와 함께 최근 멀티팩터 인증(MFA) 프롬프트 폭탄 공격 성공 소식 RSA는 이러한 유형의 공격을 방어하기 위한 지침에 대한 요청을 점점 더 많이 받고 있습니다. 이전에 저희는 블로그 게시물 에서 공격자가 MFA 피로를 악용하고 프롬프트 폭격을 사용하여 액세스 권한을 얻는 방법을 자세히 설명했습니다. 이 게시물에서는 다음과 같은 특정 구성에 중점을 둡니다. ID Plus 를 사용하여 이러한 유형의 MFA 피로도 및 프롬프트 폭격 공격을 탐지하고 방어할 수 있습니다.
모든 인증 요소가 동일하게 만들어지는 것은 아닙니다. RSA는 하드웨어 기반 일회용 비밀번호(OTP) 인증의 선구자로 가장 잘 알려져 있지만, 기술과 RSA 모두 진화해 왔습니다. 스마트폰의 확산은 편리한 MFA의 광범위한 채택을 촉진했습니다. 널리 채택되고 있는 한 가지 방법은 사용자가 승인 또는 거부할 수 있는 옵션이 포함된 푸시 알림을 스마트폰 애플리케이션으로 보내는 것입니다.
이 경우 사용자는 비밀번호를 입력하고 스마트폰 또는 스마트 워치에서 이 푸시 알림에 응답합니다. 사용자가 승인을 선택하면 액세스가 허용되고, 거부를 선택하면 액세스가 거부됩니다. 이 방법은 물리적 인증 장치(하드웨어 토큰)를 제공할 필요가 없으므로 효과적입니다. 사용자에게 편리하며 다음에 취약하지 않습니다. SIM 스와핑 공격 SMS 기반 인증 방식입니다.
푸시 기반 인증은 더 편리하지만 사용자가 시작하지 않은 인증 시도를 식별하고 거부하는 데 의존하기 때문에 일회용 비밀번호와는 달리 프롬프트 폭탄 공격에 취약할 수 있습니다.
사용자는 여러 가지 방법으로 보조 장치(예: 휴대폰 또는 보안 키)의 소유를 증명할 수 있습니다. 일회용 비밀번호는 이를 위한 일반적인 방법이며, 일회용 비밀번호는 FIDO 표준, 가 빠르게 인기를 얻고 있습니다. 여기서 핵심은 인증 방법마다 장단점이 다르다는 것을 이해하는 것입니다. 어떤 경우에는 특정 인증 방법이 보안과 편의성을 맞바꾸기도 합니다. 나쁜 트레이드오프처럼 들릴 수 있지만 편의성은 채택을 촉진하는 데 도움이 됩니다.
제 현관문을 비유로 들어보겠습니다. 현관문에 4개의 데드볼트를 설치하면 누군가가 침입하기 어렵게 만들 수 있습니다. 보안을 강화하는 대신 편의성을 희생할 가치가 있을까요, 아니면 데드볼트 하나로 보안과 편의성 사이에서 적절한 균형을 맞출 수 있을까요?
성공적인 MFA 구현의 핵심은 다양한 인증 방법의 장단점을 이해하고 적절한 경우 더 편리한 인증 방법을 사용하고 위험에 따라 더 강력한 방법(덜 편리할 수 있음)을 요구하여 적절한 균형을 맞추는 것입니다.
내 ID Plus 플랫폼에 각 인증 방법이 할당됩니다. 보증 수준. 그런 다음 관리자는 필요한 보증 수준을 결정하는 정책을 만듭니다. 이 정책 엔진은 매우 유연합니다(자세한 내용은 다음에서 확인할 수 있습니다. 여기). 정책에서 요구하는 보증 수준에 따라 필요한 보증 수준을 충족하는 인증 옵션 목록이 사용자에게 표시됩니다.
정적 정책을 사용하여 필요한 보증 수준을 결정하는 것 외에도 ID Plus에는 보다 동적인 접근 방식을 취할 수 있는 기능도 있습니다. 이 기능을 다음과 같이 부릅니다. 신원 신뢰도. ID 신뢰도 엔진은 다양한 요소를 사용하여 각 인증 시도를 실시간으로 분석하고 신뢰도 점수를 높거나 낮게 반환합니다. 이 결과는 정책 내에서 특정 인증 수준을 요구하는 데 사용할 수도 있습니다. 신뢰도 점수는 단독으로 사용하거나 정책 내에서 다른 조건과 함께 사용할 수 있습니다.
