다음 주에는 솔라윈즈 해킹이 처음 공개된 지 1주년이 되는 날입니다. 2020년 12월 13일, 파이어아이는 다음과 같은 사실을 처음 공개했습니다. 선버스트, 이 “글로벌 침입 캠페인'은 궁극적으로 다음과 같은 영향을 미쳤습니다. 18,000개 조직, 미국 상무부, 국토안보부, 재무부, Microsoft, Deloitte 및 기타 여러 민간 기업을 포함합니다. 해커는 최대 14개월 동안 액세스 권한을 가졌을 수 있습니다.
솔라윈즈 침해 사고로 인해 주요 정책 변경이 이루어졌으며 정보 제공 모든 연방 정보 시스템을 개선하기 위한 바이든 대통령의 행정 명령에 따라 사이버 보안.
하지만 1년이 지난 지금, 가트너의 보안 위험 및 개인정보 보호 담당 부사장인 피터 퍼스트브룩 는 대부분의 기업이 이번 공격의 주요 시사점 중 하나를 제대로 파악하지 못했다고 말합니다: “ID 인프라 자체는 주요 타겟 해커를 위한 것입니다.”라고 VentureBeat의 카일 알스팍은 말합니다.
퍼스트브룩은 지난달 가트너의 보안 및 위험 관리 서밋에서 이러한 교훈을 되짚으며 “기업들은 이번 공격의 신원 보안 영향을 가장 염두에 두어야 한다”고 지적했습니다.”
솔라윈즈 침해 사고가 처음 알려진 지 거의 1년이 지난 지금이 솔라윈즈 침해 사고 이후 우리가 배운 몇 가지 주요 교훈과 유사한 일이 다시 발생하지 않도록 리더가 정체성을 우선시해야 하는 이유를 다시 한 번 살펴볼 좋은 시기입니다.
퍼스트브룩은 솔라윈즈 캠페인을 요약하면서 공격자들이 “주로 신원 인프라를 공격하는 데 집중했다”고 말했습니다.”
퍼스트브룩은 비즈니스 리더들에게 이렇게 말했습니다: “여러분은 ID에 많은 돈을 투자해 왔지만, 이는 대부분 좋은 사람들을 어떻게 들여보낼 것인가에 관한 것이었습니다. ID 인프라가 손상된 시점을 파악하고 인프라를 유지 관리하는 데 돈을 써야 합니다.”
퍼스트브룩은 솔라윈즈의 ID 및 액세스 관리(IAM) 시스템은 ’공격자들에게 풍부한 표적 공격 기회“였다고 말합니다. 해커들은 오래된 웹 쿠키를 훔쳐 멀티팩터 인증을 회피하고, 다음을 사용하여 비밀번호를 훔쳤습니다. 커버로스팅; SAML 인증서를 사용하여 “클라우드 서비스에 의한 신원 인증 활성화”, Active Directory에서 새 계정 만들기.
공격자들이 ID를 우선시한 이유는 액세스 권한, 인증 회피 능력, 초기 침입을 넘어설 수 있는 능력 등 필요한 모든 것을 제공하기 때문입니다. 퍼스트브룩은 “ID는 공격자들이 횡적으로 이동하고 한 도메인에서 다른 도메인으로 이동하는 데 사용하는 연결 조직입니다.”라고 말합니다.
공급망 공격 솔라윈즈 침해와 같이 “제품 또는 제품 전달 메커니즘을 조작”하여 다운스트림의 표적을 감염시킵니다. 보다 간접적인 형태의 공격으로, 공격자들은 자신도 모르는 공범을 이용하기 때문에 탐지가 더 어렵습니다.
이러한 공격을 방지할 수 있는 방법을 묻는 질문에 퍼스트브룩은 “현실적으로 불가능하다”고 답했습니다.”
알스팍은 퍼스트브룩의 냉소적인 태도에 대해 자세히 설명하며 “디지털 ID 관리는 기업에서 악명 높으며, 많은 기업이 사람, 기계, 애플리케이션 ID를 포함한 ID 스프롤로 인해 어려움을 겪고 있습니다. 로봇 프로세스 자동화).”
이 문제는 기업의 공급업체로까지 확대되어 오늘날에는 중견 기업도 다음과 같이 배포합니다. 수백 의 SaaS 앱이 있습니다.
퍼스트브룩은 공급망 공격(또는 다른 특정 익스플로잇)을 막으려 하기보다는 초점을 전환하여 위협에 대비해야 한다고 조언했습니다. “알려진 공격 기법에 대해 ID 인프라를 모니터링하고, ID 인프라를 기업의 경계로 생각해야 합니다.”
퍼스트브룩의 말이 맞습니다. 오늘날 기업은 수많은 공급업체, 재택 근무 직원, 외부 사용자 및 기타 제3자가 자사 에코시스템에 액세스하는 것을 수용해야 합니다. 사용자와 사용 사례가 기하급수적으로 증가함에 따라 조직이 모든 경우에 제어할 수 있어야 하는 것이 바로 ID입니다. 랜섬웨어, 공급망 공격 또는 사이버 범죄의 새로운 유행에 관계없이 ID는 새로운 경계가 되었습니다.
