올가을 초 라스베이거스 카지노를 강타한 랜섬웨어 공격과 같은 보안 사고에 대한 즉각적인 대응은 원인을 찾는 것이 대부분입니다. 충동은 이해합니다. 이 공격의 영향은 고객들이 결제할 때 펜과 종이, 최대 $100 백만 의 손실이 발생한다는 것은 보안 실패로 인한 높은 비용을 보여줍니다. 누구도 데이터 유출의 다음 피해자가 되고 싶지 않을 것입니다.
하지만 사이버 보안에는 보통 한 가지 원인만 있는 것이 아닙니다. 대부분의 보안 사고에서 공격자는 일련의 취약점을 이용하여 점차적으로 환경에 대한 더 많은 액세스 권한과 제어권을 확보합니다. 일반적으로 인과관계가 없는데 인과관계를 찾는 것은 생산적이지 않습니다. 대신 보안팀은 전반적인 환경, 아키텍처, 기술 작동 방식, 그리고 다음과 같은 사항을 살펴봐야 합니다. 비즈니스 프로세스 및 문화 제로 트러스트 아키텍처에 더 가까이 다가갈 수 있습니다.
이번 공격으로 피해를 입은 카지노와 마찬가지로 사이버 공격과 사이버 보안은 모두 확률에 의존하는 경향이 있습니다. 일반적으로 조직의 사이버 보안을 위태롭게 하는 것은 하나의 아킬레스건이 아닙니다. 그 대신 통계적 확률과 위험이 서로 복합적으로 작용합니다. 보안팀은 만병통치약을 찾으려 하지 말고 눈송이를 눈사태로 바꿀 수 있는 조건을 이해해야 합니다.
ALPHV/블랙캣이 어떻게 공격을 시작했는지에 대한 자세한 내용은 알 수 없겠지만, 피해자를 침해하는 데 도움이 된 몇 가지 조건과 이러한 조건이 공격자에게 유리한 위험을 초래하는 방식에 대해서는 알고 있습니다.
그들의 문, ALPHV는 카지노가 "우리가 Okta 에이전트 서버에 잠복하여 비밀번호를 해독할 수 없는 사람들의 비밀번호를 스니핑하고 있다는 사실을 알게 된 후 모든 Okta 동기화 서버를 폐쇄했다"고 밝혔습니다.
ALPHV가 이렇게 할 수 있었던 이유는 다음과 같습니다. Okta의 애플리케이션 비밀번호 동기화, 는 "표준 API를 사용하여 비밀번호와 온프레미스 애플리케이션을 사용할 수 있을 때 동기화"합니다. 제품 설명서는 계속 이어집니다: "Okta에서 애플리케이션으로 - Okta 비밀번호 동기화를 사용 설정하면 기본 동작은 기존 비밀번호를 동기화하는 것입니다. Okta 비밀번호는 Okta에 로그인하는 데 사용되는 비밀번호입니다."
이는 쉽게 말해 Okta가 사용자의 Active Directory 비밀번호를 가지고 있다는 뜻입니다. 이는 대부분 공급업체의 클라우드 우선 아키텍처 때문인데, 비밀번호를 동기화하면 런타임에 도움이 되고 MFA 시스템을 빠르게 배포 및 롤아웃할 수 있습니다.
이러한 선택은 조직이 솔루션을 더 빠르게 배포하는 데 도움이 되지만, 핵심 사이버 보안 원칙에 반하는 주요 보안 절충안이 수반됩니다: 데이터 회피, 즉 저장하거나 전송할 필요가 없는 데이터를 저장하거나 전송하지 않는 것입니다.
조직이 무언가를 전송하면 공격자가 이를 훔치기가 더 쉬워지기 때문에 오랫동안 지켜져 온 규칙입니다. 블랙캣과 ALPHV는 Okta 에이전트 AD가 실행되고 있던 서버를 감염시켰을 가능성이 높습니다. 거기에서 비밀번호를 복사하거나, DLL을 삽입하거나, 메모리 세그먼트를 덤프하거나, 다른 작업을 수행하도록 뱀파이어 탭을 설정할 수 있습니다. 공격자가 감염된 서버에 있을 때 어떤 구체적인 조치를 취했는지는 중요하지 않습니다.
대신 비밀번호를 동기화하는 아키텍처를 배포하는 것에서 위험은 시작되었습니다. 이 선택은 다른 모든 것이 뒤따를 수 있는 조건을 마련했습니다. 이러한 결정은 사이버 보안에 있어 반석이 아닌 모래 위에 집을 짓는 것과 같은 결정입니다. 무엇을 짓든 견딜 수 있지만 왜 위험을 감수해야 할까요?
