ID 위협 탐지 및 대응 솔루션 가이드

신원 위협 탐지 및 대응의 등장

ID 위협 탐지 및 대응(ITDR)은 ID 기반 공격을 효과적으로 탐지하고 대응하는 데 중요한 구성 요소로 부상했습니다. 위협 행위자는 ID 인프라를 손상시키고 IaaS, SaaS, PaaS 및 CI/CD 환경으로 수평적으로 이동할 수 있는 능력을 보여주었습니다. ID 위협 탐지 및 대응 솔루션은 조직이 환경에서 의심스럽거나 악의적인 활동을 더 잘 탐지하는 데 도움이 됩니다. ITDR 솔루션은 보안 팀이 “지금 내 환경에서 무슨 일이 일어나고 있는가 – 내 환경에서 내 ID가 무엇을 하고 있는가”라는 질문에 답할 수 있도록 돕습니다.

인간과 비인간의 정체성

ITDR 솔루션 가이드에 설명된 대로 포괄적인 ITDR 솔루션은 인간과 비인간 신원을 모두 포괄합니다. 인간 신원에는 인력(직원), 게스트(계약자) 및 공급업체가 포함됩니다. 비인간 신원에는 토큰, 키, 서비스 계정 및 봇이 포함됩니다. 다중 환경 ITDR 솔루션은 단편화된 계층별 수준에서 신원을 보호하는 것과 달리 IdP에서 IaaS 및 SaaS 계층에 이르기까지 모든 신원 엔터티 위험을 감지하고 대응할 수 있습니다.

핵심 ITDR 역량

ITDR 솔루션의 필수 기능은 다음과 같습니다.

1. 인간과 비인간의 신원, 클라우드 서비스 계층 전반의 활동, 온프레미스 애플리케이션 및 서비스를 포함하여 모든 엔터티에 대한 범용 신원 프로필을 개발합니다.
2. 해당 환경에서 해당 ID의 런타임 활동과 정적 분석, 포스처 관리 및 해당 ID 구성을 결합합니다.
3. 직접 및 간접 액세스 경로를 모니터링하고 추적하며 환경 전반에서 모든 ID의 활동을 모니터링합니다.
4. ID 공급자, IaaS, PaaS, SaaS 및 CI/CD 애플리케이션에 걸쳐 다중 환경 ID 추적 및 감지를 조율하여 환경의 모든 위치에서 ID를 추적합니다.
5. 조직이 단일 이벤트를 기반으로 하는 대량의 원자적 경고에 대응하는 대신, 전체 공격 표면에서 나타나는 신원 위협에 대해 조치를 취할 수 있도록 하는 다중 환경 고성능 탐지 및 대응 기능입니다.

ITDR 기능의 전체 목록을 확인하려면 전체 ID 위협 탐지 및 대응 솔루션 가이드에 액세스하세요.

ID 위협 사용 사례

신원 공격으로부터 효과적으로 보호하려면 조직은 공격을 탐지하고 완화할 수 있는 고급 기능을 갖춘 ITDR 솔루션을 선택해야 합니다. 이러한 기능은 다음을 포함하되 이에 국한되지 않는 인간 및 비인간 신원 모두에 대한 다양한 사용 사례를 처리해야 합니다.

1. 계정 인수 감지: 신원이 손상되었음을 나타내는 수많은 변형을 감지합니다.
2. 자격 증명 침해 감지: 환경 내에서 도난당하거나 손상된 자격 증명이 사용되는 경우 이를 식별하고 경고합니다.
3. 권한 상승 감지: 시스템 및 애플리케이션 내에서 권한을 확대하려는 승인되지 않은 시도를 감지합니다.
4. 비정상적인 행동 감지: 악의적인 활동을 나타낼 수 있는 일반적인 사용자 동작에서 벗어난 동작을 모니터링합니다.
5. 내부 위협 감지: 내부 사용자의 악의적 또는 부주의한 행위를 식별하고 대응합니다.

