 사용자가 항상 적절한 도구(Teams, Slack 등)를 통해 서비스 센터에 연락을 요청하고 확인된 커뮤니케이션이 먼저 오지 않는 한 전화를 받지 않아야 한다는 것을 알고 있나요? 기대치를 설정하고 사용자가 확실하지 않은 경우 확인할 수 있는 방법을 제공하세요.
요약하자면, 보안 프로그램에 대해 이러한 질문을 하고 필요에 따라 답변을 사용하여 프로세스를 개선해야 합니다:
- 사용자가 예기치 않은 푸시 인증 요청을 받은 경우 어떻게 해야 하는지 알고 있나요?
- 사용자가 보안 문제를 신속하게 보고할 수 있나요?
- 모든 사용자가 서비스 데스크에 연락하는 방법을 알고 있나요?
- 서비스 데스크에서 보안 문제에 대응하는 방법을 알고 있나요?
- 사용자가 보안팀에 직접 연락할 수 있는 수단이 있나요?
- 사용자가 서비스 데스크가 합법적으로 연락하는 방법과 그 메커니즘 이외의 연락은 신뢰해서는 안 된다는 것을 알고 있나요?
- 사용자가 연락처가 합법적인지 확인하는 방법을 알고 있나요?
MFA 피로를 방지하는 첫 번째 방법은 MFA가 발생하지 않도록 하는 것입니다. 비밀번호를 사용하지 않으면 몇 달 동안 지속될 수 있는 사용자 이름과 비밀번호 쌍이라는 주요 공격 벡터를 제거할 수 있습니다. 주요 요소로 FIDO를 사용하는 것을 고려하세요. 하지만 아직 모든 사용자에게 FIDO가 실용적이지 않을 수 있으며, 그렇다면 대신 무엇을 해야 할까요?
보안의 경우와 마찬가지로 가장 좋은 기술적 예방책은 다층적 방어입니다. 다음은 몇 가지 고려해야 할 사항입니다. 자신의 환경에 가장 적합한 것을 선택하세요:
- 여전히 사용자 아이디와 비밀번호에 의존하고 있다면 최소한 비밀번호 보관소를 마련하거나, 가장 민감한 액세스를 위한 전체 권한 인증 관리(PAM) 솔루션이 있는지 확인하세요. 또한 제대로 사용되고 있는지 확인하여 상태를 점검해야 할 때입니다.
- 인증정보가 유출된 것으로 의심되면 비밀번호를 강제로 재설정하세요. 재설정을 수행하면 향후 푸시 폭탄을 방지할 수 있습니다.
- 여러 가지 이유로 비밀번호를 임의로 변경하는 것은 바람직하지 않지만, 비밀번호를 강제로 변경하면 유출된 인증정보가 푸시 폭탄에 쉽게 사용될 수 있는 시간을 제한할 수 있습니다.
- MFA 구성을 검토하여 액세스 패턴이 합당한지 확인하세요. 아무리 좋은 MFA 솔루션이라도 제한된 인증으로 너무 많은 액세스를 허용하도록 구성할 수 있습니다.
- 상식적인 비밀번호 모범 사례도 적용됩니다. 사용자에게 서비스 간에 비밀번호를 공유해서는 안 되는 이유를 설명하도록 교육하세요. 이렇게 하면 침해가 발생하더라도 푸시 폭격의 공격 표면을 제한할 수 있습니다.
- 푸시 인증에 지나치게 의존하고 있거나 너무 민감한 데이터를 보호하려면 소프트 또는 하드 토큰을 사용하여 일회용 비밀번호(OTP) 요청 빈도를 높이는 것이 좋습니다. 공격 시나리오에서 OTP 요청은 공격자가 볼 수 있으며 사용자에게 전달되지 않습니다.