블랙캣/알프브이 공격은 서버 보안이 얼마나 어려운지를 잘 보여줍니다. 여러 업데이트, 관리자 비밀번호, 비밀번호 리플레이는 크고 복잡하며 취약한 공격 표면을 만듭니다. 이러한 유형의 구성은 일반적으로 공격자에게 유리합니다.
대안은 보안 설계 및 기본 보안을 기반으로 하는 것입니다. 원칙, 모든 제품 기능, 운영 및 프로세스에서 보안을 우선시하고 조직이 제로 트러스트에 가까워질 수 있도록 지원합니다.
많은 것들이 그렇듯, 보안 설계 및 기본 보안은 세부 사항에 관한 것입니다. 보안을 우선시하는 제품이라고 주장하기는 쉽지만, 실제로 그 기준을 충족하는 제품을 제공하기는 어렵습니다.
RSA는 이러한 원칙에서 출발하여 보안을 최우선으로 하는 솔루션을 개발합니다. 당사는 Active Directory 또는 LDAP 암호를 동기화하지 않으며 이러한 자격 증명을 보유하지 않습니다. 대신, 고객이 온프레미스 사용자 저장소에 연결하고 암호를 스니핑하여 클라우드에 동기화하는 대신 실시간으로 암호를 검증하는 강화된 가상 어플라이언스를 배포하도록 요구합니다.
이 선택에는 몇 가지 단점이 있습니다. 강화된 가상 어플라이언스와 가상 ID 라우터를 배포하는 데 시간과 노력이 조금 더 소요된다는 점입니다. 하지만 비밀번호를 동기화하지 않음으로써 공격 표면을 넓히지 않고 최소화할 수 있기 때문에 고객과 팀은 그만한 가치가 있다고 생각합니다. 동기화하지 않으면 분실할 수도 없고 공격자가 이를 악용할 수도 없습니다. 또한 다른 공급업체의 솔루션은 '더 빠른' 솔루션으로 인해 훨씬 더 큰 공격 표면과 더 많은 오버헤드를 초래하므로 장기적으로 더 많은 시간과 노력이 소요된다고 주장할 수 있습니다.
RSA® Mobile Lock, 는 관리되지 않는 디바이스에 대한 신뢰를 구축하고 BYOD 보안을 지원하며, 설계 시 보안 및 기본값 보안 원칙의 예시이기도 합니다. Mobile Lock은 사용자가 iOS 및 Android용 RSA Authenticator를 사용하여 인증을 시도할 때만 위협을 찾고 위협이 감지된 경우에만 인증을 제한합니다. 또한 기능을 수행하기 위해 최소한의 데이터만 쿼리하며, 파트너인 짐페리움은 최종 사용자의 개인 정보를 절대로 보지 않습니다. 특히 공격자가 항상 켜져 있는 백그라운드 서비스를 표적으로 삼을 수 있는 가능성에 비하면 사용자 디바이스를 지속적으로 스캔하는 등의 추가적인 작업을 통해 얻을 수 있는 보안 이득은 미미합니다.
멀티팩터 인증(MFA) 에이전트도 마찬가지입니다. 인터넷이 중단되는 경우, 당사의 MFA 에이전트는 온프레미스 배포에 장애가 발생하지 않고 장애 안전 모드로 전환되거나 MFA 에이전트 자체에서 OTP 유효성 검사가 이루어지는 오프라인 모드로 전환됩니다. 즉, 위협 공격자는 다음을 수행할 수 없습니다. MFA 회피 인터넷 연결을 끊거나 MFA 백엔드 서비스를 오프라인으로 보이게 하는 것만으로도 국가가 후원하는 행위자가 한 짓입니다. NGO 작년에
진정한 보안은 가능한 한 간단한 솔루션을 사용하고 필요할 때는 더 복잡한 솔루션을 적절히 조합하는 것입니다. 서비스의 모든 구성 요소는 가능한 한 공격 표면을 제한하도록 설계되어야 합니다. 즉, 시스템에 꼭 필요한 최소한의 정보만 수집하고 필요할 때만 해당 정보를 사용해야 합니다. 또한 공격 표면을 불필요하게 확장하지 않고 최소화하는 아키텍처 결정을 내리는 것을 의미합니다.
사이버 보안은 확률에 의존하는 경향이 있습니다. 보안을 최우선으로 생각하는 공급업체에 현명하게 베팅하여 보안을 강화하세요.
