Active Directory 보안 101

오늘날 대부분의 기업은 Microsoft Active Directory(AD)를 사용하여 운영을 계속하고 있습니다. 그러나 AD는 정확히 무엇입니까?

본질적으로 AD는 직원을 회사 네트워크(예: 이메일 또는 네트워크 파일 공유)의 리소스에 연결하는 게이트웨이입니다. 관리자는 각 사용자의 권한을 관리하고 로그온할 때 인증하며 액세스할 수 있는 리소스를 결정하는 데 사용합니다.

AD에는 많은 이점이 있습니다. 사용하기 쉽고 수년 동안 사용되어 왔으며 매우 안정적입니다. 그러나 많은 기업이 그에 따른 보안 위험에 대해 알지 못합니다.

AD의 간략한 역사

2000년에 AD가 출시되기 전에는 Microsoft IT 디렉터리 서버가 중간 규모 및 대기업의 요구 사항을 적절하게 지원하도록 확장되지 않았기 때문에 많은 서버가 필요했습니다. 예를 들어, 약 1,000명의 직원으로 구성된 회사는 200개의 서로 다른 서버가 필요할 수 있습니다.

이는 기업의 주요 골칫거리였습니다. 이 모든 개별 서버는 각각 고유한 로그인 자격 증명을 요구하여 관리하기 어려웠을 뿐만 아니라 서로 쉽게 통신할 수 없어 파일 공유와 같은 활동을 어렵게 했습니다.

AD는 이 문제를 해결했습니다. 애플리케이션과 쉽게 통합하고 전체 비즈니스 환경에서 싱글 사인온(SSO) 기능을 제공함으로써 네트워크 경험을 혁신하여 빠르게 유비쿼터스화되었습니다.

그 유행은 20년 동안 변하지 않았습니다. 거의 25년이 지난 이 기술은 사라지기보다는 이제 전 세계 기업에서 사용하는 대부분의 클라우드 ID 시스템의 기반 역할을 하며 그 어느 때보다 중요합니다.

그러나 AD는 여전히 전 세계 대부분의 조직에 필수적이지만 보안 책임이 되기도 합니다.

오늘날 광고가 문제인 이유

AD는 여러 가지 이유로 취약합니다.

첫째, 복잡한 보안 위협을 처리하도록 설계되지 않았습니다. 랜섬웨어, 정교한 국가 지원 사이버 장비, 클라우드 컴퓨팅의 광범위한 채택 이전 시대에 출시되었습니다. 이는 다른 시대의 기술이므로 오늘날 우리가 직면한 많은 지능형 위협에 효과적으로 대처할 수 없습니다.

둘째, AD는 사용하기 쉽도록 개방형으로 설계되었습니다. 원활한 사용자 경험을 우선시하기 위해 네트워크에 로그인한 사용자를 신뢰합니다. 그러나 오늘날 이러한 개방성은 방어자에게 까다로운 도전이며 성공적인 침투자에게 거의 장벽을 제시하지 않습니다.

세 번째로, 그 나이는 많은 경우 아마추어 공격자도 놓치기 힘든 거대한 목표를 만들기 위해 축적된 편의를 위해 원래 내린 잘못된 보안 결정을 20년 이상 숨겨왔다는 것을 의미합니다.

이러한 이유로 모든 기업의 약 90%가 AD 취약점의 결과로 보안 침해에 노출되고 모든 사이버 공격의 10분의 9가 어떤 식으로든 AD와 관련됩니다.

이러한 통계는 정말 두려운 것이며 AD를 대상으로 하는 공격 방법의 단순성도 마찬가지입니다. 과정을 단계별로 살펴 보겠습니다 ...

1. 공격자는 피싱을 통해 PC를 손상 시킵니다. 공격자는 AD 로그인 자격 증명과 같은 민감한 정보를 노출하도록 대상을 속이도록 설계된 사기성 메시지 또는 이메일을 보냅니다.
2. 그런 다음 해당 로컬 시스템에 대한 권한을 얻기 위해 작업합니다. 공격자는 장치의 취약점을 악용하여 다양한 방법으로 컴퓨터에 대한 권한을 높일 수 있습니다.
   그들은 AD를 사용하여 다른 장치를 찾습니다 . 그런 다음 공격자는 AD를 사용하여 다른 컴퓨터를 찾고 해당 네트워크 내에서 연결되고 사용되는 모든 컴퓨터를 매핑합니다.
3. 다음으로 공격자는 더 많은 장치에 침입합니다 . 여기에서 공격자는 탐지하기 어려운 정찰을 수행하는 네트워크를 돌아다니며 AD 관리자 권한이 있는 컴퓨터를 찾기 위해 많은 컴퓨터를 공격합니다.
4. 마지막으로 권한 있는 계정에 대한 보안 액세스 – 결국 그들은 권한 있는 또는 관리자 계정의 자격 증명에 액세스하게 됩니다. 일단 그들이 그것을 가지고 있으면, 그들은 AD와 그것에 의존하는 모든 것을 완전히 통제할 수 있습니다.

