내부자 위협은 권한 상승 악용을 점점 더 많이 사용하고 있습니다.

ㅏ 보고서 2023년 후반에 발표된 보고서에서는 내부자가 조직 네트워크에서 무단 작업을 수행하기 위해 권한 상승 악용을 점점 더 많이 사용하고 있음을 설명했습니다.

Crowdstrike의 보고서에 따르면 확인된 내부 위협 중 55%가 권한 상승 익스플로잇을 사용했거나 사용하려고 시도했습니다. 내부자가 악의적인 경우에는 높은 권한을 사용하여 Metasploit, Cobalt Strike 및 기타 시스템 악용 도구와 같은 추가 키트를 사용하는 것이 관찰되었습니다.

이 연구는 온프레미스 시스템에 중점을 두었으며 클라우드 애플리케이션 남용으로 수집된 데이터는 포함하지 않았다는 점은 주목할 가치가 있습니다.

보고서를 자세히 살펴보면 히트의 대부분은 Windows 및 Linux 시스템에서 발생합니다. 즉, 주어진 매개변수 내에서 이는 2024년을 헤쳐나가는 동안 보안 팀이 주목할 가치가 있는 매우 중요한 발견입니다. 이는 내부 위협이 중요한 제어를 우회하면서 핵심 시스템을 공격하는 새롭고 혁신적인 방법을 찾고 있음을 나타낼 수 있습니다.

권한 상승이 중요한 이유는 무엇입니까?

우리가 업무를 제대로 수행한다면 직원들이 액세스할 수 있는 시스템이나 자산 측면에서 무엇을 할 수 있는지 정의하는 통제 수단을 마련할 수 있습니다. 한 단계 더 깊이 들어가 보면 액세스할 수 있는 것뿐만 아니라 누군가가 해당 자산으로 무엇을 할 수 있는지 제어할 수 있습니다.

자산을 읽고, 쓰고, 편집하거나 삭제할 수 있습니까? 자신이나 다른 사람의 권한을 변경할 수 있나요? 권한의 토끼굴은 꽤 멀리 나선형으로 나타날 수 있지만 데이터 보안에 있어서는 정말 중요할 수 있습니다.

이상적인 세계에서는 모든 사용자가 업무를 수행하는 데 필요한 최소한의 액세스 권한과 권한을 갖습니다. 이는 최소 권한 원칙으로 알려져 있습니다. 이것을 정확히 맞추는 것이 완벽하다는 것은 거의 불가능하지만 목표로 삼는 목표입니다.

사용자가 자신에게 제공된 것에서 권한을 승격하는 방법을 찾는 경우가 까다로워집니다.

만약 그들이 성공했다면 그들은 우리 시스템으로 할 수 있다고 정의된 경계를 깨뜨린 것입니다. 우리는 통제력을 상실하고, 내부자 위협 행위자의 경우 우리 자산과 자산을 찾는 방법에 대해 깊은 지식을 갖고 있는 어려운 상대와 마주하게 됩니다.

내부자 위협으로 인한 과제

내부자 사고는 지난 몇 년 동안 꾸준히 증가해 왔으며 이러한 추세는 2024년에도 변하지 않을 것으로 예상됩니다. 내부자 위협은 여러 면에서 외부 공격자보다 훨씬 더 많은 어려움을 야기하기 때문에 이는 매우 우려스럽습니다.

조직에 부정적인 영향을 미치고 고객, 파트너, 내부 이해관계자의 신뢰를 약화시키는 것 외에도 감지하기가 매우 어려울 수 있습니다.

내부자 위협의 과제 중 하나는 이 사용자가 조직 내에서 발판을 마련할 수 있는 일련의 권한을 가지고 게임을 시작한다는 것입니다. 표면적으로 이것은 의미가 있습니다. 그 사람이 직원이라면, 그 사람에게 업무를 수행할 수 있는 능력을 주어야 합니다. 이는 효과적인 직원이 되기 위해 적절한 시스템과 데이터에 접근하는 것을 의미합니다.

