2022년에 사이버 보안에서 배운 것이 있다면, 멀티팩터 인증(MFA)이 조직 보안의 첫 번째 방어선이 되어야 한다는 것입니다. 마지막 방어선입니다.
작년에는 MFA를 성공적으로 회피한 헤드라인을 장식한 대규모 공격이 있었습니다. 국가가 후원하는 그룹이 NGO 2022년 3월에 그런 다음 LAPSUS$는 기술 제공업체 로 이동한 후 Uber, 다른 여러 주목할 만한 공격 작년에
그 중 일부는 정교한 공격이었습니다. 그렇지 않은 공격도 있었습니다. 하지만 모두 사이버 보안이 전체 ID 라이프사이클을 보호해야 하는 이유와 방법에 대한 중요한 교훈을 제공합니다.
다음 블로그에서 이러한 MFA 공격에 사용된 단계와 조직이 이 공격으로부터 배워야 할 주요 사항을 자세히 설명하겠습니다. RSA 컨퍼런스 내일 4월 25일 오전 9시 40분(태평양 표준시 기준).
여기서 다루지 않을 한 가지 해킹은 SolarWinds 침해. 이번 프레젠테이션에서는 다루지 않겠지만 SolarWinds 공격은 전체 ID 수명 주기를 방어해야 할 필요성을 보여줍니다. 이 공격의 경우, 위협 행위자들은 SolarWinds를 사용하여 공급망 공격을 시작하고 수개월 동안 연방 기관, 사이버 보안 회사, 심지어 Microsoft에 대한 액세스 권한을 얻었습니다.
솔라윈즈 침해 사고는 조직이 신원 보안을 우선시하지 않으면 위협 행위자가 신원 보안을 우선시할 수 있다는 것을 보여주었습니다. 공격이 발생한 후 연구원들은 공격자가 MFA로 잘못 분류된 오래된 웹 쿠키 기술을 사용하여 MFA를 우회했다는 사실을 발견했습니다.
공격자들이 악용한 취약점은 이뿐만이 아니었습니다. 공격자들은 비밀번호를 훔치고, SAML 인증서를 사용하여 "클라우드 서비스에 의한 신원 인증을 활성화"하고, "Active Directory 서버에 새 계정을 생성"했습니다. 각 단계를 통해 공격자들은 더 많은 제어권과 방법을 확보하여 SolarWinds Orion 네트워크 전체에 걸쳐 측면으로 이동한 다음 고객에게 접근했습니다.
해커들이 우선순위로 삼은 신원의 아킬레스건은 단 하나도 없었습니다. 대신, 해커들은 주로 "주로 ID 인프라 ["치아는 공격자가 측면으로 이동하는 데 사용하는 결합 조직이기 때문입니다."[강조 추가].
솔라윈즈와 2022년의 성공적인 MFA 공격은 조직이 "ID 인프라가 표적"이라는 사실을 이해해야 하는 이유를 보여줬습니다.
오해하지 마세요: MFA는 여전히 최고의 1차 방어선입니다. 피싱 및 자격 증명 스터핑과 같은 사회 공학 전술, 도청 공격, 무차별 암호 대입 공격 등 가장 빈번하게 발생하는 비밀번호 공격으로부터 보호합니다.
하지만 MFA만으로는 위험을 예방하거나 위협에 대응하는 데 충분하지 않습니다. 조직을 안전하게 지키려면 MFA는 ID 수명 주기 전반에 걸쳐 추가 기능과 함께 작동해야 합니다.
그리고 식민지 파이프라인 랜섬웨어 공격은 위협 행위자가 조직의 ID 인프라의 취약점을 공격하는 방법을 모두 보여줍니다. 및 MFA가 여전히 중요한 역할을 하고 있습니다: 다크사이드는 더 이상 사용하지 않는 고아 VPN 계정을 사용하여 콜로니얼 파이프라인의 시스템을 침입했습니다.
이 고아 계정은 콜로니얼 파이프라인에 아무런 목적도 없었고, 보안상의 책임만 있었습니다. 만. 훌륭한 ID 거버넌스 및 관리(IGA) 프로그램이라면 해당 계정을 회사 디렉터리에서 완전히 제거했을 것입니다.
하지만 거버넌스 구성 요소는 실패한 하나의 요소에 불과했습니다: 콜로니얼 파이프라인의 고아 VPN 계정도 MFA로 보호되지 않았습니다. IGA 기능일 가능성이 높습니다. 또는 MFA를 사용했다면 침해가 발생하지 않았을 것입니다. 둘 다 함께 를 사용했다면 훨씬 더 강력하고 스마트한 사이버 보안 아키텍처를 만들 수 있었을 것입니다.
MFA는 여전히 모든 조직의 보안 아키텍처에서 가장 중요한 부분 중 하나입니다. 하지만 ID 수명 주기 전반에서 다른 보안 구성 요소와 함께 작동할 때 더 많은 가치를 제공하고 더 강력한 사이버 보안을 구축할 수 있습니다.
ID 수명 주기 전반에 걸쳐 수많은 취약점이 존재합니다. 그리고 안타깝게도 위협 공격자들은 이러한 취약점을 모두 익스플로잇하는 데 능숙합니다.
콜로니얼 파이프라인과 솔라윈즈는 이러한 취약점 중 일부를 보여주었지만, 2022년에 LAPSUS$와 국가가 후원하는 해커는 신원 전반의 취약점을 악용하여 조직을 침해하는 다른 방법을 발견했습니다.
우리는 각각의 신원 공격에서 많은 것을 배울 수 있으며, 다음 공격을 예방할 방법을 찾을 수 있습니다. 가능하다면 제 RSAC 세션 에서 이러한 취약점과 이를 해결하기 위해 사이버 보안이 할 수 있는 일에 대해 자세히 알아보세요.
###
데이브 타쿠의 RSA 컨퍼런스 세션, "공격의 해부학: MFA의 흥망성쇠" 내일 4월 25일 오전 9시 40분(태평양 표준시 기준)에 시작됩니다.
