SaaS 애플리케이션에 대한 신원 기반 위협은 보안 전문가들 사이에서 점점 더 큰 우려가 되고 있지만, 이를 감지하고 대응할 역량을 갖춘 전문가는 거의 없습니다.
미국 사이버 보안 및 인프라 보안 기관(CISA)에 따르면 모든 사이버 공격의 90%가 신원 기반 위협인 피싱으로 시작됩니다. 도난된 자격 증명, 과도하게 프로비저닝된 계정, 내부자 위협을 사용하는 공격을 추가하면 신원이 주요 공격 벡터라는 것이 분명해집니다.
상황을 더 악화시키는 것은 인간 계정만이 표적이 되는 것이 아니라는 것입니다. 위협 행위자는 서비스 계정과 OAuth 권한 부여를 포함한 비인간 신원도 하이재킹하고 SaaS 애플리케이션 깊숙이 침투합니다.
위협 행위자가 초기 방어를 통과하면, Identity Security의 필수적인 부분으로 강력한 Identity Threat Detection and Response(ITDR) 시스템을 구축하면 대규모 침해를 방지할 수 있습니다. 지난달의 Snowflake 침해는 완벽한 사례입니다. 위협 행위자는 단일 요소 인증을 이용하여 계정에 액세스했습니다. 일단 침투한 후, 회사는 의미 있는 위협 탐지 기능이 없었고, 위협 행위자는 5억 6천만 개 이상의 고객 기록을 빼낼 수 있었습니다.
ITDR의 작동 방식
ITDR은 여러 요소를 결합하여 SaaS 위협을 감지합니다. SaaS 스택 전반에서 이벤트를 모니터링하고 로그인 정보, 기기 데이터 및 사용자 동작을 사용하여 위협을 나타내는 동작 이상을 식별합니다. 각 이상은 침해 지표(IOC)로 간주되며 해당 IOC가 사전 정의된 임계값에 도달하면 ITDR이 경고를 트리거합니다.
예를 들어, 관리자가 비정상적인 양의 데이터를 다운로드하는 경우 ITDR은 이를 IOC로 간주합니다. 그러나 다운로드가 한밤중에 이루어지거나 비정상적인 컴퓨터에서 이루어지는 경우 이러한 IOC의 조합이 위협으로 간주될 수 있습니다.
마찬가지로, 사용자가 무차별 대입 로그인 시도 후 의심스러운 ASN에서 로그인하는 경우 ITDR은 로그인을 위협으로 분류하여 인시던트 대응을 트리거합니다. 여러 애플리케이션의 풍부한 데이터 세트를 사용하여 ITDR은 다른 애플리케이션의 데이터를 기반으로 위협을 감지할 수 있습니다. 사용자가 뉴욕에서 한 애플리케이션에 로그인하고 파리에서 두 번째 애플리케이션에 동시에 로그인하는 경우 ITDR이 단일 앱의 이벤트 로그를 검토하는 것으로 제한되면 정상적인 동작으로 보일 수 있습니다. SaaS ITDR의 힘은 SaaS 스택 전반의 데이터를 모니터링하는 데서 나옵니다.
Adaptive Shield에서 감지한 최근 침해에서 위협 행위자는 HR 급여 시스템에 침투하여 여러 직원의 은행 계좌 번호를 변경했습니다. 다행히도 ITDR 엔진이 비정상적인 행동을 감지했고, 위협 행위자에게 자금이 이체되기 전에 계좌 데이터가 수정되었습니다.
신원 기반 위험 감소
조직이 신원 기반 위협의 위험을 줄이고 신원 기반을 강화하기 위해 취해야 할 몇 가지 단계가 있습니다.
이러한 노력에는 다중 인증(MFA)과 단일 로그인(SSO)이 중요합니다. 권한 트리밍, 최소 권한 원칙(PoLP) 준수, 역할 기반 액세스 제어(RBAC)도 사용자 액세스를 제한하고 공격 표면을 줄입니다.
안타깝게도 많은 ID 관리 도구가 제대로 활용되지 않고 있습니다. 조직은 MFA를 끄고, 대부분의 SaaS 애플리케이션은 SSO가 다운될 경우를 대비해 관리자가 로컬 로그인 기능을 갖도록 요구합니다.
