인증정보는 어떻게 유출되나요?
대부분의 사람들은 자격 증명을 대부분의 서비스에서 일반적으로 사용하던 비밀번호/사용자 이름 조합이라고 생각하지만, 자격 증명의 세계는 빠르게 변화하고 있습니다.
생체 인식과 비밀번호 없는 액세스 키가 점점 인기를 얻고 있으며, 다중 인증(MFA) 의 등장으로 계정과 데이터를 보호할 수 있는 옵션이 더욱 다양해지고 있습니다.
공격자들은 이러한 자격 증명을 훔칠 수 있는 새롭고 흥미로운 방법을 얻게 됩니다.
행동 공격
전통적으로 이메일과 비밀번호를 얻는 가장 성공적인 방법은 다른 데이터 유출(이메일과 간혹 일반 텍스트 비밀번호를 제공할 수 있음)과 피싱 공격을 통해 이메일과 비밀번호를 얻는 것이었습니다.
데이터 유출 인증정보 도용의 성공 여부는 크게 두 가지에 달려 있습니다:
- 비밀번호를 재사용하는 나쁜 최종 사용자 습관
- 관리 자격 증명을 변경하지 못함
피싱 이메일은 피해자를 허위 로그인 페이지로 유도합니다. 합법적인 로그인 화면과 동일하게, 이러한 가짜 로그인 화면은 공격자의 자체 데이터베이스로 자격 증명을 전송합니다. 이 두 가지가 여전히 기승을 부리고 있지만, 조직의 피싱 방어 기능이 피싱 인증정보 도용 속도를 늦추고 있습니다.
대신 키로거와 무차별 대입 공격이 발전하고 있습니다.
기술적 공격
키로거는 오랫동안 사용되어 왔으며, 일단 설치되면 사용자의 키 입력을 추적하여 C2 서버로 전송합니다. 비밀번호만 수집되는 것이 아니라 민감한 리소스와 내부 커뮤니케이션도 모두 스크랩될 수 있습니다. 무차별 암호 대입 공격은 봇이 올바른 조합을 무작위로 입력하기 위해 가능한 모든 문자와 숫자 조합을 수동으로 입력하는 방식( 크리덴셜 스터핑 )이었습니다.
그러나 키로거와 마찬가지로 무차별 대입 공격도 진화했습니다...
케르베로스팅은 지능형 무차별 대입의 한 예로, Windows의 인증 서비스에서 사용자가 요청하는 서버에 대한 액세스가 허용되는지 확인하기 위해 케르베로스 프로토콜을 사용합니다. 사용자에게 Kerberos 티켓의 액세스 키가 있는 경우 서버에 대한 액세스 권한이 부여됩니다.
(기본 계정의 이메일 또는 비밀번호 보유 여부와 관계없이).
공격자는 이러한 암호화된 티켓을 훔친 다음 무차별 대입 또는 사전 기반 공격으로 암호화 키를 실행합니다. 하지만 Kerberos 티켓을 요청하려면 초기 권한 기반이 필요하므로 일반적으로 하위 수준의 계정이 손상된 후에 Kerberoasting이 시작됩니다.
따라서 권한 상승을 위한 인기 있는 옵션으로 Kerberoasting이 사용됩니다.
유출된 자격 증명을 탐지하는 방법
조직은 손상된 자격 증명을 탐지하기 위해 사용자 엔터티 및 행동 분석(UEBA) 시스템을 사용하여 사용자 활동을 모니터링하고 보안 위협의 신호일 수 있는 비정상적인 행동을 식별합니다.
UEBA 솔루션은 다음과 같은 소스에서 데이터를 수집하고 분석합니다:
- 네트워크 디바이스
- 운영 체제
- Applications
이를 통해 시간 경과에 따른 일반적인 사용자 행동의 기준선을 설정합니다. 활동이 이러한 기존 패턴에서 벗어나는 경우 잠재적인 인증정보 또는 계정 유출의 신호일 수 있습니다.
보안 정보 및 이벤트 관리(SIEM) 플랫폼도 침해된 계정을 탐지하는 데 중요한 역할을 합니다. 보안 정보 및 이벤트 관리(SIEM) 도구는 조직 전반에서 보안 로그를 수집하고 분석하여 이벤트를 상호 연관시켜 다음과 같은 의심스러운 행동에 플래그를 지정합니다:
- 비정상적인 로그인 시도
- 위치 이상
- 무단 권한 에스컬레이션
(이는 보안 침해.)
사용자 계정과 인증 활동을 지속적으로 모니터링하는 것은 잠재적인 침해를 조기에 식별하여 조직이 신속하게 대응하여 위험을 완화하는 데 필수적입니다.
체크 포인트로 자격 증명 유출 방지 Harmony
체크 포인트 Harmony 정책 기반 제한과 고급 이상 징후 탐지를 결합하여 비밀번호 재사용을 방지하고 자격 증명 도용을 탐지합니다.
체크 포인트의 보안 브라우저 액세스 정책을 통해 관리자는 비밀번호 재사용이 금지되는 특정 회사 도메인을 정의하여 비밀번호 재사용을 방지할 수 있습니다. 이러한 보호된 도메인을 구성하고 사용자의 브라우저 확장 프로그램과 동기화하면 사용자가 이러한 지정된 도메인 중 하나에 대한 자격 증명을 입력하면 시스템이 해시된 버전의 비밀번호를 캡처하여 로컬에 저장합니다(HMAC과 함께 SHA-256 사용).
이 비밀번호 해시를 저장함으로써 확장 프로그램은 보호되지 않은 다른 도메인에서 동일한 비밀번호가 재사용되는 경우 이를 감지할 수 있습니다.
비밀번호 재사용이 감지되면 시스템에서 다음과 같이 미리 구성된 응답을 시작합니다:
이 접근 방식을 사용하면 Active Directory 외부의 도메인을 보호할 수 있습니다.
유출된 인증 정보를 탐지하기 위해 체크포인트는 정상적인 사용자의 비정상적인 활동 패턴을 식별하는 이상 징후 탐지 엔진을 사용합니다. 시스템은 로그인 시간, 위치, 데이터 전송, 이메일 행동 등을 기반으로 사용자 프로필을 구축하여 일반적인 행동의 기준선을 설정합니다.
중대한 편차가 발생하기 시작하면 각 비정상적인 조치를 분석하고 심각도별로 평가합니다: '중요' 이벤트는 계정 침해 가능성이 높다는 신호이며 즉각적인 조사가 필요하므로 보안팀의 워크플로에서 가장 우선순위에 올라야 합니다.
자동화되는 것은 분석 시스템뿐만이 아닙니다...
하모니 이메일 & 협업(Harmony 이메일 & 협업) 시스템은 사용자의 최근 몇 시간 동안의 이메일 검사를 기반으로 알림을 시작할 수 있습니다. 안티피싱(피싱 방지) 엔진은 잠재적인 피싱 링크나 이메일을 면밀히 평가하고, 검사 결과 고위험 통신이 발견되면 추가 이메일이나 조치를 격리할 수 있습니다.
이러한 기능이 필요하지만 인력이 부족하다면 체크포인트의 외부 위험 관리 서비스를 살펴보세요.
비밀번호 재사용 방지와 정교한 이상 징후 탐지를 결합한 이 포괄적인 접근 방식은 자격 증명을 보호하는 동시에 탐지된 모든 보안 사고에 신속하게 대응할 수 있도록 지원합니다. 회사 네트워크 내 활동이 걱정된다면 지금 바로 보안 전문가에게 문의하세요.
피드백