권한 상승 공격은 악의적인 행위자가 잘못된 구성, 버그, 취약한 암호 및 보호된 자산에 액세스할 수 있도록 하는 기타 취약성을 악용할 때 발생합니다.
일반적인 익스플로잇은 공격자가 먼저 낮은 수준의 권한 계정에 액세스하는 것으로 시작할 수 있습니다. 로그인하면 공격자는 시스템을 조사하여 추가로 악용할 수 있는 다른 취약점을 식별합니다. 그런 다음 권한을 사용하여 실제 사용자를 가장하고 대상 리소스에 액세스하며 탐지되지 않은 다양한 작업을 수행합니다.
권한 상승 공격은 수직 또는 수평입니다.
수직 유형에서 공격자는 계정에 대한 액세스 권한을 얻은 다음 해당 사용자로 작업을 실행합니다. 수평 유형의 경우 공격자는 먼저 제한된 권한을 가진 하나 이상의 계정에 대한 액세스 권한을 얻은 다음 시스템을 손상시켜 관리 역할을 수행할 수 있는 더 많은 권한을 얻습니다.
이러한 권한을 통해 공격자는 관리 작업을 수행하거나 맬웨어를 배포하거나 기타 바람직하지 않은 활동을 수행할 수 있습니다. 예를 들어, 그들은 운영을 방해하거나, 보안 설정을 수정하거나, 데이터를 훔치거나, 미래에 악용할 수 있도록 백도어를 열어두도록 시스템을 손상시킬 수 있습니다.
일반적으로 사이버 공격과 마찬가지로 권한 상승은 네트워크, 서비스 및 애플리케이션의 시스템 및 프로세스 취약성을 악용합니다. 따라서 우수한 보안 사례와 도구를 조합하여 배포하여 이를 방지할 수 있습니다. 조직은 광범위한 잠재적 및 기존 보안 취약성과 위협을 스캔, 탐지 및 방지할 수 있는 솔루션을 이상적으로 배포해야 합니다.
목차
권한 상승 공격을 방지하기 위한 모범 사례
조직은 공격자에게 매력적이지 않게 보일 수 있는 기타 영역뿐만 아니라 모든 중요한 시스템과 데이터를 보호해야 합니다. 공격자가 필요로 하는 모든 것은 시스템에 침투하는 것입니다. 내부에 들어가면 추가 권한을 얻기 위해 추가로 악용하는 취약점을 찾을 수 있습니다. 외부 위협으로부터 자산을 보호하는 것 외에도 내부 공격을 방지하기 위한 충분한 조치를 취하는 것도 마찬가지로 중요합니다.
실제 조치는 시스템, 네트워크, 환경 및 기타 요인에 따라 다를 수 있지만 다음은 조직에서 인프라를 보호하기 위해 사용할 수 있는 몇 가지 기술입니다.
네트워크, 시스템 및 애플리케이션 보호 및 검사
실시간 보안 솔루션을 배포하는 것 외에도 새로운 위협이 침투할 수 있는 취약점에 대해 IT 인프라의 모든 구성 요소를 정기적으로 검사하는 것이 중요합니다. 이를 위해 효과적인 취약성 스캐너를 사용하여 패치가 적용되지 않고 안전하지 않은 운영 체제 및 응용 프로그램, 잘못된 구성, 취약한 암호 및 공격자가 악용할 수 있는 기타 결함을 찾을 수 있습니다.
다양한 취약점 스캐너를 사용하여 오래된 소프트웨어의 약점을 식별할 수 있지만 일반적으로 모든 시스템을 업데이트하거나 패치하는 것은 어렵거나 실용적이지 않습니다. 특히, 이는 레거시 구성 요소 또는 대규모 생산 시스템을 다룰 때 어려운 문제입니다.
이러한 경우 네트워크 수준에서 악성 트래픽을 탐지하고 차단하는 WAF(웹 애플리케이션 방화벽)와 같은 추가 보안 계층을 배포할 수 있습니다. 일반적으로 WAF는 패치가 적용되지 않았거나 오래된 경우에도 기본 시스템을 보호합니다.
적절한 권한 계정 관리
권한 있는 계정을 관리하고 모든 계정이 안전하고 모범 사례에 따라 사용되며 노출되지 않도록 하는 것이 중요합니다. 보안 팀은 모든 계정, 계정이 존재하는 위치 및 사용 용도에 대한 인벤토리를 보유해야 합니다.
기타 조치에는 다음이 포함됩니다.
- 권한 있는 계정의 수와 범위를 최소화하고 활동을 모니터링하고 기록합니다.