신원 위협 사용 사례의 전체 목록을 확인하려면 전체 신원 위협 탐지 및 대응 솔루션 가이드에 액세스하세요.

효과적인 ITDR 솔루션이 답해야 할 질문

1. ID 인벤토리 및 액세스 관리

우리 환경에는 어떤 개체 정체성이 존재할까?

• 모든 환경에서 인간과 비인간의 정체성에 대한 포괄적인 목록입니다.

이러한 ID에는 어떤 역할과 권한이 있나요?

• 다양한 클라우드 및 온프레미스 환경에서 각 ID가 갖는 역할, 그룹 및 특정 권한에 대한 세부 정보입니다.

어떤 역할/그룹이 특정 사용자에게 리소스에 대한 액세스 권한을 부여했습니까? 해당 액세스에 대한 권한 범위는 무엇입니까?

• 리소스에 대한 액세스 권한을 부여하는 역할/그룹 및 권한에 대한 세부 정보입니다.

2. 위험 평가 및 이상 감지

내 클라우드 서비스 계층에서 가장 위험한 상위 10개 ID는 무엇입니까? 해당 ID 중 하나가 침해되면 폭발 반경은 어떻게 될까요?

• 위험에 가장 많이 노출된 신원을 파악하고 해당 신원이 침해될 경우 발생할 수 있는 잠재적 영향을 평가합니다.

정체성 행동에 이상 현상이 있나요?

• 각 신원에 대한 정상적인 행동 패턴에서 벗어난 사항을 감지하여 잠재적인 악성 활동을 파악합니다.

자격 증명이 손상되었습니까?

• 환경 내에서 도난당하거나 손상된 자격 증명이 사용되는 경우 경고합니다.

3. 인증 및 액세스 패턴

신원은 어떻게 인증되고 접근되나요?

• 연합 및 비연방 액세스 포인트를 포함하여 모든 ID에 대한 인증 방법 및 액세스 경로를 추적합니다.

로그인 시도의 출처와 위치는 어디인가요?

• IP 주소, 지리적 위치, 장치 정보를 포함한 로그인 시도에 대한 자세한 로그입니다.

현재 환경에 다양한 유형의 개체(인간과 비인간)가 어떻게 접근하고 있습니까?

• 환경 내 다양한 ​​유형의 엔터티에 대한 액세스 패턴을 모니터링합니다.

내 환경의 애플리케이션과 클라우드 서비스 계층에서 MFA가 얼마나 광범위하게 적용되고 있습니까?

• 환경 전반에서 다중 인증 요소(MFA)의 구현 및 시행을 평가합니다.

4. 활동 모니터링 및 변경 추적

내 환경에서 방금 어떤 변경이 이루어졌나요? 그 변경에 대한 책임은 누구에게 있나요? 다른 클라우드 서비스 계층에서도 비슷한 변경이 이루어졌나요?

• 최근 변경 사항 추적 및 보고, 책임 있는 사용자 및 계층 간 일관성.

어떤 신원이 민감한 데이터나 중요 시스템에 접근했습니까?

• 민감한 데이터 저장소, 중요 시스템 및 고위험 애플리케이션에 대한 ID 액세스를 모니터링하고 보고합니다.

5. 사건 상관관계 및 대응

다양한 환경에서 신원 관련 사고는 어떤 상관관계를 보입니까?

• IdP, IaaS, PaaS, SaaS, CI/CD 및 온프레미스 환경 전반의 ID 활동과 사고를 상관관계로 분석하여 통합된 뷰를 제공합니다.

확인된 위협을 완화하기 위해 어떤 조치를 취해야 합니까?

• 탐지된 신원 위협을 완화하고 향후 사고를 방지하기 위한 실행 가능한 권장 사항과 자동화된 대응 옵션을 제공합니다.

질문의 전체 목록과 비즈니스 활용 사례를 보려면 전체 ID 위협 탐지 및 대응 솔루션 가이드에 액세스하세요.