정체성 위협 탐지 및 대응(ITDR)이란 무엇인가?
클라우드 컴퓨팅, 인공지능(AI), 원격 근무의 성장으로 전통적인 경계가 빠르게 사라지고 있다. 정체성 위협 탐지 및 대응(IDTR)은 도난된 자격 증명 및 계정 탈취(ATO) 공격과 같은 일반적인 정체성 관련 위협을 식별하여 이러한 문제를 해결한다.
많은 조직이 정체성 보안 솔루션을 갖추고 있지만, 전통적인 정체성 및 접근 관리(IAM)와 다단계 인증(MFA) 솔루션만으로는 더 이상 보안을 충분히 보장할 수 없다. ATO 공격과 비인간 정체성(NHI)의 증가로 인해 기업은 정체성 관련 침해를 신속하게 탐지하고 대응할 수 있는 능력이 필요하다.
정체성 위협이 중요한 이유
정체성 관련 침해는 기업 보안에 대한 주요 위협으로, 공격의 거의 4분의 1(22%)이 도난된 자격 증명으로 시작되어 침해의 주요 원인이 된다. 자격 증명은 다양한 방법(피싱, 악성 소프트웨어 등)으로 도난당할 수 있으며, 공격자에게 기업 네트워크의 정당한 직원 계정에 대한 접근을 허용한다. 한 번 내부에 침입하면, 민감한 데이터를 훔치거나 악성 소프트웨어를 심거나 비즈니스에 해를 끼치는 다른 행동을 할 수 있다.
일반적인 정체성 공격 기법
정체성 관련 공격은 다양한 메커니즘을 사용할 수 있다. 공격자가 악용하는 주요 취약점 중 일부는 다음과 같다:
- 약한 비밀번호: 자격 증명 채우기, 무차별 대입 비밀번호 추측, 비밀번호 스프레이 공격은 모두 약하고 재사용된 비밀번호를 이용하여 계정 접근을 허용한다.
- 사회 공학: 피싱 및 기타 사회 공학 공격은 사용자를 속여 비밀번호를 넘기거나 이를 훔치는 악성 소프트웨어를 설치하게 한다.
- 불안전한 IAM 정책: 약하거나 잘못 구성된 IAM 정책은 무단 사용자가 특권 기능 및 민감한 데이터에 접근할 수 있도록 허용할 수 있다.
- 세션 탈취: 공격자는 세션 토큰이나 활성화된 인증 사용자 세션을 탈취할 수 있는 기타 식별자를 훔칠 수 있다.
- 내부 위협: 기업 내의 신뢰할 수 있는 내부자는 사이버 공격을 촉진하는 행동을 하도록 강요받거나, 뇌물을 받거나, 속을 수 있습니다.
신원 침해의 결과
신원 침해는 공격자가 합법적인 사용자에게 부여된 접근 권한과 특권을 악용할 수 있게 합니다. 기업에 대한 잠재적인 결과는 다음과 같습니다:
- 데이터 유출: 공격자는 손상된 계정을 사용하여 사용자의 합법적인 접근을 통해 민감한 데이터에 접근할 수 있습니다.
- 악성 소프트웨어 감염: 랜섬웨어 및 기타 악성 소프트웨어는 공격자가 손상된 계정을 사용하여 VPN, RDP 및 기타 원격 접근 도구를 통해 목표 시스템에 접근함으로써 퍼질 수 있습니다.
- 규제 처벌: GDPR, PCI DSS 및 HIPAA와 같은 데이터 보호 규정은 보호된 데이터에 대한 접근을 통제할 것을 요구하므로, 무단 접근은 벌금이나 기타 규제 처벌을 초래할 수 있습니다.
- 비즈니스 중단: 공격자는 무단 접근을 사용하여 서비스 거부(DoS) 공격을 수행할 수 있으며, 사건 발생 후의 사고 대응은 정상적인 비즈니스 운영에 영향을 미칠 수 있습니다.
- 평판에 위험이 발생합니다. 신원 침해로 인한 데이터 유출 및 기타 사건은 고객, 파트너, 규제 기관 및 기타 이해관계자와의 조직의 평판에 해를 끼칠 수 있습니다.
- 비용 증가: 사고 수정, 비즈니스 중단 및 벌금은 모두 기업에 비용을 발생시킬 수 있습니다.