신원 기반 침해의 위험을 완화하기 위한 몇 가지 사전적 신원 관리 조치는 다음과 같습니다.
계정 분류
고위험 계정은 일반적으로 여러 범주로 나뉩니다. 강력한 ID 거버넌스와 관리를 구축하기 위해 보안 팀은 다양한 사용자 유형을 분류하는 것으로 시작해야 합니다. 이는 전직 직원 계정, 높은 권한 계정, 휴면 계정, 비인간 계정 또는 외부 계정일 수 있습니다.
1. 전직 직원의 프로비저닝 해제 및 휴면 사용자 계정 비활성화
전직 직원의 활성 계정은 조직에 상당한 위험을 초래할 수 있습니다. 많은 SaaS 관리자는 직원이 ID 공급자(IdP)에서 오프보딩되면 회사 SaaS 애플리케이션에서 자동으로 액세스가 제거된다고 가정합니다.
이는 IdP에 연결된 SaaS 애플리케이션에 해당할 수 있지만, 많은 SaaS 앱은 연결되지 않았습니다. 이러한 상황에서 관리자와 보안 팀은 이전 사용자에게 로컬 자격 증명을 제공하기 위해 협력해야 합니다.
휴면 계정은 가능한 한 식별하여 비활성화해야 합니다. 종종 관리자는 이러한 계정을 사용하여 테스트를 실행하거나 애플리케이션을 설정했습니다. 이러한 계정은 높은 권한을 가지고 있으며 기억하기 쉬운 비밀번호로 여러 사용자가 공유합니다. 이러한 사용자 계정은 애플리케이션과 해당 데이터에 상당한 위험을 초래합니다.
2. 외부 사용자 모니터링
외부 계정도 모니터링해야 합니다. 종종 기관, 파트너 또는 프리랜서에게 주어지며, 조직은 누가 데이터에 액세스하는지에 대한 실제 통제권이 없습니다. 프로젝트가 종료되면 이러한 계정은 종종 활성 상태로 유지되며 자격 증명이 있는 사람이 애플리케이션을 손상시키는 데 사용할 수 있습니다. 많은 경우 이러한 계정도 특권이 있습니다.
3. 사용자 권한 트리밍
앞서 언급했듯이 과도한 권한은 공격 표면을 확장합니다. 최소 권한 원칙(POLP)을 적용하면 각 사용자는 자신의 업무를 수행하는 데 필요한 앱 내의 영역과 데이터에만 액세스할 수 있습니다. 높은 권한 계정의 수를 줄이면 회사가 주요 침해에 노출될 가능성이 크게 줄어듭니다.
4. 권한이 있는 계정에 대한 체크 생성
관리자 계정은 위험도가 높습니다. 침해되면 조직이 심각한 데이터 침해에 노출됩니다.
사용자가 의심스럽게 행동할 때 경고를 보내는 보안 검사를 만듭니다. 의심스러운 행동의 몇 가지 예로는 늦은 밤에 비정상적인 로그인, 해외에서 워크스테이션에 연결 또는 대량의 데이터 다운로드가 있습니다. 높은 권한의 사용자 계정을 만들지만 관리되는 이메일 주소에 할당하지 않는 관리자는 의심스러울 수 있습니다.
이러한 유형의 동작을 모니터링하는 보안 검사를 정의하면 보안 팀이 초기 단계의 공격을 식별하는 데 유리합니다.
신원 위협 탐지를 우선순위로 삼기
더 민감한 기업 정보가 신원 기반 경계 뒤에 배치됨에 따라 조직에서 신원 패브릭을 우선시하는 것이 점점 더 중요해지고 있습니다. 신원 주변에 배치된 모든 보안 계층은 위협 행위자가 액세스하는 것을 더욱 어렵게 만듭니다.
초기 방어를 통과한 사람들에게는 신원 구조의 필수적인 부분으로서 강력한 ITDR 시스템을 구축하는 것이 보안을 유지하고 민감한 데이터를 노출로부터 보호하는 데 필수적입니다. 이는 활성 위협을 식별하고 보안 팀에 경고하거나 자동화된 단계를 수행하여 위협 행위자가 피해를 입히지 않도록 방지합니다.
SaaS 스택에서 위협을 감지하는 방법에 대해 자세히 알아보세요