2022년 3월 15일, 미국 사이버보안 및 인프라 보안국(CISA)은 다음과 같은 내용을 발표했습니다. 알림 자세히 설명합니다. 비정부기구(NGO)에 대한 러시아의 사이버 공격. 위협 행위자는 취약한 비밀번호, 비활성 사용자 계정, 보안보다 편의성을 우선시하는 기본 설정, Windows의 이전 취약점을 연쇄적으로 연결했습니다. 이를 통해 '문서 유출을 위한 클라우드 및 이메일 계정에 대한 액세스'가 가능했습니다.ation."
In 파트 1 시리즈 1부에서 RSA 글로벌 클라우드 ID 아키텍트 잉고 슈베르트는 이번 공격 이후 RSA가 고객과 공유한 모범 사례를 검토하며 다단계 인증(MFA)의 목적, MFA에 사용자 등록, 비밀번호 사용을 최소화하는 방법에 대해 논의했습니다. 이 시리즈의 두 번째 파트에서는 인증 재설정, 안전장치 및 보안 사고로 이어질 수 있는 기타 시나리오를 검토합니다.
등록을 완료했다고 가정해 보겠습니다. 또한 모범 사례에 따라 높은 신뢰 한도가 적용되는 등록을 생성하여 사용자가 해당 인증 방법을 사용하는 동안 높은 수준의 신뢰로 인증할 수 있도록 했습니다.
작업이 끝났나요? 아직 멀었습니다. 인증서를 분실하거나 잃어버린 사용자는 어떻게 해야 할까요? 새 스마트폰을 구입하여 앱을 다시 설치해야 하는 사용자는 어떻게 해야 할까요?
이러한 시나리오가 발생할 수 있으므로 조직은 안전하고 사용자 친화적인 방식으로 이러한 상황에 대처할 준비가 되어 있어야 합니다.
익숙하게 들리시나요? 그럴 것입니다. 조직에서는 대체 인증자를 처음 등록할 때와 유사한 방식으로 인증합니다. 모든 단계에서 조직은 공격에 노출되지 않도록 해야 합니다.
인증 장치를 교체할 때 등록 시 구축한 신뢰를 깨뜨리지 마세요. 새 디바이스 등록, 등록된 디바이스 교체 및 인증 재설정은 해커들이 가장 좋아하는 ID 수명 주기 중 하나입니다. 평소보다 더 많은 수준의 변경이 발생하므로 공격자가 무단으로 액세스할 수 있는 가장 가능성이 높은 경우입니다.
그러지 마세요. 현대적인 다단계 인증 (MFA) 솔루션은 이러한 순간을 보호할 수 있고, ID 및 액세스 관리(IAM)에 API 통합을 제공하며, 헬프데스크 운영을 한곳에서 통합합니다.
등록 단계에서 모든 것을 올바르게 수행하고 인증 대체 및 긴급 액세스를 보호했더라도 모든 곳에서 MFA를 사용하지 않거나 공격자가 이를 간단히 끄고 우회할 수 있다면 이 모든 것이 무슨 소용이 있을까요?
첫 번째 시나리오를 해결하는 방법은 간단합니다. 모든 곳에서 MFA를 사용하세요(적어도 적절한 사용자에게는).
이를 성공적으로 수행하려면 MFA 솔루션은 사용자가 인증할 수 있는 다양한 방법과 인터페이스를 제공해야 합니다. 언제 어디서나 를 선호합니다. 또한 일부 레거시 애플리케이션을 확인하고 올바른 인터페이스를 제공할 수 있는지, FIDO 기반 비밀번호 없는 인증 방법이나 기존 RADIUS를 고수하고 있는 경우 새로운 인증 방법을 사용할 수 있는지 확인해야 할 수도 있습니다.
모든 앱을 MFA로 보호했다고 가정해 보겠습니다. 또한 공격자가 MFA를 끌 수 없도록 해야 합니다. 최근 CISA 알림, 이 NGO는 사용자가 인터넷에 연결할 수 없는 경우 MFA 없이 로그인할 수 있는 MFA 솔루션을 사용했습니다. 위협 행위자는 이를 악용하여 인터넷 연결을 끄는 것만으로 MFA를 효과적으로 비활성화할 수 있었습니다.
따라서 조직의 MFA 솔루션은 MFA 백엔드(클라우드 또는 온프레미스)에 연결할 수 없는 경우에도 MFA가 적용되도록 하는 페일 세이프 및/또는 오프라인 페일오버-실패 모드가 있어야 합니다.
비즈니스를 계속 운영하려면 모든 사람을 잠그는 대신 비밀번호로만 로그인을 허용하는 것이 더 낫다는 생각은 이해합니다.