ITDR의 핵심 기능
ITDR은 전통적인 신원 관리를 확장하여 모니터링, 탐지 및 대응에 중점을 둔 기능을 통합합니다. 조직은 사건 발생 후 대응하기보다는 잠재적인 공격을 사전에 식별하고 해결함으로써 사건과 관련된 비용과 영향을 줄일 수 있습니다. ITDR은 또한 조직이 사건을 수정하고 Windows AD, Entra ID 및 Okta와 같은 신원 시스템 전반에 걸쳐 최소 권한 접근 통제를 시행함으로써 제로 트러스트 보안 태세를 강화할 수 있도록 합니다.
핵심 ITDR 기능
신원 시스템 모니터링
IDTR은 디렉터리 서비스, IAM 및 SSO 제공업체와 같은 다양한 출처에서 신원 데이터를 수집하고 집계합니다. 이 정보는 시스템이 사용자 및 장치 활동을 지속적으로 모니터링할 수 있도록 합니다. 정상 활동에 대한 기준선을 설정한 후, 비정상적이고 이상한 접근 패턴을 사용하여 잠재적인 공격을 식별할 수 있습니다.
이 모니터링은 조직이 내부 및 외부 요구 사항에 맞춰 신원 모니터링을 조정할 수 있도록 합니다. HIPAA, PCI DSS 및 GDPR과 같은 규정은 보호된 데이터에 대한 접근 모니터링을 의무화합니다.
의심스러운 신원 행동 감지
기업 내 사용자 활동의 지속적인 모니터링은 공격을 나타낼 수 있는 의심스럽거나 비정상적인 행동을 감지할 수 있게 합니다. IDTR이 감지할 수 있는 일부 행동은 다음과 같습니다:
- 불가능한 여행 및 비정상적인 로그인 시간.
- 특권 상승의 일반적인 패턴.
- 도난당한 자격 증명을 사용한 측면 이동 시도.
- 과도한 로그인 실패 시도.
자동화된 응답 및 수정
ITDR은 의심되는 공격에 신속하게 대응하고, 공격자를 차단하며, 잠재적인 피해를 완화할 수 있는 능력으로 정의됩니다. ITDR 솔루션이 취할 수 있는 일부 조치는 다음과 같습니다:
- 손상된 계정을 잠그거나 일시 중지합니다.
- MFA 재인증을 트리거합니다.
- 네트워크에서 장치나 세션을 격리합니다.
- SOC/SIEM 팀에 경고 전송하기.
- 조직화된 대응을 위한 SOAR와의 통합.
ITDR 대. IAM, PAM 및 MFA
ITDR은 포괄적인 아이덴티티 관리 및 보안 스위트의 한 구성 요소로, IAM, PAM 및 MFA와 같은 예방 조치와 함께 위협 탐지 및 대응 기능을 추가합니다. 이 솔루션들은 서로 보완적이며, 다음과 같은 다양한 초점을 가지고 있습니다:
- IAM: 아이덴티티 관리
- PAM: 특권 액세스 관리
- MFA: ATO 공격으로부터 보호
- ITDR: 아이덴티티 관련 사건 식별 및 수정
아이덴티티 보안 접근 방식 비교
Cato Networks가 신원 위협 감지를 지원하는 방법
Cato SASE Cloud Platform은 통합된 제로 트러스트 네트워크 접근(ZTNA) 기능의 일환으로 ITDR을 지원합니다. ZTNA는 네트워크 트래픽을 지속적으로 모니터링하며, 기업 정책, 인증, 최소 권한 접근 제어 및 세션 검증을 시행합니다. Cato SASE Cloud 플랫폼에 ZTNA와 ITDR이 통합됨에 따라, 이러한 기능은 Cato의 글로벌 프라이빗 백본 및 통합 보안 서비스 엣지(SSE) 기능의 혜택을 받습니다.
제로 트러스트 네트워크 액세스(ZTNA)
Cato는 ZTNA를 통해 ITDR을 구현하여 기업 WAN 전반에 걸쳐 제로 트러스트 신원 보안을 제공합니다. ZTNA는 Okta, AD 및 Ping과 같은 ID 공급자와 통합되며 사용자, 장치 및 위치에 따라 상황 인식 액세스 정책을 시행합니다. 시행은 세션별로 수행되며, 필요한 제어는 위험 수준에 따라 동적으로 업데이트됩니다.
지속적인 세션 모니터링
지속적인 세션 모니터링은 세션 하이재킹 및 인증된 세션의 악의적 사용에 대한 통찰력을 제공합니다. 주요 기능은 다음과 같습니다.
- 비정상적인 세션 행동 감지.
- 측면 이동 시도 차단.
- 위험이 증가할 때 재인증 시행.
- 손상된 계정의 체류 시간 단축.
