랜섬웨어 공격의 빈도는 지난 몇 년 동안 두 배로 증가하여 전체 침해의 10%를 차지합니다. 2022년 Verizon 데이터 침해 조사 보고서에 따르면 ‘인적 요소’는 침해의 82%에서 초기 액세스의 주요 수단이며, 사회 공학 및 도난당한 자격 증명 데이터가 주요 위협 행위자의 TTP에 사용된다고 합니다. 공격자는 지속적으로 유효한 자격 증명에 액세스하려고 시도한 후, 이를 사용하여 미탐지 상태로 기업 네트워크에서 이동합니다. 이러한 문제점으로 인해 CISO는 목록에서 ID 보안을 최우선 순위에 둡니다.
기존의 ID 솔루션은 여전히 공격의 여지를 남깁니다
목록에서 상위를 차지하는 기존 ID 보안 솔루션에는 ID 및 액세스 관리(IAM), 권한이 부여된 액세스의 관리(PAM), ID 거버넌스 및 관리(IGA)가 포함됩니다. 이러한 툴을 통해 제로 트러스트 보안 모델의 태세 원칙에 따라 올바른 사용자가 적절한 액세스 권한을 갖도록 하고 지속적인 검증을 도입합니다.
하지만, ID 액세스의 프로비저닝, 연결, 제어에만 초점을 두는 ID 및 액세스 관리는 단지 ID 보안의 시작점에 불과합니다. 적용 범위는 초기 인증 및 액세스 제어를 넘어 가시성에서 노출, 공격 탐지에 이르기까지 자격 증명, 권한, 자격 부여 및 이를 관리하는 시스템 등과 같은 다른 ID 측면으로 확장되어야 합니다.
공격 벡터 측면에서 액티브 디렉토리(AD)는 명백한 자산입니다. AD는 ID와 그 핵심 요소가 자연스럽게 존재하는 곳이므로, 공격자의 표적에 들어가며 최상위 보안 사항에 해당됩니다. 또한 클라우드 마이그레이션이 빠른 속도로 진행됨에 따라 IT 팀이 환경 전반에 걸쳐 프로비저닝을 위해 신속하게 움직이기 때문에 추가적인 보안 문제가 발생합니다.
AD 취약점이 잘못 구성될 가능성이 많은 클라우드 경향과 결합되면 프로비저닝 및 액세스 관리 외에도 추가 보호 계층이 필요하다는 것이 더욱 분명해집니다.
새로운 방식의 ID 보안
혁신적인 최신 ID 보안 솔루션은 엔드포인트에 저장된 자격 증명, 잘못된 액티브 디렉토리(AD) 구성 및 무분별한 클라우드 자격 확장을 감시하는 중요한 가시성을 제공합니다. ID 공격 경계면 관리(ID ASM) 및 ID 위협 탐지 및 대응(ITDR)은 ID와 이를 관리하는 시스템을 보호하도록 설계된 새로운 보안 카테고리에 해당됩니다.
이와 같은 솔루션은 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR), 네트워크 탐지 및 대응(NDR) 그리고 이와 유사한 기타 솔루션과 결합하여 서로를 보완하면서 작동합니다.
ID ASM은 공격자가 악용할 수 있는 노출을 제한하기 위해 ID 공격 경계면을 줄이는 방법을 찾습니다. 노출이 줄어들수록 ID 공격 경계면이 더 작아집니다. 온프레미스에 있든 Azure에 있든 대부분의 기업에서 이는 액티브 디렉토리를 의미합니다.
EDR은 엔드포인트에 대한 공격을 찾고 분석을 위해 데이터를 수집하는 강력한 솔루션인 반면, ITDR 솔루션은 ID를 대상으로 하는 공격을 찾아냅니다. ITDR 솔루션이 공격을 감지하면 가짜 데이터를 제공하여 공격자를 진짜처럼 보이는 미끼로 유인하고 쿼리를 수행하는 손상된 시스템을 자동으로 격리하여 방어 계층을 강화합니다.
또한 ITDR 솔루션은 포렌식 데이터를 수집하고 공격 중에 사용된 프로세스의 원격 분석 데이터를 수집하여 사고 대응을 지원합니다. EDR 및 ITDR의 상호보완적 특성은 공격자의 노력을 저지한다는 공통 목표를 달성하는 데 이상적입니다.
ID ASM 및 ITDR 솔루션은 자격 증명 오용, 권한 상승 그리고 공격자가 네트워크 내에서 악용하거나 관여하는 기타 전술을 탐지합니다. 이들은 ID 액세스 관리와 엔드포인트 보안 솔루션 사이의 중요한 격차를 좁히고, 사이버 범죄자가 취약한 자격 증명을 악용하여 미탐지 상태로 네트워크를 이동하려는 것을 차단합니다.
ID 위협 보안 솔루션
SentinelOne은 권한 상승 및 측면 확산 탐지에 관련된 심층적인 경험을 활용하여 ID 위협 감지 및 대응 그리고 ID ASM 분야에서 동급 최강의 솔루션을 제공합니다. 이 회사는 광범위한 ITDR 및 ID ASM 솔루션 포트폴리오를 기반으로 주도적인 입지를 확보했습니다.
ID 보안 제품:
- Ranger® AD는 공격을 나타내는 액티브 디렉토리 노출 및 활동을 지속적으로 평가하는 제품입니다.
- Singularity® Identity는 액티브 디렉토리에서의 무단 활동 및 공격 탐지, 자격 증명 도난 및 오용 방지, 액티브 디렉토리 악용 방지, 공격 경로 가시성, 공격 경계면 축소 및 측면 확산 탐지를 위한 제품입니다.
새로운 ID 보안 접근 방식이 필요한 시기입니다
ID 기반 공격이 증가함에 따라 오늘날의 기업은 공격자가 기업 ID를 악용, 오용 또는 도용할 때 이를 탐지할 수 있어야 합니다. 특히 조직이 공개 클라우드를 채택하기 위해 경쟁하고 있고 인적 및 비인적 ID가 기하급수적으로 계속 증가함에 따라 이러한 필요성이 더욱 절실합니다.
공격자가 자격 증명을 오용하고 액티브 디렉토리(AD)를 활용하고 클라우드 자격을 통해 ID를 노리는 경향을 고려할 때 최신 ID ASM 및 ITDR 솔루션으로 ID 기반 활동을 탐지하는 것이 중요합니다.
SentinelOne의 Ranger AD® 및 Singularity® Identity 솔루션에 대해 자세히 알아보세요.