이러한 선택은 이해할 수 있지만 보안 태세에 심각한 취약성을 초래할 수 있습니다. 더 좋고 안전한 접근 방식은 MFA 백엔드를 사용할 수 없는 경우에도 강력한 인증이 작동하도록 하는 것입니다. MFA 백엔드가 클라우드 기반인지 온프레미스인지 여부는 중요하지 않습니다. 인증 제공업체는 두 가지 모두에서 작동하는 오프라인 솔루션을 제공해야 합니다.
오프라인 MFA 인증 보안은 자주 접하는 문제입니다. 일반적으로 저희는 사용자가 온라인 상태인지 오프라인 상태인지에 따라 인증 방법을 다르게 제공하도록 기업에 권장합니다. 예를 들어 노트북이 온라인 상태인 경우 푸시 알림 또는 생체 인식을 사용하여 Microsoft Windows에 로그인하는 것이 안전합니다. 노트북이 오프라인인 경우, 일회용 비밀번호 (OTP)가 적용됩니다.
OTP는 사용자 친화적이지 않기 때문에 이 시나리오에서는 보안을 강화하기 위해 편의성을 일부 희생했습니다. 이렇게 하면 페일오픈이 발생하지 않고 공격자가 MFA를 끌 수 없게 됩니다.
장애 방지 동작은 개별 사용자의 Windows PC에만 중요한 것이 아니라 모든 온프레미스 애플리케이션에도 적용되어야 합니다.
사용 중인 MFA 클라우드 서비스가 오프라인 상태라면 어떻게 하나요? 그럴 수도 있고 앞으로도 그럴 것입니다. MFA 제공업체가 중단되었거나 인터넷 연결이 다운되었을 수도 있습니다. 공격자가 MFA 클라우드 서비스가 오프라인인 것처럼 보이도록 DNS 서비스를 조작했을 수도 있습니다. 상황에 관계없이 페일 세이프/장애 조치 동작을 계획하면 사용자가 인터넷에 연결할 수 없는 경우에도 조직이 비즈니스 연속성과 보안을 유지할 수 있습니다.
A 하이브리드 온프레미스/클라우드 고가용성 MFA 설정 를 사용하면 도움이 됩니다. 일반적으로 애플리케이션은 온프레미스 MFA 구성 요소와 통신하며, 이 구성 요소는 요청을 MFA 클라우드 서비스로 전달합니다. MFA 클라우드를 사용할 수 없게 되더라도 온프레미스 MFA 서비스 장애 조치 구성 요소와 통신하는 모든 애플리케이션은 여전히 사용자를 강력하게 인증할 수 있습니다.
Windows PC 시나리오와 마찬가지로 이 사용 사례에서는 인터넷이 중단되면 사용자의 스마트폰에 대한 푸시 알림을 사용할 수 없으므로 오프라인 인증은 OTP를 통해서만 수행됩니다. MFA 클라우드 중단 시 OTP를 적용하거나 실패 시 기본값으로 설정할 수 있는 선택권이 있다면 10번 중 10번은 OTP를 선택하겠습니다.
처음부터 MFA를 올바르게 구성하고, 등록을 신중하게 고려하며, 실패한 MFA를 제거하는 것이 이러한 모든 시나리오에 대비할 수 있는 가장 좋은 방법 중 하나입니다.
또 다른 필수 요소는 보안 팀이 수명 주기 전반에 걸쳐 ID에 대한 가시성을 확보하는 데 도움이 되는 거버넌스 관행을 개발하는 것입니다.
SecurID 거버넌스 및 수명 주기 는 사용자 계정과 자격이 최신 상태인지 확인합니다. MFA 등록을 포함한 권한 부여 결정은 신원 데이터를 기반으로 이루어지므로 이 데이터의 신뢰성이 매우 중요합니다.
제가 아직 다루지 않은 것이 바로 신원 신뢰도 점수입니다: SecurID는 사용자의 현재 컨텍스트와 과거 행동을 기반으로 사용자의 현재 MFA 거래에 대한 신뢰도를 평가할 수 있습니다. 신원 신뢰도 점수는 거의 20년 동안 우리가 해온 일입니다. 이 점수는 SecurID 위험 엔진에 반영되며 위험 기반 분석.
SecurID는 초기 등록 보안부터 인증 재설정, 하이브리드 인증 배포, ID 거버넌스 관리에 이르기까지 수십 년간 쌓아온 스마트하고 간편하며 안전한 솔루션을 설계한 경험을 바탕으로 이러한 모든 모범 사례를 지원합니다.
온라인이든 오프라인이든, 온프레미스든 클라우드든, 사용자와 팀이 안전하게 지낼 수 있는 방법이 있습니다. 방법을 알려 드리겠습니다..
