최근 기억에 남는 가장 큰 데이터 유출 사고 중 일부는 멀티팩터 인증(MFA)을 회피했습니다. MFA 구성 방식을 공격하거나 사용자를 프롬프트 폭격하거나 하청업체를 공격하는 등 LAPSUS$와 국가 지원 에이전트는 ID 수명 주기의 약점을 공격하고 데이터를 유출하는 방법을 찾아냈으며, MFA가 최후의 방어선이 아니라 첫 번째 방어선이 되어야 하는 이유를 드러냈습니다.
최근 웨비나에서 이러한 각 공격에 대해 설명해 드렸습니다. 온디맨드. 공격의 구조를 자세히 설명하면서 위협 행위자들이 사용한 방법과 익스플로잇을 설명하려고 노력했습니다.
이러한 설명은 답변만큼이나 많은 질문을 불러일으켰습니다. 참석자들은 다양한 인증 요소의 상대적 강점, 제로 트러스트, 비밀번호 없는 인증 등에 대해 훌륭한 질문을 던졌습니다. 다음은 통화 중에 미처 다 묻지 못한 몇 가지 질문과 시간이 부족하지 않았다면 공유할 수 있었던 답변입니다:
A: 이 질문은 앞으로 수년 동안 논쟁의 대상이 될 흥미로운 질문입니다. 비밀번호와 PIN은 모두 '아는 것'이라는 인증 범주에 속하기 때문에 피싱 공격에 취약합니다. 비밀번호에 비해 PIN은 일반적으로 길이가 짧고 제한된 문자 집합을 사용합니다. 따라서 엔트로피 관점에서 볼 때 PIN은 다음과 같습니다. 약한 즉, 선택의 여지가 많을수록 비밀번호나 PIN을 무차별 대입하기가 더 어려워집니다.
하지만 이는 이야기의 일부일 뿐입니다. 비밀번호와 달리 PIN(또는 적어도 NIST SP800-63에서 정의한 PIN)은 다음과 같은 특징이 있습니다. 로컬 유효성 검사. 즉, 중앙 저장소에 전송되거나 저장되지 않습니다. 따라서 스매시 앤 그랩 공격에서 PIN이 가로채이거나 도난당할 가능성이 훨씬 적습니다.
종종 그렇듯이 프로토콜이나 기술보다 환경, 구성, 사용자 교육이 전반적인 사이버 보안 태세에 더 큰 영향을 미치는 경향이 있습니다.
A: '페일 오픈' 시스템은 표준 작동 제어가 작동하지 않을 때 기본적으로 열리도록 설정된 시스템입니다. 이는 물리적 보안에서 중요한 안전 원칙이지만(예: 화재 발생 시 모든 외부 문이 즉시 잠금 해제되어야 함), 중요 자산에 대한 접근을 보호하는 데는 그다지 유용하지 않습니다.
NGO 사용 사례에서 공격자는 로컬 시스템이 클라우드 기반 MFA 공급자와 통신하지 못하도록 하여 MFA 제어를 효과적으로 우회함으로써 자산에 대한 액세스 권한을 얻었습니다. 이는 사용 중인 ID 솔루션이 기본적으로 "열기 실패" 보안 태세).
사용자를 시스템에서 잠그지 않고도 이러한 상황을 피할 수 있는 몇 가지 방법이 있습니다. 첫 번째는 인터넷 장애 발생 시 로컬(온프레미스) 노드로 복구할 수 있는 하이브리드 인증 시스템을 사용하는 것입니다. 두 번째는 오프라인에서 유효성을 검사할 수 있는 인증 시스템을 사용하는 것입니다. RSA ID Plus는 두 가지 옵션을 모두 지원합니다.
A: 'RSA ID Plus'가 아닌 다른 답변을 하면 직장을 잃게 될 것 같습니다.
하지만 진지하게 고려해야 할 몇 가지 사항이 있습니다. 첫째, 공급업체가 입증된 실적을 보유하고 있나요? 둘째, 신원 확인이 비즈니스의 핵심인가, 아니면 여러 업무 중 하나일 뿐인가? 셋째, 벤더가 설계 결정을 내릴 때 보안보다 편의성을 우선시하는가? 넷째, 솔루션이 데이터센터 내부에 있는 털이 많은 레거시 앱을 포함하여 광범위한 사용자 및 사용 사례를 지원할 수 있는 유연성을 제공하나요? 마지막으로, 문제가 발생했을 때(그리고 실제로 발생하겠지만) 공급업체가 모든 것을 투명하게 공개하나요, 아니면 애매모호하게 책임을 전가하나요?
보안은 쉽지 않으며 위협 행위자 대상 신원 공격 표면의 다른 어떤 부분보다 더 많은 부분을 차지합니다. 조직은 이를 이해하는 IDP가 필요합니다.