인기 있는 AD 공격의 한 예는 소위 골든 티켓 공격입니다. 우리는 모두 Roald Dahl의 소설 Charlie와 초콜릿 공장의 황금 티켓에 대해 잘 알고 있습니다. 디지털 세계에서 Golden Tickets는 조직의 IT 환경에 대한 액세스도 제공합니다. 골든 티켓(Golden Ticket) 공격은 위협 행위자가 네트워크 리소스에 대한 무제한 액세스를 제공하고 자격이 있는 관리자 수준 사용자로 위장하여 네트워크에 무기한 상주할 수 있는 능력을 제공합니다.

위협 개요

AD는 공격하기 쉽기 때문에 단순히 문제가 아닙니다. 마찬가지로 공격자에 대한 보상도 상당합니다.

AD는 본질적으로 왕국의 열쇠를 보유하고 있습니다. 사무실에 물리적 키를 보관하는 금고를 상상해 보십시오. AD도 마찬가지입니다. 중요한 시스템(컴퓨터, 소프트웨어 응용 프로그램 및 기타 리소스)에 대한 액세스의 중앙 허브입니다.

간단 하고 수익성이 높기 때문에 위험합니다. 2021년에 한 회사는 네트워크에 다시 액세스하기 위해 최대 4천만 달러의 몸값을 지불했습니다.

동시에 공격자의 진입 장벽이 낮아지고 있습니다. RaaS(ransomware-as-a-service) 시장의 급성장 덕분에 더 이상 기술에 정통할 필요가 없습니다. 대신 그들은 단순히 있는 사람들로부터 도구와 서비스를 구매합니다.

파괴적인 사이클입니다. 공격자에 대한 보상은 증가하는 반면 필요한 기술 지식은 계속 감소하여 공격 환경이 기하급수적으로 확대됩니다.

따라서 International Data Corporation의 2021 랜섬웨어 연구에서 최근 2021년에 글로벌 조직의 3분의 1 이상(37%)이 랜섬웨어 공격의 피해자임을 밝혀낸 이유를 쉽게 알 수 있습니다. 실제로 확률은 공격자에게 확고히 기울어져 있습니다. .

기업은 어떻게 대응할 수 있습니까?

기업은 이러한 상승세를 바꾸기 위해 대응해야 합니다.

취약성을 최소화하려면 먼저 취약한 위치를 알아야 합니다. 많은 기업에서 이러한 이해를 얻으려는 시도가 압도적으로 느껴질 수 있습니다. 특히 사이버 보안에 대한 지식이 거의 또는 전혀 없는 기업에게는 더욱 그렇습니다. 그러나 도움이 될 수 있는 솔루션과 지원이 있으므로 안심하십시오.

Purple Knight는 좋은 출발점입니다. 선도적인 Microsoft ID 전문가 그룹이 구축 및 관리하는 무료 Active Directory 보안 평가 도구는 공격자가 하기 전에 Active Directory의 취약점을 발견하고 해결해야 하는 일반적인 취약점을 강조하는 데 도움이 될 수 있습니다.

잠재적인 취약점의 전체 범위는 최신 Purple Knight 보고서에 나열되어 있습니다. 그러나 우선 몇 가지 일반적인 예는 다음과 같습니다.

• 구성 드리프트 – 구성 드리프트는 잘못된 AD 관행의 결과입니다. 앱이 작동하려면 AD에서 구성해야 하지만 시간이 걸립니다. 이에 대한 빠른 해결책은 응용 프로그램에 너무 많은 관리 권한을 부여하는 것입니다. 이는 기업이 과거에 수행해 왔으며 반짝이는 새 도구를 최대한 빨리 가동하고 실행하기를 원했던 것입니다. 결과적으로 관리 계정이 AD에 누적되기 시작합니다. 그러나 치명적인 결과가 뒤따르려면 이들 중 하나가 공격을 받아야 합니다.
  
• 레거시 관리자 계정 – 레거시 관리자 계정은 유사한 문제를 제기합니다. 그들은 옷장에 있는 해골입니다. 공격자가 이러한 권한 있는 계정에 액세스할 수 있으면 다시 돌아와서 당신을 괴롭힐 것입니다.
  
• 취약하거나 일반적인 암호 – 공격자는 일반적으로 사용되는 다양한 암호를 시도하여 여러 계정에 액세스하려고 시도합니다. 이를 암호 스프레이라고 하며 네트워크에서 취약하거나 일반적인 암호를 사용하지 않음으로써 쉽게 방해할 수 있는 기술입니다.

물론 이러한 취약점을 식별하고 해결하는 것은 퍼즐의 작은 부분일 뿐입니다. 증가하는 사이버 범죄 위협에 장기적으로 효과적으로 대처하기 위해 조직은 다양한 모범 사례를 적극적으로 채택해야 합니다.

여기에는 정기적인 내부 보안 감사 수행, 간결한 운영 개선, 피싱에 대한 정기적 직원 교육 제공, 공격이 발생할 경우 신속한 반등을 보장하기 위한 복구 프로세스 투자에 이르기까지 모든 것이 포함될 수 있습니다.

전반적으로 강력한 방어를 개발하기 위한 지원 또는 지침을 얻으려면 AD 보안을 전문으로 하는 전담 전문가에게 문의하여 수행해야 하는 핵심 변경 사항을 이해하는 것이 좋습니다. Active Directory 공격은 더 이상 여부의 문제가 아니라 언제입니다. 회사가 중요한 AD 취약점을 해결하면 싸움의 기회가 생깁니다. 그렇지 않다면 그들은 계속해서 최악의 결과에 직면할 준비를 하고 있을 것입니다.