이 기능을 실제로 적용하면 신뢰 점수가 높을 때는 편리한 푸시 알림을 허용하지만 신뢰 점수가 낮을 때는 더 강력한 요소를 요구할 수 있습니다. 인식할 수 없는 디바이스 및 낯선 위치에서 유출된 인증 정보를 사용하여 악의적인 인증을 시도하면 낮은 신뢰 점수가 트리거됩니다. 이 정책에 따라 공격자는 OTP 또는 보안 키를 요청받게 되며 정상적인 사용자의 휴대폰으로 푸시 알림을 트리거할 수 없게 됩니다.
ID Plus의 또 다른 기능은 고위험 사용자 목록. 이 기능은 보안 도구가 사용자를 고위험군으로 표시할 수 있는 인터페이스를 제공합니다. NetWitness 또는 Azure Sentinel과 같은 솔루션을 사용하여 ID Plus 플랫폼 외부에서 보이는 활동 또는 경고를 기반으로 사용자를 고위험군으로 표시할 수 있습니다. 정책 엔진을 사용하여 고위험 사용자는 애플리케이션에 대한 액세스가 거부되거나 액세스를 얻기 위해 고수준 보안 보장 인증 방법을 제공하도록 요구받을 수 있습니다.
현관문의 예로 돌아가서, 데드볼트를 추가하는 대신 카메라를 설치했다고 가정해 보겠습니다. 카메라를 통해 데드볼트를 무력화하려는 모든 시도를 모니터링하고 경고를 받을 수 있습니다. 마찬가지로 인증 활동에 대한 모니터링과 알림은 귀중한 인사이트를 제공합니다. 프롬프트 폭탄 공격의 경우, 사용자는 인식되지 않은 첫 번째 시도를 거부하는 경우가 많지만 공격자가 충분한 시도를 보내면 결국 승인할 수 있습니다. 이벤트 로그를 모니터링하고 의심스러운 패턴에 대한 경고를 생성하여 가시성을 확보하고 보안팀에 잠재적 또는 성공한 공격을 조사하도록 알릴 수 있습니다.
ID Plus의 각 인증 이벤트는 프로세스의 각 단계에 대한 구체적인 세부 정보와 함께 기록됩니다(전체 목록은 다음과 같습니다. 여기). 다음은 반복적으로 발생하면 프롬프트 폭탄 공격의 징후일 수 있으므로 모니터링할 것을 권장하는 몇 가지 특정 이벤트 ID입니다:
| 이벤트 코드 | 설명 |
| 702 | 인증 승인 실패 - 사용자 응답 시간이 초과되었습니다. |
| 703 | 인증 승인 실패 - 사용자가 승인을 거부했습니다. |
| 802 | 장치 생체 인식 인증에 실패했습니다 - 사용자 응답 시간이 초과되었습니다. |
| 803 | 장치 생체 인식 인증에 실패했습니다. |
프롬프트 폭격 또는 다른 방법을 통해 성공적으로 액세스 권한을 획득한 후에는 새로운 MFA 장치를 등록하는 것이 일반적인 기법입니다. MFA 등록 시 단순한 비밀번호 이상을 요구하여 등록 프로세스를 보호하는 것 외에도 RSA는 다음을 활성화할 것을 권장합니다. 이메일 알림, 를 사용하여 악성 로그인을 승인했을 수 있는 사용자에게 새 인증서가 등록되었거나 기존 인증서가 삭제되었다는 추가 알림을 제공합니다.
즉각적인 폭격 공격과 MFA 피로를 방지합니다:
- 사용자에게 인식할 수 없는 인증 메시지를 승인하는 것의 위험성에 대해 교육하고, 이러한 상황이 발생하면 보안팀에 신고하고 비밀번호를 변경하도록 권장하세요.
- 특정 애플리케이션이나 상황에서는 대체 인증 방법을 사용하는 것을 고려하세요. 신뢰도 및 고위험 사용자 목록을 확인하면 큰 도움이 될 수 있습니다.
- 거부되거나 시간 초과된 푸시 요청이 있는지 로그를 모니터링하고 연속적으로 발견되면 알림을 생성합니다.
- 보안 MFA 디바이스 등록 프로세스.
- 장치 변경에 대한 이메일 알림을 사용 설정합니다.