A: 제로 트러스트 네트워크 액세스(ZTNA)는 다음과 같은 원칙에 기반한 개념입니다. 가정 로컬 인트라넷에 대한 사용자의 연결만을 기반으로 하는 경우 사용자는 지속적으로 인증되어야 하고, 특정 리소스에 액세스할 수 있는 권한이 있어야 하며, 액세스해야 하는 정당한 이유가 있어야 합니다.
현재 시중에는 많은 '제로 트러스트' 제품이 있지만, ZTNA는 개념적 프레임워크이자 모범 사례의 집합이라는 점에 유의해야 합니다. 방법 기술을 도입하고, 정책을 정의하고, 생태계를 관리하는 방식에 따라 ZTNA 태세가 결정됩니다. 기술은 확실히 도움이 될 수 있지만, 어떤 공급업체가 자사 제품이 ZTNA 규정을 준수할 수 있다고 말한다면 다른 업체를 찾아보세요.
제로 트러스트에 대해 자세히 알아보려면 NIST SP800-207에 정의된 제로 트러스트의 7가지 원칙부터 시작하는 것을 추천합니다.
A: Apple Face ID와 같은 옵션이 모바일 사용자에게 거의 보편화되면서 생체 인식이 비밀번호 없는 인증의 인기 있는 형태인 것은 분명하지만, 유일한 인증 방식은 아닙니다. FIDO2는 소비자 및 기업 사용 사례 모두에서 점점 더 일반적인 선택이 되고 있습니다. QR코드, BLE, NFC와 같은 비접촉식 방법도 덜 사용되기는 하지만 사용되고 있습니다. 스마트 규칙, 머신 러닝, 행동 분석과 같은 AI 원칙이 최종 사용자의 마찰을 거의 또는 전혀 일으키지 않는 보이지 않는 인증 요소로서 신원 신뢰도를 더욱 강화하는 데 점점 더 많이 사용되고 있습니다. RSA ID Plus는 현재 이러한 모든 옵션을 지원합니다.
A: 이 세 가지 공격은 모두 'ID 및 액세스 관리'가 낡은 용어는 아니더라도 불충분한 용어라는 것을 보여주는 사례라고 생각합니다.
이러한 공격은 ID를 단순히 관리하는 것이 아니라 '보안'해야 한다는 점을 강조합니다. 예를 들어, 액세스를 프로비저닝하는 것만으로는 충분하지 않습니다. '사용자에게 액세스가 필요한가'라는 질문부터 시작해야 합니다. 그렇다면 얼마나 오랫동안? 너무 많은 액세스 권한을 제공했나요, 아니면 충분한 액세스 권한을 제공했나요? 이를 어떻게 알 수 있을까요? 대부분의 경우 관리자는 어떤 식으로든, 심지어 어떻게 알 수 있는지도 모를 것입니다.
위협 행위자들은 신원에는 '관리' 이상의 것이 있다는 것을 알고 있습니다. 제가 검토한 공격은 사이버 범죄자들이 IAM이 고려하지 않는 틈새를 공격하는 방법을 보여줍니다. 저는 기업이 ID에 대한 이해를 확장하여 전체 ID 라이프사이클을 보호하고 아이덴티티를 보호해야 한다고 생각합니다.
좀 더 기술적인 측면에서는 방대한 양의 인증, 권한 및 사용 데이터를 처리하는 데 AI가 큰 역할을 할 수 있을 것으로 생각합니다. 세분화된 데이터를 신속하고 대규모로 평가할 수 있는 지능형 플랫폼은 조직의 보안을 유지하는 데 있어 진정한 자산이 될 수 있습니다.
A: SecurID와 YubiKey는 각각 해당 카테고리에서 동급 최고의 인증자입니다. 그리고 좋은 소식은, 다른 많은 인증 옵션 중, '두 가지'를 모두 지원한다는 점입니다.
공급업체의 특정 사항에서 한 발 물러나 OTP와 FIDO 인증에는 각각 고유한 이점이 있습니다. FIDO는 웹 기반 로그인을 위한 안전하고 편리한 옵션으로 인기가 높아지고 있지만, 소프트웨어 기반 FIDO 옵션은 여전히 범용성이 제한적이고 하드웨어 장치를 물리적으로 연결해야 하는 경우가 많으며 웹 브라우저 이외의 FIDO에 대한 진정한 지원은 거의 존재하지 않습니다. 반면 OTP는 특별한 클라이언트 소프트웨어나 물리적 연결 없이도 하드웨어나 소프트웨어 등 거의 모든 곳에서 작동한다는 장점이 있습니다.
그러나 OTP와 FIDO를 비교할 때 가장 좋은 답은 일반적으로 'AND'입니다. RSA DS100 인증기와 같은 하이브리드 디바이스는 두 가지 장점을 결합하여 단일 폼팩터에서 OTP와 FIDO2를 제공하여 유연성과 폭넓은 지원을 극대화합니다.
