ID 기반 악용을 방지
이해
ID 상황을
파악
Active Directory, 하이브리드 및 Entra ID 전반에 엔터프라이즈 사일로를 헐고 ID를 통합합니다.
공개
최상위 ID
공백을 파악
위험 점수를 사용하여 ID를 평가하여 관심이 필요한 가장 위험한 ID를 찾습니다.
종료 ID 기반 위험 노출을 빠르게 해결
단계별 우선 순위 지정를 사용하여 ID 기반 악용이 가능성이 가장 높은 보안 공백을 빠르게 해결합니다.
ID 위험 노출을 해결하여 위험을 줄이기
ID는 새로운 경계입니다. 손상된 ID는 거의 모든 성공적 사이버 공격의 중심이 있습니다. ID 기반 악용이 발생하는 보안 공백을 공개하고 해결하여 Tenable Identity Exposure는 보안 포스처를 강화하고 공격이 발생하기 전에 자신감 있게 방지합니다.
중요한 사항 탐지
Tenable Identity Exposure는 Active Directory 및 Entra ID 환경에서 피해가 줄 수 있는 공격이 될 수 있는 약점, 구성 오류 및 작업을 지속적으로 유효성 검사합니다. 심도 있는 ID 컨텍스트를 Tenable One - 위험 노출 관리 플랫폼으로 통합하면 위험성이 높은 조합을 식별할 수 있도록 지원하며 우선 순위 지정 및 효율성을 대폭 향상하여 조직에게 가장 중요한 위험 노출을 수정합니다.
공격 경로 없애기
Tenable Identity Exposure는 악성 행위자가 활용했을 수 있는 위험 노출 및 공격 경로을 제거하여 공격자가 거점을 만들기 어렵게 하고 거점을 만들더라도 다음 단계를 찾을 수 없습니다.
초기
거점
피싱 또는 취약성 이용
탐색
표적 환경 전반에 걸친 내부 확산 이동
상승
권한 있는 액세스 획득
회피
포렌식 흔적 숨기기
확립
영구적인 코드 설치
유출
데이터 유출 또는 표적으로 랜섬 요구
Active Directory 보안
- Active Directory 보안을 위협하는 근본적 문제를 검색
- 위험한 트러스트 관계 식별
- Identity Risk Scoring을 사용하여 환경에 위험 수준으로 각 ID의 등급을 지정
- 조직의 비밀번호 하이진을 향상하고 비밀번호 관련 공격의 위험을 줄이기
- Active Directory 및 Entra ID에 모든 변경 사항을 확인
- Active Directory 변경과 악성 행위 간에 연결하고 AD 공격을 실시간으로 탐지
- 수정 단계의 우선 순위를 지정하여 먼저 가장 위험한 ID 및 구성 오류에 집중
- Active Directory 및 Entra ID에서 ID를 통합
- 상세한 공격 세부 정보를 시각화
- 인시던트 세부 사항에서 직접 MITRE ATT&CK 설명 탐색
공격이 발생하기 전에 자신감 있게 방지
어디든지 배포
Active Directory 및 Azure Active Directory 모두를 지원하는 Tenable Identity Exposure는 유연한 아키텍처 설계를 제공합니다. 온프레미스로 데이터를 온사이트에 및 제어권에 두고 SaaS로 클라우드를 활용합니다.
지연 없음
에이전트 및 권한 없이 정교한 Active Directory 공격을 방지 및 탐지하며 Active Directory에 대한 구성의 감사 및 공격의 식별을 위해 표준 사용자 계정만 필요로 합니다.
FAQ
- Tenable Identity Exposure의 주요 기능은 무엇입니까?
-
Tenable Identity Exposure로 공격을 실시간으로 탐지 및 대응하고 공격자가 Active Directory의 약점을 악용하기 전에 찾아서 수정할 수 있습니다. Tenable Identity Exposure의 주요 기능은 다음과 같습니다.