통합 보안
Cato SASE Cloud Platform은 ITDR과 FWaaS, SWG, CASB, DLP를 결합한 통합 SSE 스택을 구현합니다. 이 조합은 플랫폼이 손상된 ID의 잠재적 영향을 관리하고 분산된 인력 전반에 걸쳐 클라우드 네이티브 보안 시행을 가능하게 합니다. 또한, 단일 정책 엔진은 여러 보안 기능에 걸쳐 중앙 집중식 관리를 제공하여 운영 복잡성을 줄입니다.
실제에서의 ID 위협 탐지
공격자는 손상된 자격 증명을 좋아합니다. 이는 기업 시스템에 대한 합법적인 액세스를 부여하기 때문입니다. 일부 일반적인 시나리오는 다음과 같습니다:
- 직원의 자격 증명이 피싱 공격을 통해 공격자에게 손상됩니다. ITDR은 비정상적인 액세스 패턴을 식별하고 검토를 위해 계정을 잠급니다.
- SaaS 앱은 직원 계정에 대해 높은 수의 로그인 실패 시도를 경험합니다. ITDR은 자격 증명 스터핑 공격 시도를 식별하고 알려진 악의적 주소로부터의 향후 요청을 차단합니다.
- 내부자는 특권 계정을 사용하여 비즈니스에서 민감한 데이터를 수집하고 유출하고 있습니다. ITDR은 특권 남용 시도를 표시하고 계정을 잠그며 민감한 데이터가 네트워크를 떠나는 것을 방지합니다.
자주 묻는 질문
ITDR는 IAM 및 PAM과 어떻게 다릅니까?
IAM과 PAM은 기업 자원에 대한 접근을 제어하여 공격을 차단하도록 설계된 예방 솔루션입니다. ITDR은 공격의 징후를 찾아내고 이를 해결하는 데 중점을 둡니다. 이 솔루션은 ITDR이 IAM과 PAM이 방지하지 못하는 공격을 차단할 수 있기 때문에 상호 보완적입니다.
왜 ITDR이 제로 트러스트에 필수적입니까?
제로 트러스트는 기업 자원에 대한 무단 접근을 방지하지만, 합법적인 권한을 사용하는 공격에 대해서는 아무런 조치를 취하지 않습니다. ITDR은 신원 관련 공격의 징후를 찾아내어 제로 트러스트를 보완합니다. 예를 들어, 공격자는 손상된 자격 증명을 사용하여 기업 애플리케이션에 합법적으로 접근할 수 있습니다. 제로 트러스트는 이를 허용할 수 있지만, ITDR은 공격의 징후를 식별하고 이를 차단할 수 있습니다.
ITDR이 내부 위협을 완화할 수 있습니까?
내부 위협은 ITDR이 해결하도록 설계된 주요 위협 중 하나입니다. 행동 분석을 사용하여 ITDR은 신뢰할 수 있는 사용자의 비정상적이거나 잠재적으로 악의적인 활동의 징후를 식별할 수 있습니다. 이러한 비정상적인 행동을 식별하고 측면 이동을 방해함으로써, ITDR은 내부 위협을 더 빠르게 포착하고 조직의 네트워크를 통해 확산되는 것을 방지합니다.
ZTNA는 ITDR에서 어떤 역할을 합니까?
ITDR은 신원 관련 공격의 징후를 식별하는 반면, ZTNA는 접근 제어나 기타 제한을 통해 그 결정을 시행합니다. 예를 들어, ITDR이 계정이 손상되었다고 판단하면, ZTNA는 재인증을 요구할 수 있습니다. Cato SASE Cloud와 같은 SASE 플랫폼의 일환으로 구현될 때, 이는 클라우드, 데이터 센터 및 지사 접근에서 신원 집행을 일관되게 만듭니다.
ITDR이 MFA를 대체합니까?
ITDR은 MFA에 대한 보완 기술입니다. MFA는 인증을 강화하여 손상된 계정의 위험을 줄이는 반면, ITDR은 손상된 계정을 사용하는 공격을 식별하기 위해 작동합니다.
Cato Networks를 통한 신원 위협 탐지 및 대응
신원이 “새로운 경계”가 됨에 따라, ITDR은 기업 보안에 점점 더 중요해지고 있습니다. Cato SASE 클라우드 플랫폼은 통합된 SASE 플랫폼의 일환으로 ZTNA와 함께 ITDR을 구현하여, 기업 전반에 걸쳐 간소화되고 일관된 신원 보안을 제공합니다.
Cato Networks가 ZTNA와 SASE를 통해 신원 보안을 강화하는 방법을 확인하십시오. 데모 요청을 통해 우리가 신원 기반 위험을 줄이는 방법을 탐색하십시오.