두 번째 과제는 조직 시스템 내에서 직원의 움직임이 정상적인 것으로 간주되고 예약에서 너무 멀리 벗어나지 않는 한 경고 벨이 울리지 않을 것이라는 점입니다. 실제로 내부자가 액세스하려는 대상과 위치를 정확히 알고 있기 때문에 허니팟 중 하나를 건드릴 가능성은 매우 낮습니다.

따라서 이러한 과제 중 일부를 고려하여 내부자의 권한 상승 위협에 대응하기 위한 몇 가지 팁을 아래에 제시합니다.

내부자 위협으로 인한 위험을 줄이기 위한 3가지 전략

1. 패치하고, 패치하고, 조기에 자주 패치하세요

사이버 보안과 관련하여 MFA(다단계 인증) 구현 이전부터 가장 오래 지속된 조언 중 하나는 소프트웨어 시스템 패치의 중요성입니다.

이란의 핵 시설을 손상시키거나 iPhone을 해킹하는 데 사용된 것과 같은 제로데이 취약점이 모든 언론에 보도될 수 있지만, 대부분의 해커는 공격을 성공적으로 수행하기 위해 대중에게 공개된 알려진 취약점을 사용합니다.

해커는 일반적으로 두 가지 방법 중 하나로 이러한 취약점을 발견합니다. 첫 번째는 대중의 이익을 위해 MITRE Corporation에서 게시한 공개적으로 사용 가능한 취약점(CVE)을 볼 수 있다는 것입니다. 둘째, 더 짜증나는 점은 소프트웨어 업데이트를 보고 수정된 사항을 파악한 다음 이를 악용하는 방법을 알아볼 수 있다는 것입니다. 이러한 이유 등으로 인해 새 버전이 출시된 후 즉시 패치를 적용해야 합니다.

취약점 보고 및 게시 프로세스의 일환으로 소프트웨어를 소유한 회사 또는 오픈 소스 소프트웨어의 경우 프로젝트 관리자에게는 정보가 공개되기 전에 일반적으로 제품의 문제를 해결하기 위한 90일의 기간이 제공됩니다. 이는 이러한 소프트웨어 소유자가 버그 수정을 개발하는 데 필요한 공간과 조치를 취하도록 해야 하는 필요성 사이의 균형을 유지합니다.

그러나 그들이 발행한 패치를 사용하지 않으면 그들의 노력은 모두 물거품이 됩니다. 이는 CVE용 패치를 구현하고 화요일 패치의 필수 사항을 검토하며 일반적으로 시스템이 최신 버전으로 최신 상태인지 확인하는 것을 의미합니다.

패치는 큰 고통이 될 수 있으며 어떤 조직도 실제로 있어야 할 위치에 있지 않습니다. 가장 중요한 시스템을 패치하기를 바라면서 항상 몇 발 뒤쳐져 있습니다.

클라우드로의 전환으로 인해 최종 사용자의 패치 책임이 사라지고 더 많은 부분이 SaaS 솔루션을 제공하는 공급업체에 넘겨질 것으로 기대됩니다. 그러나 AWS, Azure, GCP와 같은 클라우드 인프라(IaaS)의 경우에는 그렇지 않으므로 IT 및 보안 팀은 앞으로도 한동안 이러한 시스템에 대한 최신 정보를 유지하기 위해 계속해서 가동 및 실행되어야 합니다. .

2. 비정상적인 동작 모니터링

내부자 또는 그런 척하는 누군가가 평소와는 다른 시스템에 액세스할 수 있는 권한을 상승시키는 경우 이는 주요 신호를 발생시켜야 합니다. 물론 이를 포착할 수 있는 모니터링 장치가 갖춰져 있다면 말이죠.

의심스러운 행동이 발생하는 시점을 파악하려면 사용자 행동 분석 도구를 사용하여 정상적인 활동의 기준을 포착하는 것이 필수입니다.

여기서의 장점은 행동 모니터링이 백그라운드에서 실행되며 권한에 대한 불법적인 변경으로 인해 영향을 받지 않는다는 것입니다. 그들이 만지는 시스템이나 그들이 취하는 다른 행동은 그들이 당신이 그들에게 정상이라고 정의한 범위에서 벗어날 경우 선택되고, 기록되고, 경고될 것입니다.