- 각 권한이 있는 사용자 또는 계정을 분석하여 위험, 잠재적 위협, 소스 및 공격자의 의도를 식별하고 해결합니다.
- 주요 공격 모드 및 예방 조치
- 최소 권한 원칙을 따릅니다.
- 관리자가 계정 및 자격 증명을 공유하지 못하도록 합니다.
사용자 행동 모니터링
사용자 행동을 분석하면 손상된 ID가 있는지 발견할 수 있습니다. 일반적으로 공격자는 조직의 시스템에 대한 액세스를 제공하는 사용자 ID를 대상으로 합니다. 자격 증명을 얻는 데 성공하면 네트워크에 로그인하고 한동안 감지되지 않을 수 있습니다.
각 사용자의 행동을 수동으로 모니터링하는 것은 어렵기 때문에 가장 좋은 방법은 UEBA(User and Entity Behavior Analytics) 솔루션을 배포하는 것입니다. 이러한 도구는 시간이 지남에 따라 사용자 활동을 지속적으로 모니터링합니다. 그런 다음 손상을 나타내는 비정상적인 활동을 발견하는 데 사용하는 합법적인 동작 기준을 만듭니다.
결과 프로필에는 사용자가 액세스하는 위치, 리소스, 데이터 파일 및 서비스, 빈도, 특정 내부 및 외부 네트워크, 호스트 수 및 실행된 프로세스와 같은 정보가 포함됩니다. 이 정보를 통해 도구는 기준선에서 벗어나는 의심스러운 작업이나 매개변수를 식별할 수 있습니다.
강력한 암호 정책 및 시행
사용자가 고유하고 추측하기 어려운 암호를 갖도록 강력한 정책을 수립하고 시행합니다. 또한 다단계 인증을 사용하면 강력한 암호 정책을 수동으로 적용하기 어려울 때 발생할 수 있는 취약성을 극복하면서 보안 계층을 추가할 수 있습니다.
보안 팀은 또한 시스템을 스캔하고 취약한 비밀번호를 식별 및 플래그 지정하거나 조치를 촉구할 수 있는 비밀번호 감사자, 정책 시행자 및 기타 도구와 같은 필수 도구를 배포해야 합니다. 시행 도구는 사용자가 길이, 복잡성 및 회사 정책 측면에서 강력한 암호를 갖도록 합니다.
조직은 또한 기업 암호 관리 도구를 사용하여 사용자가 인증이 필요한 서비스에 대한 정책을 준수하는 복잡하고 안전한 암호를 생성하고 사용할 수 있도록 할 수 있습니다.
암호 관리자의 잠금을 해제하기 위한 다단계 인증과 같은 추가 조치는 보안을 더욱 강화하여 공격자가 저장된 자격 증명에 액세스하는 것을 거의 불가능하게 만듭니다. 일반적인 엔터프라이즈 암호 관리자에는 다음이 포함됩니다. 관리인, 대시레인, 1비밀번호.
사용자 입력 삭제 및 데이터베이스 보안
공격자는 취약한 사용자 입력 필드와 데이터베이스를 사용하여 악성 코드를 삽입하고 액세스 권한을 획득하고 시스템을 손상시킬 수 있습니다. 이러한 이유로 보안 팀은 강력한 인증 및 효과적인 도구와 같은 모범 사례를 사용하여 데이터베이스 및 모든 종류의 데이터 입력 필드를 보호해야 합니다.
데이터베이스에 패치를 적용하고 모든 사용자 입력을 삭제하는 것 외에도 전송 중인 데이터와 저장되지 않은 모든 데이터를 암호화하는 것이 좋습니다. 추가 조치에는 파일을 읽기 전용으로 남겨두고 이를 필요로 하는 그룹 및 사용자에게 쓰기 액세스 권한을 부여하는 것이 포함됩니다.
사용자 교육
사용자는 조직의 보안 사슬에서 가장 약한 고리입니다. 따라서 권한을 부여하고 작업을 안전하게 수행하는 방법에 대해 교육하는 것이 중요합니다. 그렇지 않으면 사용자가 한 번만 클릭해도 전체 네트워크 또는 시스템이 손상될 수 있습니다. 일부 위험에는 악성 링크 또는 첨부 파일 열기, 손상된 웹 사이트 방문, 약한 암호 사용 등이 있습니다.
이상적으로는 조직에 정기적인 보안 인식 프로그램이 있어야 합니다. 또한 교육이 효과적인지 확인할 수 있는 방법론이 있어야 합니다.