- Active Directory 구성 내에 숨겨진 약점 발견
- Active Directory 보안을 위협하는 근본적 문제를 검색
- 각 구성 오류를 이해하기 쉽게 분석
- 새로운 Identity Risk 점수 기능은 취약성, 위험 노출 및 ID 권한을 조합하여 자산 위험을 정량화(Tenable의 인공 지능 및 데이터 과학 엔진 기반)
- 각 문제에 대해 권장하는 해결 방법 받기
- 사용자 지정 대시보드를 만들어서 위험을 줄이기 위해 Active Directory 보안을 관리
- 위험한 트러스트 관계 발견
- 새로운 보기에 Active Directory 및 Entra ID에 ID를 통합
- AD의 모든 변경 사항 파악
- Active Directory의 도메인별 주요 공격을 검색
- 정확한 공격 타임라인에서 모든 위협 시각화
- 공격 분포를 단일 보기로 통합
- Active Directory 변경 사항과 악성 행위 간에 연결
- Active Directory 공격의 상세한 세부 정보를 분석
- 탐지된 인시던트에서 직접 MITRE ATT&CK® 설명 탐색
- Tenable Identity Exposure는 어떤 Active Directory 공격 및 기술을 탐지합니까?
-
Tenable Identity Exposure는 DCShadow, 무차별 대입 공격, 비밀번호 살포, DCSync, Golden Ticket 등을 포함해 권한을 상승하고 내부 확산 이동을 가능하게 하기 위해 사이버 공격에 사용되는 다양한 기법을 탐지합니다.
- Tenable Identity Exposure는 Active Directory에서 어떤 권한 공격 벡터를 식별합니까?
-
Tenable Identity Exposure는 공격자가 권한을 얻기 위해 사용하는 알려진 공격 벡터의 광범위한 라이브러리를 보유하고 있습니다. 여기에는 다음이 포함됩니다.
공격 벡터
설명
알려진 공격 도구
Mitre Attack Matrix
Kerberos 서비스를 실행하는 권한 있는 계정
무차별 대입 공격이 가능한 Kerberos 서비스 보안 주체 이름을 사용하는 높은 권한 계정
Kerberom
권한 상승, 내부 확산 이동, 지속
위험한 Kerberos 위임
위험한 위임(제한 없음, 프로토콜 전환 등)이 승인되지 않았는지 확인
Nishang
권한 상승, 내부 확산 이동, 지속
Active Directory PKI에 약한 암호화 알고리즘 사용
내부 Active Directory PKI에 배포된 루트 인증서는 약한 암호화 알고리즘을 사용해서는 안 됨
ANSSI-ADCP
지속, 권한 상승, 내부 확산 이동
중요 개체에 대한 위험한 액세스 권한 위험
불법적인 사용자가 중요 개체를 제어할 수 있게 하는 일부 액세스 권한이 발견됨
BloodHound
유출, 내부 확산 이동, 명령과 제어, 자격 증명 액세스, 권한 상승
비밀번호 정책의 여러 가지 문제점
일부 특정 계정의 현재 비밀번호 정책은 강력한 자격 증명 보호를 보장하는 데 불충분함
Patator
방어 회피, 내부 확산 이동, 자격 증명 액세스, 권한 상승
위험한 RODC 관리 계정
읽기 전용 도메인 컨트롤러를 담당하는 관리 그룹에 비정상적 계정이 포함되어 있음
Impacket
자격 증명 액세스, 방어 회피, 권한 상승
중요 개체에 연결된 중요한 GPO
관리자 이외의 계정에서 관리하는 일부 GPO가 중요한 Active Directory 개체(예: KDC 계정, 도메인 컨트롤러, 관리 그룹 등)에 연결됨
ANSSI-ADCP
명령과 제어, 자격 증명 액세스, 지속, 권한 상승
도메인 컨트롤러를 제외한 다른 시스템에 연결하도록 허용된 관리자 계정
모니터링하는 인프라에 배포된 보안 정책이 관리자 계정이 DC 이외의 다른 리소스에 연결하는 것을 막지 않으므로 중요한 자격 증명 노출이 발생
CrackMapExec
방어 회피, 자격 증명 액세스
위험한 트러스트 관계
잘못 구성된 트러스트 관계 특성으로 인해 디렉터리 인프라의 보안이 저하됨
Kekeo
내부 확산 이동, 자격 증명 액세스, 권한 상승, 방어 회피
GPO에서 복원 가능한 비밀번호
GPO에 복원 가능한 형식으로 저장된 비밀번호가 없는지 확인
SMB 비밀번호 크롤러