경고 기능 외에도 환경 모니터링의 또 다른 이점은 사고 후 조사에 사용할 수 있다는 것입니다. 사고 대응에서 가장 큰 과제 중 하나는 어떤 시스템이 영향을 받았고 교정이 필요할 수 있는지 이해하는 것입니다. 특정 사용자와 연결된 민감한 시스템의 활동을 세션으로 기록하면 조사에 소요되는 시간을 크게 줄일 수 있습니다.

3. 규칙 준수에 관해 직원을 교육하세요

Facebook의 Mark Zuckerberg는 회사를 성공으로 이끄는 스타트업 정신의 일환으로 "빠르게 움직여서 일을 깨뜨린다"는 아이디어를 대중화했습니다. 완고한 기업 사고방식에서 벗어나는 것은 혁신에 있어 많은 이점을 줄 수 있지만, 적어도 일부 지침을 준수하면 몇 가지 이점이 있습니다.

비즈니스 컴퓨터에 다운로드할 수 있는 소프트웨어 종류와 승인 프로세스에 대한 회사 정책에는 이유가 있습니다. 주어진 정책조차도 완전히 의미가 있는 것보다 더 방해가 되는 것처럼 보입니다.

사람들이 규칙을 따르도록 하는 가장 좋은 방법은 막대기에 관한 것이 아니라 규칙 위반으로 인해 발생할 수 있는 잠재적인 영향을 설명함으로써 사람들이 참여하도록 하는 것입니다.

이상적으로는 Powerpoint로 인한 사망을 피하고 세션을 좀 더 대화식으로 만드십시오. 더 효과적인 것으로 입증된 한 가지 방법은 정책이 위반된 다양한 사례를 할당하고 그 결과가 어떻게 진행되었는지 그룹에 제시하는 것입니다.

이것은 또한 군대에서 생명과 죽음의 안전을 가르치는 데 사용되는 방법과 동일하며 정말 기억에 남습니다.

의도치 않게 무모하지만 악의적이지 않음

보고서를 읽어보면 여기 뉴스는 보이는 것만큼 나쁘지도 않고 나쁘지도 않습니다.

저자들은 사건의 45%가 위협을 가하려는 악의적인 내부자에 의해 발생하지 않은 것으로 보인다고 지적합니다. 일부 사건에는 내부자가 고용주에게 해를 끼치는 것 이외의 이유로 조직의 컴퓨터에 소프트웨어를 다운로드할 수 있도록 규칙을 위반하는 경우도 있습니다.

직원들이 업무용 컴퓨터에 토렌트나 기타 불법 소프트웨어를 다운로드하기 위해 제어 장치를 우회하는 것을 생각해 보십시오.

아마도 이와 같은 가장 위대한 이야기 중 하나는 직장의 노동자들에 대한 오래되고 항상 좋은 이야기일 것입니다. 우크라이나 원자력 발전소 암호화폐 채굴을 목적으로 의도적으로 오프라인 시스템을 인터넷에 연결한 사람입니다. 이것은 전쟁이 발발하기 전의 일이었지만, 우크라이나의 중요 인프라를 표적으로 삼는 러시아 해커들의 작전이 이미 진행 중이었기 때문에 여전히 매우 나쁜 생각이었습니다.

반면, 누군가에게 해를 끼칠 의도가 없다고 해서 반칙이 없다는 의미는 아닙니다. 에 따르면 2023년 Verizon 데이터 유출 조사 보고서 , 기타 오류는 계속해서 연간 데이터 유출 통계의 상당 부분을 차지합니다. 그리고 고객 PII와 같은 통제된 데이터를 노출한 기업을 조사하는 규제 기관의 경우 해당 조치가 악의적인지 여부에는 별로 신경 쓰지 않습니다. 그냥 그런 일이 일어났습니다.

모범 사례를 따르고 팀을 교육함으로써 나쁜 사건을 나쁜 판단의 순간이 아니라 나쁜 믿음의 행위로 설명하는 것을 피할 수 있기를 바랍니다.