2025년은 ID 보안의 중요성을 일깨우는 데 그리 오랜 시간이 걸리지 않았습니다. 미국 재무부 "중국 국가가 후원하는" 위협 행위자가 취약점을 악용하여 시스템에 액세스했다고 의회에 통지했습니다(CVE-2024-12356 및 CVE-2024-12686)를 BeyondTrust 시스템에서 사용할 수 있습니다.
그리고 CISA 에 따르면 재무부가 이번 침해 사고의 영향을 받은 유일한 연방 기관이라고 보도했지만, 이 이야기는 여전히 진행 중입니다. 영향을 받은 서비스 중 13,000개 이상의 인스턴스가 여전히 인터넷에 연결되어 있으며 취약할 수 있다고 합니다. Censys. 재무부의 최초 공개 이후, CISA는 CVE-2024-12686을 추가했습니다. 알려진 익스플로잇 취약점 카탈로그, 에 따라 연방 기관은 "해당 결함을 노리는 지속적인 공격으로부터 네트워크를 보호"해야 합니다.
월요일 아침 쿼터백 역할을 하는 것은 결코 도움이 되지 않으며, 특히 지금과 같이 유출에 대한 세부 정보가 계속 나오고 있는 상황에서는 더욱 그렇습니다. 대신 재무부 유출 사건에 대한 사실을 살펴보고 이러한 사실이 향후 조직의 사이버 보안 프로그램에 어떤 의미를 갖는다고 생각하는지 설명하는 것이 중요하다고 생각합니다.
그 보고 침해에 대해 BeyondTrust는 "원격 지원 SaaS 문제에 대한 근본 원인 분석 결과 원격 지원 SaaS의 API 키가 손상된 것으로 확인되었다"고 언급합니다. 이 보고서에서는 손상된 원격 지원 SaaS API 키가 "로컬 애플리케이션 계정의 비밀번호 재설정을 허용"한다고 언급하고 있습니다.
BeyondTrust는 즉시 API 키를 해지하고 비밀번호 재설정을 시작하는 적절한 조치를 취했습니다. 그러나 API 보안은 훨씬 더 광범위한 접근 방식의 일부가 되어야 합니다. 조직은 전체 자격증명 수명 주기를 보호해야 합니다. 이는 단순한 인증보다 더 큰 문제입니다. 조직은 사람과 기계 계정의 프로비저닝, 등록 및 재설정을 고려해야 합니다.
또한 다음 사항을 확인해야 합니다. 무엇 사용자가 인증하는 리소스는 여전히 관련이 있습니다. 명시된 목적을 위해 필요한 리소스에만 액세스할 수 있어야 합니다. 추가 액세스 권한, 즉 내가 가지고 있지만 필요하지 않은 모든 액세스 권한은 위험을 지속시킬 뿐입니다.
조직은 이를 API로까지 확장해야 합니다. 인간 사용자와 디바이스에 모든 보안의 초점을 맞추고 서비스 계정과 API는 간과하는 경향이 있습니다. 조직은 이러한 서비스에서 액세스할 수 있는 항목과 해당 액세스를 통해 수행할 수 있는 작업을 파악해야 합니다. 또한 각 테넌트마다 API를 독립적으로 생성하고 관리해야 하는데, 중복된 API 키를 보유하는 것은 비밀번호를 공유하는 것만큼이나 위험하고 나쁜 일입니다.
재무부는 의회에 보낸 서한에서 "위협 행위자가 재무부 부서(DO) 최종 사용자에게 원격으로 기술 지원을 제공하는 데 사용되는 클라우드 기반 서비스를 보호하기 위해 공급업체가 사용하는 키에 액세스했다"고 언급했습니다.
이 경우의 의미를 정확히 해석하기는 어렵지만, 2023년 공격의 비용을 생각나게 하는 요소들이 있습니다. MGM 리조트 및 시저스 엔터테인먼트 그룹 수억 달러에 달합니다.
라스베이거스 랜섬웨어 공격과 최근의 재무부 침해 사건 모두 공격자들은 조직의 지원 데스크와 API를 조합하여 사용했습니다. 가장 큰 차이점은 라스베이거스 공격의 경우 공격자가 소셜 엔지니어링을 사용하여 IT 헬프 데스크를 속여 비밀번호를 재설정했다는 것입니다.
조직은 자체 헬프 데스크가 어떤 위험을 초래할 수 있는지 이해해야 합니다. 역사적으로 위협 행위자들은 IT 헬프데스크를 사칭하여 표적을 사회적으로 조작해 왔으며, 재무부 공격에서도 이러한 전술이 사용된 것으로 보입니다.
이러한 사무실은 많은 압박을 받고 있고, 자율성이 크며, 프로세스나 행동이 완전히 문서화되어 있지 않을 수 있습니다.
헬프 데스크 담당자는 비밀번호를 재설정하거나, MFA를 제거하거나, 아예 새 계정을 만들 수 있습니다. 또한 헬프 데스크는 케이스에 대해 충분한 검토를 하거나 조치를 문서화하기 전에 조치를 취하도록 압력을 받을 수 있습니다.
이를 방지하기 위해 경영진은 보안이 가장 중요하다는 점을 강조하고, 조직은 변경 관리 프로세스를 문서화하고 사용해야 하며, 고위험 사례는 도움을 요청하는 사람이 본인이 맞는지 확인하기 위해 대역 외 통신을 요구해야 합니다. 저희의 온디맨드 웨비나 를 참조하여 조직이 피싱 공격으로부터 헬프데스크를 보호할 수 있는 방법을 알아보세요.
비욘드트러스트의 데이터 유출과 관련된 모든 요인을 파악하기에는 아직 너무 이르다. 연구원들이 지금까지 파악한 것은 이 회사가 공개한 두 가지 취약점뿐입니다. 그 외의 모든 것, 즉 취약점이 "제로 데이를 통해 BeyondTrust 시스템에 액세스하기 위해 활용되었는지, 아니면 고객에게 도달하기 위한 공격 체인의 일부로 활용되었는지"를 포함한 모든 것이 아직 밝혀지지 않았습니다. 컴퓨터 경고음, 지원 데스크가 스푸핑되었는지 여부, API 보안 방법 등은 모두 아직 추측에 불과합니다. 연구자들이 시간이 지나면 공개할 다른 요인도 있을 수 있습니다.
이것이 바로 요점입니다. 조직의 기술 스택에는 깨지거나 간과되거나 안전하지 않거나 오용될 수 있는 수많은 단계와 구성 요소가 있습니다. 조직은 이러한 모든 요소를 개별적으로 보호하기 위해 노력해야 하지만, 다음과 같은 사항도 고려해야 합니다. 더 광범위한 제로 트러스트 프레임워크 구현.
액세스를 과도하게 프로비저닝하지 말고, 기본 보안 및 설계 보안에 우선순위를 두고, 사용자를 교육하고, 사용자, 시스템 및 데이터에 대한 암묵적 신뢰를 제거하세요. 전반적인 비즈니스 프로세스와 기술 스택의 취약점을 함께 살펴보고 완벽이 선의 적이 되지 않도록 하세요. 보안 태세를 개선하거나 환경에서 암묵적인 신뢰를 제거할 수 있다면 보안 침해를 예방하거나 최소화하는 데 큰 도움이 될 것입니다.
