기존의 사고 대응(IR) 프로세스는 감염된 기기를 검색하거나 네트워크 로그를 모니터링하여 비정상적인 트래픽을 발견하는 것으로 시작한다. 도용된 사람 사용자 또는 비인간 아이덴티티(NHI)를 찾아내는 것은 보통 마지막 단계이며, 악의적인 행위자들이 조사 기간 동안 네트워크 내부에서 계속 전파할 수 있는 시간과 공간을 제공한다. 실제로 도용된 자격 증명과 관련된 침해를 식별하고 억제하는 데에 292일까지 소요될 수 있다.

통합 아이덴티티 보안 기업인 실버포트(Silverfort)는 기존 IR 도구를 보완하고 IR 프로세스를 최적화하여 공격 복구 시간을 단축하는 ‘아이덴티티 우선 사고 대응(Identity-First Incident Response)’ 솔루션을 발표하였다. 실버포트의 솔루션을 활용해 IR팀은 먼저 손상된 계정을 발견하고 잠금 처리한 후 감염된 기기와 악의적인 네트워크 트래픽을 식별하는 방식으로 조사를 시작할 수 있다. 이러한 접근법으로 보안팀은 시간을 절약할 수 있다.

우선 IR팀은 손상된 계정을 식별하고 봉쇄함으로써 조사를 시작할 수 있게 되어 악의적인 활동을 효과적으로 동결시킬 수 있다. 머신러닝(ML)과 인공지능(AI)의 조합을 사용하여 IR 실무자들은 어떤 계정과 사용자를 차단해야 하고, 어떤 계정이 사고의 근원을 추적하는 동안 운영을 유지할 수 있는지에 대한 증거를 제공하는 고도로 실행 가능한 원격 측정에 접근할 수 있다.

아이덴티티 우선 접근 방식

실버포트의 아이덴티티 우선 IR 솔루션은 아이덴티티를 전면에 내세워 도용된 계정을 동결시키고 측면 이동을 중지시켜 사고의 영향을 줄이고 복구 시간을 단축한다. 이는 침해 중에도 신속하게 배포될 수 있으며, 손상된 계정을 탐지하고 봉쇄하며 환경 내에서 어떤 시스템, 사용자 또는 기타 자산이 손상되었는지 식별할 수 있다. 사고 대응에 대한 아이덴티티 우선 접근 방식은 손상된 사용자를 식별하기 위해 로그와 네트워크 활동을 분석하는 부담을 덜어주고 전체 IR 프로세스를 더욱 효율적으로 만든다.

실버포트의 최고 전략 책임자인 론 라신(Ron Rasin)은 “사고 대응은 시간과의 싸움이다. 오늘날 급변하는 위협 환경과 정교한 AI 기반 위협 행위자들 속에서 보안팀은 잠재적인 공격이 발생하거나 시스템이 다운될 때 비정상을 찾느라 시간을 낭비할 여유가 없다.”라면서 “실버포트의 IR 솔루션은 손상된 아이덴티티와 인접 기기를 즉시 차단하고 해당 기기에 대한 즉각적인 가시성을 제공함으로써 기존 도구를 보완한다.”라고 설명했다.

도메인 컨트롤러와 IAM 인프라를 위한 ‘인증 방화벽’ 활성화

실버포트는 위기 상황에서 기존 IR 전략과 통합되며, 액티브 디렉터리 도메인 컨트롤러를 포함한 아이덴티티 인프라에 대한 방화벽을 활성화할 수 있다. 실버포트를 구축하면 손상된 사용자 계정을 식별하고 인증 방화벽을 활성화하여 침해를 차단하고 봉쇄할 수 있다. 기본적으로 인증 방화벽은 정지 버튼 또는 ‘킬 스위치’ 역할을 하여 모든 인증 및 접근 시도를 분석하고 IR팀이 우위를 점할 때까지 중요 리소스에 대한 요청을 거부한다.

실버포트는 모든 아이덴티티와 리소스에 다중 인증(MFA)을 광범위하게 배포하고 의심되는 사용자 계정이나 그룹에 대해 ‘접근 차단’ 정책을 구성한다. 이러한 정책이 활성화되면 추가적인 악의적 인증 시도는 모두 차단된다.

실버포트의 아이덴티티 우선 사고 대응 솔루션의 주요 이점은 다음과 같다.

∙손상된 사용자 계정을 실시간으로 차단: MFA를 트리거하거나 접근을 즉시 차단하여 공격을 중지시키고 보안팀에게 실행 가능한 포렌식 데이터를 제공한다.

∙위험한 사용자와 컴퓨터를 자동으로 플래그 지정: 위협을 조사하고 손상된 사용자가 수행한 작업에 대한 가시성을 확보한다. 환경 내의 다양한 손상된 컴퓨터와 사용자를 쉽게 탐색하여 무엇이 손상되었는지 명확한 그림을 얻는다.

∙모든 기기나 리소스에 대한 접근을 즉시 거부: 실버포트의 인증 방화벽을 통해 접근을 자동으로 제한하여 사고의 영향 범위를 제한할 수 있다.

∙최고 정밀도의 위험 분석 및 MFA 검증: 전체 사용자의 인증 추적을 기반으로 모든 로그인을 분석하고 MFA로 탐지된 위협을 검증하여 오탐을 줄이고 보안팀의 부담을 경감한다.

∙기존 보안 운영 인프라와 원활하게 통합:

-기존 SOAR 자동화 플레이북에 아이덴티티 보호 조치(예: MFA, 서비스 계정 보호, 접근 차단)를 통합한다.

-XDR에 아이덴티티 관련 위협 신호와 의심되는 공격을 제공한다. 엔드포인트, 네트워크 및 기타 원격 측정을 수집하여 컨텍스트를 보강하고 탐지된 위협의 정밀도를 개선한다.

-SIEM과 데이터를 교환하여 위험 신호의 상호 연관성을 분석하고, 각 사용자 계정의 손상 노출 또는 활성 공격 관여에 대한 통찰력을 최적화하고 강화한다.

∙하이브리드 환경에 대한 포괄적인 커버리지: 사람이나 NHI를 통한 모든 인증 및 접근 시도가 온프레미스나 클라우드에서 모니터링된다.