권한 상승 공격 방지 도구
권한 상승 공격을 방지하려면 여러 도구가 필요합니다. 여기에는 아래 솔루션이 포함되지만 이에 국한되지 않습니다.
사용자 및 엔터티 행동 분석 솔루션(UEBA)
엑사빔
그만큼 Exabeam 보안 관리 플랫폼 다양한 서비스에서 사용자 및 계정 활동을 추적하는 데 도움이 되는 AI 기반 행동 분석 솔루션을 빠르고 쉽게 배포할 수 있습니다. 또한 Exabeam을 사용하여 다른 IT 시스템 및 보안 도구에서 로그를 수집하고, 분석하고, 위험한 활동, 위협 및 기타 문제를 식별하고 플래그를 지정할 수 있습니다.
기능에는 다음이 포함됩니다.
- 사고 조사에 유용한 정보를 기록하고 제공합니다. 여기에는 특정 계정 또는 사용자가 서비스, 서버 또는 애플리케이션 또는 리소스에 처음으로 액세스했을 때의 모든 세션, 새 VPN 연결, 비정상적인 국가에서 계정 로그인 등이 포함됩니다.
- 확장 가능한 솔루션은 단일 인스턴스, 클라우드 및 온프레미스 배포에 적용 가능합니다.
- 정상 및 비정상 계정 또는 사용자 행동을 기반으로 공격자의 전체 경로를 명확하게 보여주는 포괄적인 타임라인을 생성합니다.
사이넷 360
그만큼 Cynet 360 플랫폼 행동 분석, 네트워크 및 엔드포인트 보안을 제공하는 포괄적인 솔루션입니다. 지리적 위치, 역할, 근무 시간, 온프레미스 및 클라우드 기반 리소스에 대한 액세스 패턴 등을 포함한 사용자 프로필을 생성할 수 있습니다.
플랫폼은 다음과 같은 비정상적인 활동을 식별하는 데 도움이 됩니다.
- 시스템 또는 리소스에 대한 최초 로그인
- 비정상적인 로그인 위치 또는 새 VPN 연결 사용
- 매우 짧은 시간 내에 여러 리소스에 대한 다중 동시 연결
- 업무 시간 외 리소스에 액세스하는 계정
비밀번호 보안 도구
암호 감사자
그만큼 암호 감사자 도구는 호스트 이름과 IP 주소를 스캔하여 HTTP 웹 양식, MYSQL, FTP, SSH, RDP, 네트워크 라우터 및 기타 인증이 필요한 웹 애플리케이션 및 네트워크 서비스에 대한 약한 자격 증명을 자동으로 식별합니다. 그런 다음 취약한 사용자 이름과 암호 조합을 사용하여 로그인을 시도하여 자격 증명이 약한 계정을 식별하고 경고합니다.
비밀번호 관리자 프로
그만큼 ManageEngine 암호 관리자 프로 전체 수명 주기 동안 권한 있는 계정에 대한 포괄적인 관리, 제어, 모니터링 및 감사 솔루션을 제공합니다. 권한 있는 계정, SSL 인증서, 원격 액세스 및 권한 있는 세션을 관리할 수 있습니다.
기능에는 다음이 포함됩니다.
- 서버, 네트워크 구성 요소, 데이터베이스 및 기타 리소스와 같은 중요한 시스템에 대해 빈번한 암호 재설정을 자동화하고 시행합니다.
- 모든 권한 있고 민감한 계정 ID와 암호를 중앙의 안전한 금고에 저장하고 구성합니다.
- 조직이 HIPAA, PCI, SOX 등과 같은 규제 표준을 준수할 뿐만 아니라 중요한 보안 감사를 충족할 수 있도록 합니다.
- 팀 구성원이 관리 암호를 안전하게 공유할 수 있습니다.
취약점 스캐너
인빅티
인빅티 모든 조직의 요구 사항에 맞게 확장할 수 있는 확장 가능한 자동화된 취약점 스캐너 및 관리 솔루션입니다. 이 도구는 CI/CD 솔루션, SDLC 등을 포함한 다른 시스템과 원활하게 통합하면서 복잡한 네트워크와 환경을 스캔할 수 있습니다. 고급 기능을 갖추고 있으며 복잡한 환경 및 애플리케이션의 취약점을 스캔하고 식별하도록 최적화되어 있습니다.
또한 Invicti를 사용하여 공격자가 악용할 수 있는 잘못된 보안 구성에 대해 웹 서버를 테스트할 수 있습니다. 일반적으로 이 도구는 웹 애플리케이션, 웹 서비스, 웹 페이지, API 등에서 SQL 주입, 원격 파일 포함, XSS(교차 사이트 스크립팅) 및 기타 OWASP Top-10 취약점을 식별합니다.
