이 게시물은 2022년에 처음 게시되었으며 업데이트되었습니다.
함께 최근 MFA 프롬프트 폭격 성공 보고, 푸시 폭격 또는 MFA 피로도 공격이라고도 알려진 이 공격으로 인해 RSA는 위험을 줄이는 방법에 대한 실질적인 지침에 대한 요청을 많이 받았습니다. 이전에 공격자가 반복적인 승인 메시지를 사용하여 사용자가 사기성 로그인 시도를 수락하도록 압박하는 방법에 대해 설명한 적이 있습니다. 이 게시물은 이러한 토대를 기반으로 하여 구체적인 RSA ID Plus 구성을 사용하여 의심스러운 패턴을 감지하고, 위험이 높아지면 푸시 승인을 제한하고, MFA 프롬프트 폭탄에 대한 방어를 강화할 수 있습니다.
MFA 프롬프트 폭격, 푸시 폭격 또는 MFA 피로도 공격, 는 공격자가 사용자 디바이스에 대한 MFA 승인 요청을 반복적으로 트리거하는 경우입니다. 공격자가 이미 사용자의 비밀번호를 알아낸 후 사용자가 한 번의 요청을 승인할 때까지 사용자를 압도하는 것이 목표입니다.
이는 푸시 기반 다단계 인증 는 사용자가 의심스러운 프롬프트를 즉시 거부하는 데 의존합니다. 일회성 비밀번호 입력이나 피싱 방지 인증자 사용과 같이 의도적인 사용자 입력이 필요한 요소는 공격자가 단순히 스팸 승인을 보낼 수 없기 때문에 일반적으로 덜 취약합니다.
MFA 프롬프트 폭격, 푸시 폭격 및 MFA 피로도 공격은 일반적으로 공격자가 유효한 사용자 이름과 비밀번호를 획득한 후에 시작됩니다. 공격자는 로그인을 시도하고 사용자의 등록된 디바이스에 푸시 기반 MFA요청을 반복적으로 트리거합니다. 각 요청은 사용자에게 로그인 시도를 승인하거나 거부하도록 요청합니다.
푸시 인증은 편의를 위해 설계되었기 때문에 사용자는 한 번의 탭으로 액세스를 승인할 수 있습니다. 메시지가 연속으로 많이 전송되면 주의가 산만하거나 피곤한 사용자가 결국 하나의 요청을 승인하여 공격자가 인증 프로세스를 완료할 수 있습니다.
푸시 기반 인증은 하드웨어 토큰이나 수동으로 입력하는 일회용 비밀번호에 비해 물리적 인증 장치가 필요 없고 마찰을 줄여주기 때문에 합법적인 시나리오에서 잘 작동합니다. 하지만 이 승인 또는 거부 모델은 사용자가 의심스러운 시도를 인식하고 거부하는 데 의존하기 때문에 즉각적인 폭탄 공격의 기회가 생길 수 있습니다.
MFA 프롬프트 폭탄 공격의 유형
대부분의 MFA 폭탄 공격은 푸시 알림을 대상으로 하지만, 보안팀이 이해해야 할 변형이 있습니다:
- 밀기 폭격(클래식 MFA 피로도): 사용자가 요청을 승인할 때까지 푸시 알림이 반복적으로 전송됩니다.
- 하이브리드 사회 공학 공격: 푸시 폭격을 시작한 후 공격자는 IT 지원을 사칭하여 사용자에게 연락하여 요청을 승인하도록 지시합니다.
- OTP 플러딩 시도: 경우에 따라 공격자는 SMS 또는 기타 전달 채널을 통해 일회성 비밀번호를 반복적으로 트리거하여 사용자를 혼란스럽게 하거나 피싱과 결합하는 전술을 시도합니다.
이러한 변형을 이해하면 조직이 사용자 경계에만 의존하지 않고 계층화된 방어를 설계하는 데 도움이 됩니다.
프롬프트 폭탄 공격이 성공하는 이유는 기술만큼이나 사람의 행동을 노리기 때문입니다. 공격자는 사용자가 반복적인 인증 프롬프트, 전화 또는 메시지를 받으면 혼란스럽고 긴박하며 일상적인 승인 행동을 유발하는 것을 목표로 합니다. 따라서 MFA 피로를 방지하려면 사용자에게 명확한 기대치, 간단한 보고 경로, 의심스러운 요청을 확인할 수 있는 신뢰할 수 있는 방법을 제공하는 것부터 시작해야 합니다.
사용자 인식 유지를 위한 지속적인 교육 필요
사용자는 자신이 시작하지 않은 인증 요청은 모두 의심스러운 것으로 간주해야 한다는 사실을 알아야 합니다. 매년 실시하는 보안 인식 교육은 규정 준수를 지원할 수 있지만, 다음과 같은 경우를 대비하는 경우는 거의 없습니다. 사용자를 대상으로 빠르게 변화하는 소셜 엔지니어링 시도에 대해 안내합니다. 짧고 반복적인 안내는 실제 상황에서 의심스러운 행동이 어떻게 보이는지 강조하기 때문에 더 효과적입니다.
