Offcanvas

������ ��������� ������������

'애저 AD'에 숨겨진 새로운 위험과 대응 방안은?

최근 ‘애저 AD(Azure Active Directory)’에서 입증된 것처럼, 하이브리드 클라우드 ID 및 액세스 관리 서비스는 네트워크 인증 프로세스에 복잡성과 공격 기회를 추가한다.  로컬 윈도우 액티브 디렉토리 네트워크가 NTLM 릴레이 및 패스-해시 공격에 취약하다는 건 오랫동안 알려진 사실이다(NTLM 릴레이 및 패스-해시는 공격자가 네트워크를 통해 측면 이동하고, 추가 시스템 및 리소스에 액세스할 수 있는 공격이다). 이러한 공격 중 일부는 윈도우 네트워크 내부에서 사용되는 인증 프로토콜 설계를 악용하기 때문에 마이크로소프트의 소프트웨어 변경으로 간단히 패치할 수 없다. 기업은 더 엄격한 구성과 추가 제어를 포함하는 심층 방어 조치를 취해야 한다.  네트워크 일부가 로컬이고, 다른 일부는 클라우드에 있는 하이브리드 네트워크 도입으로 기업들은 이제 ‘애저 AD’ 등의 서비스를 활용하여 다양한 시스템을 인증하고 있다. 하지만 애저 AD는 다른 프로토콜을 사용하고, 조직의 네트워크 가능성을 확장하는 새 기능이 있다는 점에서 로컬 AD와 상당히 다르다. 하지만 지난달 블랙햇 USA 보안 컨퍼런스에서 발표된 내용에 따르면 이는 공격자에게 새로운 가능성도 제공한다.    ‘Pass-the-hash’에서 ‘Pass-the-certificate’로  패스-더-해시(Pass-the-hash)는 해커가 손상된 시스템에서 로컬에 저장된 자격증명의 해시 버전을 추출하고, 이를 다른 시스템에 인증하는 데 사용하는 공격이다. NTLM 릴레이는 클라이언트와 서버 간 인증 요청을 가로채고, 둘 사이의 챌린지 및 응답을 릴레이하여 공격자가 클라이언트 대신 인증 받을 수 있도록 하는 방법이다. 이러한 공격 방식은 일반적으로 해커 그룹이 표적 공격을 할 때 사용된다.  하지만 애저 AD는 윈도우 네트워크의 표준 인증 프로토콜인 NTLM 또는 커버로스(Kerberos)를 사용하지 않기 때문에 기존의 패시-더-해시 및 릴...

마이크로소프트 애저 애저 AD 애저 액티브 디렉토리 ID 관리 네트워크 보안 인증

2022.09.06

최근 ‘애저 AD(Azure Active Directory)’에서 입증된 것처럼, 하이브리드 클라우드 ID 및 액세스 관리 서비스는 네트워크 인증 프로세스에 복잡성과 공격 기회를 추가한다.  로컬 윈도우 액티브 디렉토리 네트워크가 NTLM 릴레이 및 패스-해시 공격에 취약하다는 건 오랫동안 알려진 사실이다(NTLM 릴레이 및 패스-해시는 공격자가 네트워크를 통해 측면 이동하고, 추가 시스템 및 리소스에 액세스할 수 있는 공격이다). 이러한 공격 중 일부는 윈도우 네트워크 내부에서 사용되는 인증 프로토콜 설계를 악용하기 때문에 마이크로소프트의 소프트웨어 변경으로 간단히 패치할 수 없다. 기업은 더 엄격한 구성과 추가 제어를 포함하는 심층 방어 조치를 취해야 한다.  네트워크 일부가 로컬이고, 다른 일부는 클라우드에 있는 하이브리드 네트워크 도입으로 기업들은 이제 ‘애저 AD’ 등의 서비스를 활용하여 다양한 시스템을 인증하고 있다. 하지만 애저 AD는 다른 프로토콜을 사용하고, 조직의 네트워크 가능성을 확장하는 새 기능이 있다는 점에서 로컬 AD와 상당히 다르다. 하지만 지난달 블랙햇 USA 보안 컨퍼런스에서 발표된 내용에 따르면 이는 공격자에게 새로운 가능성도 제공한다.    ‘Pass-the-hash’에서 ‘Pass-the-certificate’로  패스-더-해시(Pass-the-hash)는 해커가 손상된 시스템에서 로컬에 저장된 자격증명의 해시 버전을 추출하고, 이를 다른 시스템에 인증하는 데 사용하는 공격이다. NTLM 릴레이는 클라이언트와 서버 간 인증 요청을 가로채고, 둘 사이의 챌린지 및 응답을 릴레이하여 공격자가 클라이언트 대신 인증 받을 수 있도록 하는 방법이다. 이러한 공격 방식은 일반적으로 해커 그룹이 표적 공격을 할 때 사용된다.  하지만 애저 AD는 윈도우 네트워크의 표준 인증 프로토콜인 NTLM 또는 커버로스(Kerberos)를 사용하지 않기 때문에 기존의 패시-더-해시 및 릴...

2022.09.06

‘IAM’ 전략이 수렁에 빠지고 있다는 6가지 징후

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

ID 및 액세스 관리 IAM 인증 SSO MFA 옥타 애저 액티브 디렉토리

2022.07.07

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

2022.07.07

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8