아큐네틱스
아큐네틱스 내장된 취약점 스캐닝, 관리 및 다른 보안 도구와의 손쉬운 통합이 포함된 포괄적인 솔루션입니다. 스캔 및 수정과 같은 취약성 관리 작업을 자동화하여 리소스를 절약할 수 있습니다.
기능은 다음과 같습니다.
- Jenkins와 같은 다른 도구, GitHub, Jira, Mantis 등과 같은 타사 문제 추적기와 통합됩니다.
- 온프레미스 및 클라우드 배포 옵션
- 고객 환경 및 요구 사항은 물론 크로스 플랫폼 지원에 맞게 사용자 정의할 수 있습니다.
- 일반적인 웹 공격, XSS(교차 사이트 스크립팅), SQL 삽입, 맬웨어, 잘못된 구성, 노출된 자산 등을 포함한 광범위한 보안 문제를 신속하게 식별하고 대응합니다.
PAM(Privileged Access Management) 소프트웨어 솔루션
점프클라우드
점프클라우드 사용자를 네트워크, 시스템, 서비스, 앱 및 파일에 안전하게 인증하고 연결하는 DaaS(Directory as a Service) 솔루션입니다. 일반적으로 확장 가능한 클라우드 기반 디렉터리는 사용자, 응용 프로그램 및 장치를 관리, 인증 및 권한 부여하는 서비스입니다.
기능은 다음과 같습니다.
- 안전하고 중앙 집중화된 권위 있는 디렉토리를 생성합니다.
- 플랫폼 간 사용자 액세스 관리 지원
- LDAP, SCIM 및 SAML 2.0을 통해 애플리케이션에 대한 사용자 액세스 제어를 지원하는 싱글 사인온 기능 제공
- 온프레미스 및 클라우드 서버에 대한 보안 액세스 제공
- 다단계 인증 지원
- 이벤트 로깅, 스크립팅, API 관리, PowerShell 등과 같은 보안 및 관련 기능의 자동화된 관리
핑 ID
핑 ID 다단계 인증, 싱글 사인온, 디렉토리 서비스 등을 제공하는 지능형 플랫폼입니다. 이를 통해 조직은 사용자 ID 보안 및 경험을 향상시킬 수 있습니다.
특징
- 안전하고 안정적인 인증 및 서비스 액세스를 제공하는 싱글 사인온
- 추가 보안 계층을 추가하는 다단계 인증
- 향상된 데이터 거버넌스 및 개인 정보 규정 준수 기능
- 대규모 사용자 ID 및 데이터의 안전한 관리를 제공하는 디렉토리 서비스
- IDaaS(Identity-as-a-Service), 컨테이너화된 소프트웨어 등과 같은 유연한 클라우드 배포 옵션
폭스패스
폭스패스 온프레미스 및 클라우드 배포를 위한 확장 가능한 엔터프라이즈급 ID 및 액세스 제어 솔루션입니다. RADIUS, LDAP 및 SSH 키 관리 기능을 제공하여 각 사용자가 허용된 시간에 특정 네트워크, 서버, VPN 및 기타 서비스에만 액세스할 수 있도록 합니다.
이 도구는 Office 365, Google Apps 등과 같은 다른 서비스와 원활하게 통합할 수 있습니다.
AWS 비밀 관리자
AWS 비밀 관리자 서비스, 애플리케이션 및 기타 리소스에 액세스하는 데 필요한 비밀을 보호하는 안정적이고 효과적인 수단을 제공합니다. 이를 통해 API 키, 데이터베이스 자격 증명 및 기타 비밀을 쉽게 관리, 교체 및 검색할 수 있습니다.
탐색할 수 있는 더 많은 비밀 관리 솔루션이 있습니다.
결론
사이버 공격과 마찬가지로 권한 상승은 시스템을 악용하고 네트워크, 서비스 및 애플리케이션의 취약성을 처리합니다. 따라서 올바른 보안 도구와 사례를 배포하여 이를 방지할 수 있습니다.
효과적인 조치에는 최소 권한, 강력한 암호 및 인증 정책 시행, 민감한 데이터 보호, 공격 표면 축소, 계정 자격 증명 보호 등이 포함됩니다. 기타 조치에는 모든 시스템, 소프트웨어 및 펌웨어를 최신 상태로 유지하고 패치를 적용하고, 사용자 행동을 모니터링하고, 사용자에게 안전한 컴퓨팅 관행을 교육하는 것이 포함됩니다.