프로그래밍 방식으로 잘못된 푸시 인증 요청을 감지하려면 많은 것들이 필요할 수 있습니다. 인증 시스템의 로그가 적절한 수준으로 설정되고, 적절한 로그 수집기로 전송되고, 올바르게 구문 분석되어야 하며, 적절한 경고를 생성할 수 있는 콘텐츠가 준비되어 있어야 합니다. 그 다음에는 24시간 연중무휴로 운영되는 보안 운영 센터(SOC)에서 이 경고를 수신하고 인식하여 다음에 수행할 작업에 대한 최신 런북을 제공해야 합니다. 쉽지 않은 일처럼 들리지만 실제로는 그렇지 않습니다. 다양한 도구와 메커니즘을 통해 관련 수고를 줄일 수 있지만, 중요한 것은 관심 있는 로그 이벤트를 식별하고, 중요한 임계값을 고려하며, 알림을 받았을 때 취해야 할 조치를 파악하고 전체 프로세스를 검증해야 한다는 것입니다.
푸시 인증 거부에 대해 의미 있는 알림을 한 번만 보내는 것을 고려할 수 있으며, 너무 많은 소음이 발생하면 알림을 줄이는 것이 좋습니다. 사용자가 잘 훈련된 경우 문제를 매우 빠르게 알려줄 수 있다는 점을 기억하세요. 심지어 SIEM이 로그를 파싱하여 경보를 발신하고 SOC가 이를 감지하여 대응하는 속도보다 더 빠를 수도 있습니다. 항상 백업 계획과 여러 계층의 보안 및 모니터링 체계를 갖추는 것이 좋습니다.
로그 이벤트와 공격에 따른 가정 시나리오를 검토하세요. 올바른 데이터를 식별하고 수신하는지 확인해야 합니다. 푸시 요청을 거부하는 사용자와 관련된 로그 이벤트를 최우선 관심 항목으로 확인합니다. 또 다른 관심 항목은 중단된 푸시 인증 요청입니다.
잘못된 푸시 요청을 감지했다는 것은 자격증명 유출도 감지했을 가능성이 높다는 것을 의미합니다. 따라서 사용자가 푸시 요청에 '아니요'라고 답하더라도 기업 네트워크에 사용자 이름/비밀번호 조합으로 액세스를 허용할 수 있는 곳이 있다면 이미 어느 정도 위험에 노출되어 있을 수 있습니다. 잘못된 푸시 인증 요청에 대한 탐지 기능이 있는 경우, 이는 유출된 자격 증명을 탐지하는 메커니즘으로 사용될 수 있습니다.
RSA 사용자는 ID Plus가 위험 기반 인증 및 기타 기능을 사용하여 다음을 수행하는 방법을 확인할 수 있습니다. 즉각적인 폭격 감지 및 방어.
푸시 폭격에 대한 적절한 대응은 적절한 임계값에 따라 달라집니다. 그러나 예기치 않은 푸시 인증이 한 번만 발생하더라도 사용자는 세션이 중단되고 비밀번호를 변경해야 합니다. 이는 발생 빈도가 낮은 이벤트여야 한다는 점을 기억하세요. 미안해하지 말고 안전하세요. 비밀번호를 변경하면 향후 특정 사용자 자격 증명을 이용한 잠재적인 공격도 예방할 수 있습니다.
비밀번호가 오래되었더라도 조직에서 MFA의 일부인 경우 비밀번호를 강제로 재설정하는 신뢰할 수 있는 프로세스를 개발하여 문서화하고, 침해가 의심되는 경우 비밀번호 변경 및 세션 해지를 트리거할 수 있도록 경영진의 사전 동의를 얻으세요. 공격자가 네트워크에 오래 액세스할수록 더 많은 피해를 입힐 수 있습니다. 대응 시간을 고려하세요. 경고를 받으면 신뢰할 수 있는 채널을 통해 신속하고 적극적으로 사용자 또는 관리자에게 연락하고, 이메일 양식 편지 등 조직에 적합한 연락 메커니즘을 결정하여 사용자 및 관리자에게 상황을 알리고 경각심을 갖도록 하세요. 커뮤니케이션은 신뢰를 구축하는 데 큰 도움이 되며, 이는 향후 보안 문제 발생 시 큰 도움이 됩니다.
푸시 폭탄은 공격의 한 유형이므로 전체 프로그램에서 푸시 폭탄에 대한 대응의 우선순위를 사용자 환경에 대한 가능성 및 위험도에 따라 정해야 한다는 점을 명심하세요. 공격자가 공격에 성공하면 다른 보안 제어를 통해 피해를 제한하고 신속하게 복구할 수 있도록 해야 합니다.