솔라윈즈 이후 ID 보안을 위한 모범 사례:
- 제로 트러스트를 향한 구축: 제로 트러스트 는 사이버 보안에 대한 새로운 사고방식으로 암묵적인 신뢰를 제거합니다. 모든 사용자, 디바이스, 요청, 애플리케이션을 잠재적 위협으로 간주하고 액세스 및 권한에 대한 모든 자격을 지속적으로 확인합니다. 제로 트러스트는 제품이나 공급업체가 아니라 사이버 보안에 대한 사고 방식이며, 제로 트러스트를 향한 구축을 시작하는 유일한 방법은 ID부터 시작하는 것입니다. 기업은 사용자가 누구인지, 어떻게 인증할 것인지, 어떤 정보에 대한 액세스가 필요한지 파악하는 것부터 시작해야 합니다. 이러한 기반이 마련되면 기업은 ID 우선 보안을 구축할 수 있습니다.
- 모든 플랫폼에서 모든 플랫폼으로, 모든 플랫폼에 대한 인증: 이 시점에서 멀티팩터 인증(MFA)은 모든 조직의 필수 요건이 되어야 합니다. MFA가 없는 것은 콜로니얼 파이프라인 랜섬웨어 공격 의 핵심 부분이며 바이든 대통령의 사이버 보안 명령. 그러나 MFA 는 Windows와 macOS, FIDO 키, 일회용 암호 등 사용자가 어떤 방식으로 사용하든, 심지어 사용자가 오프라인 상태일 때도 작동해야 합니다.
- 모든 비밀번호에 결함이 있습니다.: 솔라윈즈 유출 사건에 대한 초기 보도 중 일부는 ‘solarwinds123’이라는 특정 비밀번호에 초점을 맞추었습니다. 의원들은 이 단순한 인증정보 때문에 솔라윈즈를 비난하기도 했지만, 나중에 이 비밀번호는 FTP 사이트의 비밀번호로 유출과는 무관한 것으로 밝혀졌습니다. 그러나 ‘solarwinds123’는 모든 비밀번호가 사이버 범죄자가 해독하기에는 너무 쉽고 사용자가 기억하기에는 너무 어렵다는 점을 간과하고 있습니다. 이러한 비밀번호는 안전하지 않고 비용이 많이 들며 합법적인 사용자에게는 불편을 초래합니다. 기업의 경우, 더 복잡한 비밀번호를 도입하는 것이 해결책이 되어서는 안 됩니다. 대신, 기업은 비밀번호를 완전히 없애고 다음과 같은 방법을 사용해야 합니다. 비밀번호 없는 환경 만들기 사용자가 비밀번호를 생각하거나 입력하거나 관리할 필요가 없습니다.
- 누가 어떤 정보에 액세스할 수 있는지 파악: 인증이 네트워크 내부에 액세스할 수 있는 사람을 결정한다면, ID 거버넌스 및 관리(IGA)는 사용자가 해당 액세스 권한으로 수행할 수 있는 작업을 제어합니다: IGA를 통해 기업은 적절한 리소스에 대한 적절한 리소스에 대한 액세스 권한을 설정할 수 있습니다. 이는 사용자 또는 악의적인 행위자가 사전에 정의된 역할을 벗어나 옆으로 또는 그 이상으로 이동하는 것을 방지하는 방법입니다(SolarWinds는 ‘solarwinds123’의 인턴을 처음 비난했습니다. ID 거버넌스 프로그램이 있었다면 해당 인턴이 액세스할 수 있는 대상과 해당 액세스로 궁극적으로 무엇을 할 수 있었는지 밝혀졌을 것입니다). The 최고의 솔루션 는 액세스 인증을 자동화하여 “ID 스프롤'을 제어하고 이상 징후와 정책 위반의 우선순위를 지정합니다.
1년이 지난 지금도 기업들은 “21세기 최대의 사이버 보안 침해 사건 중 하나”를 이해하기 위해 노력하고 있습니다. 이는 ID 확산, 클라우드 리소스에 대한 의존도 증가, 영구적인 원격 및 하이브리드 구성, 사용자, 리소스 및 디바이스 간의 상호 의존성 증가 등 초기에 SolarWinds 침해 사고의 원인이 된 많은 트렌드가 2020년 12월 13일 이후 더욱 가속화되었기 때문이 큽니다.
이제 어디로 가야 할까요? 앞으로 나아갈 유일한 방법은 우리의 운영 환경이 얼마나 복잡해졌는지 인식하고(또는 인정하고) 각 환경에서 반복되는 속성을 우선적으로 방어하는 것입니다. 아이덴티티를 새로운 경계로 삼고 아이덴티티를 최우선으로 생각해야 합니다.