사용자에게는 명확한 대응 방법이 필요합니다.
사용자가 예기치 않은 푸시 알림이나 후속 메시지를 받으면 다음에 해야 할 일을 정확히 알고 있어야 합니다. 즉, 문제를 신고하고 서비스 데스크나 보안팀에 연락할 수 있는 간단하고 잘 알려진 방법을 제공해야 합니다. 이 과정이 쉬울수록 사용자가 신속하게 조치를 취할 가능성이 높아집니다.
검증을 통한 소셜 엔지니어링 위험 감소
공격자는 종종 푸시 폭격을 전화, 문자, 이메일 또는 채팅 메시지와 결합하여 사용자가 요청을 승인하도록 압력을 가합니다. 조직은 지원팀이 사용자에게 합법적으로 연락하는 방법을 정의하고 직원들이 조치를 취하기 전에 커뮤니케이션을 확인할 수 있는 신뢰할 수 있는 방법을 제공해야 합니다.
질문할 사항
보안팀은 MFA 프롬프트 폭탄 공격을 방어하기 위해 다음 질문을 고려해야 합니다:
- 사용자가 예기치 않은 푸시 요청에 대응하는 방법을 알고 있나요?
- 사용자가 의심스러운 인증 이벤트를 신속하게 보고할 수 있나요?
- 직원들이 서비스 데스크 또는 보안 팀에 연락하는 방법을 알고 있나요?
- 사용자가 합법적인 지원 아웃리치가 어떻게 이루어져야 하는지 이해하고 있나요?
- 메시지, 전화 또는 프롬프트가 진짜인지 확인하는 명확한 절차가 있나요?
프롬프트 폭격 시나리오에서 공격자는 단기간에 반복적으로 푸시 승인을 생성합니다. 사용자는 초기 메시지를 거부하거나 무시하는 경우가 많지만, 실수로 한 번만 승인해도 로그인이 완료될 수 있습니다. 따라서 패턴 기반 탐지가 필수적입니다.
다음과 같은 지표를 찾아보세요:
- 반복되는 푸시 거부 또는 시간 초과 짧은 기간 내에 동일한 사용자에 대해
- 여러 개의 MFA 프롬프트가 빠르게 연속으로 표시됨, 특히 정상적인 로그인 동작을 벗어난 경우
- 낯선 기기, IP 주소 또는 위치에서 로그인 시도 동일한 계정에 연결된
- 여러 사용자에 걸친 푸시 활동 급증, 로 표시되어 더 광범위한 캠페인을 나타낼 수 있습니다.
한 번의 거부된 푸시는 공격을 의미하지 않습니다. 특히 다른 위험 신호와 함께 여러 번의 거부 또는 시간 초과가 클러스터링되면 조사를 시작해야 합니다.
RSA ID Plus에서 즉각적인 폭격 감지
RSA ID Plus의 각 인증 이벤트는 즉각적인 폭탄 공격 패턴을 식별하는 데 사용할 수 있는 자세한 이벤트 데이터와 함께 기록됩니다. 보안팀은 다음과 같은 이벤트가 반복되거나 비정상적으로 발생하는지 모니터링해야 합니다:
- 702 - 인증 승인에 실패했습니다: 사용자 응답 시간이 초과되었습니다.
- 703 - 인증 승인에 실패했습니다: 사용자가 승인을 거부했습니다.
- 802 - 장치 생체 인식 인증에 실패했습니다: 시간 초과
- 803 - 장치 생체 인식 인증 실패
이러한 이벤트가 동일한 사용자에 대해 연속적으로 나타나면 활성 MFA 폭격 시도를 나타낼 수 있습니다. 이러한 로그 패턴을 디바이스, 위치 및 신뢰도 신호와 함께 사용하면 정확도가 향상되고 성공적인 승인이 발생하기 전에 팀이 대응할 수 있습니다.
효과적인 방어를 위해서는 사용자에게 알 수 없는 메시지를 승인하지 말라고 말하는 것 이상의 것이 필요합니다. 조직은 사용자 교육, 더 강력한 요소 옵션, 모니터링을 결합하여 악용 가능성을 줄여야 합니다.
푸시 기반 MFA는 사용자가 그 순간에 올바른 결정을 내리는 것에 의존하기 때문에 취약합니다. 일회성 비밀번호나 피싱 방지 인증자와 같이 신중한 사용자 작업이 필요한 요소는 일반적으로 반복적인 승인 요청에 덜 취약합니다.
주요 방어 조치에는 다음이 포함됩니다:
- 사용자에게 예기치 않은 메시지를 거부하고, 즉시 신고하고, 적절한 경우 자격 증명을 재설정하도록 교육하세요.
- 고위험 애플리케이션, 사용자 및 액세스 시나리오에 대해 더 강력한 요소를 선호합니다.
- 반복적으로 거부되거나 시간 초과된 메시지가 표시되는지 모니터링하고 의심스러운 패턴에 대해 경고합니다.
- 공격자가 액세스 권한을 얻은 후 새 장치를 등록할 수 없도록 안전한 MFA 등록 및 복구 기능을 제공합니다.
