인증정보 기반 공격이란 무엇인가요?

자격 증명 기반 공격의 첫 번째 단계인 자격 증명 도용은 자격 증명을 훔치는 과정입니다. 피싱은 상당히 저렴하고 매우 효율적인 전술이기 때문에 공격자들은 일반적으로 인증정보 도용을 위해 피싱을 사용합니다. 크리덴셜 피싱의 효과는 보안 방어의 취약점을 이용하는 멀웨어 및 익스플로잇과 달리 직원을 속이기 위해 사람의 상호 작용에 의존합니다.

기업 인증 정보 도용은 대개 표적 공격을 통해 이루어집니다. 공격자는 LinkedIn과 같은 소셜 미디어 사이트를 샅샅이 뒤져 중요 데이터와 정보에 액세스할 수 있는 자격 증명을 가진 특정 사용자를 찾습니다. 기업 인증정보 도용에 사용되는 피싱 이메일과 웹사이트는 소비자 인증정보 도용에 사용되는 것보다 훨씬 더 정교합니다. 공격자들은 이러한 이메일과 웹사이트를 합법적인 기업 애플리케이션 및 커뮤니케이션과 거의 동일하게 보이게 하기 위해 많은 노력을 기울입니다.

이러한 인증정보 기반 공격 단계에서 보안 인식 교육은 첫 번째 방어선으로서의 역할을 합니다. 안타깝게도 직원이 피싱 시도를 100% 식별할 수 있다는 보장은 없습니다. 자격증명 도용을 최소화하려면 기업 자격 증명을 승인된 애플리케이션으로 제한하고, 가능성이 낮거나 알 수 없는 애플리케이션 및 사이트에서는 사용을 차단해야 합니다. 보안 제품은 기업 자격 증명이 조직 네트워크를 벗어나지 못하도록 차단하고 악성 사이트에 전송되는 것을 방지할 수 있어야 합니다.

자격 증명 도용이란 무엇인가요?

인증정보 기반 공격의 최종 단계인 인증정보 도용은 유출된 암호를 실제로 사용하여 애플리케이션을 인증하고 데이터를 탈취하는 것입니다.

공격자가 사용자 자격 증명과 암호를 확보하면 사이버 범죄 지하에서 자격 증명을 판매하거나 조직의 네트워크를 손상시키는 데 사용하여 공격자를 차단하는 모든 보안 조치를 우회하고 네트워크 내에서 측면으로 이동하여 데이터를 훔칠 수 있습니다.

세분화되지 않은 환경에서는 공격자가 조직의 네트워크 전반을 자유롭게 이동할 수 있습니다. 환경이 분리되어 사용자와 애플리케이션 전반에 걸쳐 가시성을 제공하는 경우, 공격자가 측면으로 이동하여 중요 데이터에 액세스하는 것을 방지하기 위한 보안 조치를 취할 수 있습니다.

공격자가 유효한 사용자처럼 작동할 수 있는 자격 증명을 확보한 후에는 침입자를 식별하고 해당 사용자가 실제로 자격 증명이 주장하는 사람인지 확인하기 위해 할 수 있는 일이 거의 없습니다. 조직에서는 일반적으로 애플리케이션 내에서 다단계 인증을 구현하여 사용자에게 두 번 이상 신원을 확인하도록 요구합니다. 그러나 조직 내에서 사용되는 모든 개별 애플리케이션에 대해 이 작업을 수행하는 것은 확장성이 떨어집니다. 네트워크 계층, 즉 방화벽에서 정책 기반 멀티팩터 인증을 구현하면 필요한 대규모와 최종 사용자의 사용 편의성을 제공할 수 있습니다.

팔로알토 네트웍스 차세대 보안 플랫폼은 인증정보 도난부터 탈취한 인증정보의 남용에 이르기까지 여러 곳에서 인증정보 기반 공격 라이프사이클을 차단합니다. 차세대 방화벽, 위협 방지, WildFire 및 URL 필터링의 결합된 예방 기능은 자격 증명 도용 및 남용에 사용되는 알려진 공격과 알려지지 않은 공격을 차단하며, GlobalProtect는 플랫폼에서 모바일 인력으로 보호 범위를 확장하고 애플리케이션에 액세스하는 사용자와 디바이스를 식별하기 위한 추가 조치를 제공합니다.