ID 보안의 시대입니다. 주도형 랜섬웨어 공격의 폭발로 인해 CISO와 보안 팀은 ID 보호가 엔드포인트와 네트워크보다 20년이나 뒤떨어져 있다는 것을 깨달았습니다. 이러한 깨달음은 주로 APT와 최고 사이버 범죄 그룹에서만 발견되는 미술품에서 거의 모든 랜섬웨어 공격에 사용되는 상용 기술로의 측면 이동의 변화 때문입니다. 측면 이동은 악의적인 액세스를 위해 손상된 자격 증명을 사용하는데, 이는 기존 XDR, 네트워크 및 SIEM 솔루션이 차단하지 못하는 중요한 사각지대입니다.
ID 위협 탐지 및 대응(ITDR)은 지난 몇 년 동안 이러한 격차를 메우기 위해 등장했습니다. 이 기사에서는 상위 5개 ITDR 기능을 분석하고 ITDR 공급업체에 물어봐야 할 핵심 질문을 제공합니다. 이러한 질문에 대한 확실한 ‘예’만이 평가하는 솔루션이 실제로 ID 보안 약속을 전달할 수 있음을 보장할 수 있습니다.
모든 사용자, 리소스 및 액세스 방법에 대한 적용 범위
왜 중요 함?
부분적 보호는 전혀 보호하지 않는 것과 마찬가지입니다. ID가 게임의 이름이라면 ITDR 보호는 모든 사용자 계정, 온프레미스 및 클라우드 리소스, 그리고 덜 중요하게도 모든 액세스 방법에 걸쳐야 합니다.
어떤 질문을 해야 할까요:
- ITDR은 Active Directory(AD) 서비스 계정과 같은 비인간적인 신원도 포함합니까?
- ITDR은 온프레미스 리소스, 클라우드 워크로드 및 SaaS 앱 전반에서 사용자의 전체 인증 추적을 분석할 수 있습니까?
- ITDR은 PsExec 또는 PowerShell과 같은 명령줄 액세스 도구를 통한 악의적인 액세스를 감지할 수 있습니까?
실시간(또는 가능한 한 가까이)
왜 중요 함?
위협 감지 속도가 중요합니다. 많은 경우, 이는 초기 단계에서 위협을 발견하고 완화하는 것과 전체 규모의 활성 침해를 조사하는 것의 차이가 될 수 있습니다. 이를 제공하기 위해 ITDR은 인증 및 액세스 시도에 대한 분석을 발생 시점에 최대한 가깝게 적용해야 합니다.
어떤 질문을 해야 할까요:
- ITDR 솔루션은 온프레미스 및 클라우드 ID 공급자와 직접 통합되어 인증이 발생하는 즉시 이를 분석할 수 있습니까?
- ITDR은 계정 구성(예: OU, 권한, 관련 SPN 등)의 변경 사항을 감지하기 위해 IDP에 쿼리를 보내나요?
다차원 이상 탐지
왜 중요 함?
어떤 탐지 방법도 거짓 양성에 면역이 없습니다. 정확도를 높이는 가장 좋은 방법은 여러 가지 다른 유형의 이상을 검색하는 것입니다. 각각이 합법적인 사용자 활동 중에 발생할 수 있지만, 여러 가지가 상호 발생하면 실제 공격이 탐지될 가능성이 높아집니다.
어떤 질문을 해야 할까요:
- ITDR 솔루션은 인증 프로토콜의 이상(예: 해시 사용, 티켓 배치, 취약한 암호화 등)을 감지할 수 있습니까?
- ITDR 솔루션은 사용자의 표준 행동을 프로파일링하여 이전에 액세스한 적이 없는 리소스에 대한 액세스를 감지합니까?
- ITDR 솔루션은 측면 이동과 관련된 액세스 패턴(예: 단시간에 여러 목적지에 액세스, 머신 A에서 머신 B로 이동한 후 다시 B에서 C로 이동 등)을 분석합니까?
온프레미스 및 클라우드 환경에서 ID 공격 표면을 보호하기 위한 ITDR 솔루션이 필요하신가요? Silverfort ITDR의 작동 방식 알아보기 그리고 귀하의 특정 요구 사항을 어떻게 해결할 수 있는지 알아보려면 데모를 요청하세요..
MFA 및 액세스 블록을 사용한 체인 감지
왜 중요 함?
위협을 정확하게 탐지하는 것은 경주의 끝이 아니라 시작점입니다. 앞서 언급했듯이 시간과 정확성은 효율적인 보호의 핵심입니다. 악성 프로세스를 종료하는 EDR이나 악성 트래픽을 차단하는 SSE와 마찬가지로 악성 액세스 시도를 자동으로 차단하는 기능은 필수적입니다. ITDR 자체는 이를 수행할 수 없지만 이 목표를 달성하기 위해 다른 ID 보안 제어와 통신할 수 있어야 합니다.
어떤 질문을 해야 할까요:
- ITDR은 의심스러운 액세스 감지 후 MFA 솔루션에서 단계별 검증을 트리거하여 후속 조치를 취할 수 있습니까?
- ITDR은 의심스러운 액세스를 감지한 후 ID 공급자에게 액세스를 완전히 차단하도록 지시하여 후속 조치를 취할 수 있습니까?
XDR, SIEM 및 SOAR와 통합
왜 중요 함?
위협 보호는 여러 제품의 공동 운영을 통해 달성됩니다. 이러한 제품은 악성 활동의 특정 측면을 전문으로 하거나, 신호를 통합된 맥락적 관점으로 집계하거나, 대응 플레이북을 조율할 수 있습니다. 위에 나열한 기능 외에도 ITDR은 이미 구축된 보안 스택과도 원활하게 통합되어야 하며, 가능한 한 자동화된 방식으로 통합하는 것이 좋습니다.
어떤 질문을 해야 할까요:
- ITDR 솔루션은 XDR 사용자에게 위험 신호를 보내고 프로세스 및 장비로 위험 신호를 가져올 수 있습니까?
- ITDR은 보안 결과를 기존 SIEM과 공유합니까?
- ITDR이 악의적인 사용자 접근을 감지하면 해당 사용자와 해당 사용자가 로그인한 리소스에 SOAR 플레이북이 트리거될 수 있습니까?
실버포트 ITDR
Silverfort의 ITDR은 MFA, 권한 있는 액세스 보안, 서비스 계정 보호 및 인증 방화벽을 포함한 통합 ID 보안 플랫폼의 일부입니다. AD, Entra ID, Okta, ADFS 및 Ping Federate와의 기본 통합을 기반으로 구축된 Silverfort ITDR은 하이브리드 환경에서 모든 인증 및 액세스 시도를 분석하고 여러 교차 위험 분석 방법을 적용하여 악의적인 사용자 활동을 감지하고 실시간 ID 보안 제어를 트리거합니다.
여기에서 Silverfort ITDR에 대해 자세히 알아보시거나 전문가와 데모 일정을 잡으세요.