- 인증자가 추가, 제거 또는 변경되면 사용자에게 알림을 보냅니다.
- 자격 증명이 손상된 징후를 조사하고 MFA 정책이 제한된 인증으로 너무 많은 액세스를 허용하는지 검토하세요.
이러한 제어 기능이 함께 작동하면 조직은 즉각적인 폭탄 공격에 노출되는 것을 제한할 수 있습니다.
내 RSA ID Plus, 인증 방법은 인증 수준에 매핑되며, 관리자는 상황에 따라 필요한 인증 수준을 결정하는 정책을 만들 수 있습니다. 위험이 높아지면 정책에서 푸시 승인을 허용하는 대신 더 강력한 인증 방법을 요구할 수 있습니다.
RSA ID Plus는 또한 다음을 통해 보다 동적인 접근 방식을 지원합니다. 신원 신뢰도. 신뢰도 엔진은 인증 시도를 실시간으로 평가하여 신뢰도 점수를 높거나 낮게 반환합니다. 이 신호는 신뢰도가 높으면 푸시 승인을 허용하고 신뢰도가 낮으면 단계별 인증을 요구하는 정책 결정에 사용될 수 있습니다.
고위험군으로 표시된 사용자의 경우 고위험군 사용자 목록을 통해 더 엄격한 제어가 가능합니다. 보안 도구는 경고 또는 의심스러운 활동을 기반으로 사용자를 고위험군으로 표시할 수 있으며, 정책은 액세스를 거부하거나 더 높은 수준의 보안 요소를 요구하여 MFA 피로도 전술에 노출되는 것을 줄일 수 있습니다.
본인이 시작하지 않은 MFA 요청을 승인한 경우 잠재적인 계정 유출로 간주하세요. 보안팀에 즉시 사고를 보고한 다음 비밀번호를 변경하고 의심스러운 세션이나 디바이스의 최근 로그인 활동을 검토하세요. 또한 보안팀은 활성 세션을 해지하고, 새 인증자가 등록되지 않았는지 확인한 후, 액세스를 복원하기 전에 단계별 인증을 요구해야 합니다.
푸시 폭격 또는 MFA 피로도 공격이라고도 하는 MFA 프롬프트 폭격은 공격자가 사용자 디바이스에 대한 MFA 승인 요청을 반복적으로 트리거하는 것을 말합니다. 공격자가 사용자의 비밀번호를 알아낸 후 사용자가 한 번의 요청을 승인할 때까지 사용자를 압도하는 것이 목표입니다.
승인하지 마세요. 해당 옵션이 있는 경우 요청을 거부하고 가능한 한 빨리 보안팀에 신고하세요. 이러한 메시지가 반복적으로 표시되면 계정 로그인을 중지하고 다른 사람이 내 계정에 로그인하려고 시도하는지 확인하세요. 예방책으로 비밀번호를 재설정하고 디바이스 및 계정 보안 확인에 대한 조직의 지침을 따르세요.
일반적으로 패턴을 기반으로 탐지합니다. 단기간 내에 동일한 사용자에 대한 푸시 거부 또는 시간 초과가 반복되거나, 정상적인 로그인 동작을 벗어난 MFA 프롬프트가 급증하거나, 낯선 기기나 위치에서 로그인을 시도하는 경우가 있는지 살펴보세요. 이러한 패턴은 다른 위험 지표와 상관관계가 있을 때 더 강력한 신호가 됩니다.
사용자 승인에만 의존하는 것을 줄이세요. 푸시 인증 허용 시기를 제한하고, 위험이 높아지면 단계별 인증을 요구하며, 요청이 반복적으로 거부되거나 시간 초과되는지 모니터링하는 정책을 사용하세요. 공격자가 액세스 권한을 얻은 후 새 디바이스를 등록할 수 없도록 MFA 등록 및 복구 보안을 유지하는 것도 중요합니다.
푸시 MFA는 효과적일 수 있지만 사용자가 신속하게 올바른 결정을 내리는 데 의존하기 때문에 피로 기반 전술에 더 취약합니다. 조직은 푸시와 위험 기반 제어, 고위험 액세스를 위한 더 강력한 인증 옵션, 비정상적인 프롬프트 패턴에 대한 알림을 결합하여 위험을 줄일 수 있습니다.
일회용 비밀번호는 공격자가 승인을 스팸으로 보낼 수 없기 때문에 일반적으로 프롬프트 폭탄 공격에 덜 취약합니다. 하지만 전달 방법에 따라 피싱 또는 가로채기를 통해 OTP를 표적으로 삼을 수 있습니다. 많은 조직에서는 위험이 높아질 때 단계별 옵션으로 OTP 및 피싱 방지 인증서를 사용합니다.
예, 이는 일반적인 다음 단계입니다. 공격자는 액세스 권한을 얻은 후 지속성을 유지하기 위해 새 인증자를 등록하려고 시도할 수 있습니다. 방어 방법으로는 등록 워크플로우 보안, 디바이스 변경에 대한 높은 수준의 보안 요구, 인증자가 추가되거나 제거될 때 사용자에게 알림을 보내는 것 등이 있습니다.