자격 증명 액세스, 권한 상승
오래된 OS를 실행하는 컴퓨터
오래된 시스템은 더 이상 에디터에서 지원하지 않으며 인프라 취약성을 크게 증가시킴
Metasploit
내부 확산 이동, 명령과 제어
Windows 2000 이전 버전과 호환되는 액세스 컨트롤을 사용하는 계정
Windows 2000 이전 버전과 호환되는 액세스 그룹의 계정 구성원은 특정 보안 조치를 우회할 수 있음
Impacket
내부 확산 이동, 방어 회피
로컬 관리자 계정 관리
로컬 관리자 계정을 LAPS를 사용하여 중앙에서 안전하게 관리하도록 보장
CrackMapExec
방어 회피, 자격 증명 액세스, 내부 확산 이동
위험한 익명 사용자 구성
모니터링하는 Active Directory 인프라에서 익명 액세스가 활성화되어 중요 정보가 유출됨
Impacket
유출
비정상적인 RODC 필터링된 특성
일부 읽기 전용 도메인 컨트롤러에 적용되는 필터링 정책은 중요한 정보의 캐싱을 일으켜서 권한 상승 허용 가능
Mimikatz(DCShadow)
권한 상승, 방어 회피
내부 확산 이동 공격 시나리오에 대한 제한 부족
모니터링하는 Active Directory 인프라에서 내부 확산 이동 제한이 활성화되지 않아 공격자가 동일한 수준의 권한으로 시스템 간에 이동 가능
CrackMapExec
내부 확산 이동
DC 공유에 저장된 일반 텍스트 비밀번호
모든 인증된 사용자가 액세스할 수 있는 DC 공유의 일부 파일에는 일반 텍스트 비밀번호를 포함할 가능성이 있어 권한 상승이 가능
SMBSpider
자격 증명 액세스, 권한 상승, 지속
로그온 스크립트에 대한 위험한 액세스 제어 권한
컴퓨터 또는 사용자 로그온 중에 실행되는 일부 스크립트에는 위험한 액세스 제어 권한이 있어 권한 상승으로 이어짐
Metasploit
내부 확산 이동, 권한 상승, 지속
GPO에서 위험한 매개 변수가 사용됨
일부 위험한 매개 변수(예: 제한된 그룹, LM 해시 계산, NTLM 인증 수준, 중요한 매개 변수 등)가 GPO에 의해 설정되어 보안 침해를 발생
Responder
검색, 자격 증명 액세스, 실행, 지속, 권한 상승, 방어 회피
사용자 계정 제어 구성에 정의된 위험한 매개 변수
일부 사용자 계정은 사용자 계정 제어 특성은 위험한 매개 변수(예, PASSWD_NOTREQD 또는 PARTIAL_SECRETS_ACCOUNT)PARTIAL_SECRETS_
ACCOUNT)를 정의하며 해당 계정의 보안을 위험하게 합니다Mimikatz(LSADump)
지속, 권한 상승, 방어 회피
보안 패치 적용 부족
Active Directory에 등록된 일부 서버에 최근 보안 업데이트가 적용되지 않았음
Metasploit
명령과 제어, 권한 상승, 방어 회피
사용자 계정에 대한 무차별 대입 공격 시도
일부 사용자 계정이 무차별 대입 공격 시도의 표적이 됨
Patator
자격 증명 액세스
사용자 계정에 대한 Kerberos 구성
일부 계정에서 약한 Kerberos 구성 사용
Mimikatz(Silver Ticket)
자격 증명 액세스, 권한 상승
DC에 비정상적인 공유 또는 파일 저장됨
일부 도메인 컨트롤러가 불필요한 파일 또는 네트워크 공유를 호스팅하는 데 사용됨
SMBSpider
검색, 유출
- Tenable Identity Exposure는 Active Directory에서 어떤 백도어 기술을 식별합니까?
-
Tenable Identity Exposure는 공격자가 지속성을 얻기 위해 사용하는 알려진 백도어링 기법의 광범위한 라이브러리를 보유하고 있습니다. 여기에는 다음이 포함됩니다.
백도어링 기법
설명
알려진 공격 도구
Mitre Attack Matrix
SDProp 일관성 보장
adminSDHolder 개체가 빈 상태에 있도록 제어
Mimikatz(Golden Ticket)
권한 상승, 지속
SDProp 일관성 보장
사용자의 기본 그룹이 변경되지 않았는지 확인
BloodHound
권한 상승, 지속
루트 도메인 개체 권한 확인
루트 도메인 개체에 대해 설정된 권한이 정상인지 확인
BloodHound
권한 상승, 지속
민감한 GPO 체 및 파일 권한 확인
GPO 개체 및 민감한 컨테이너(예: 도메인 컨트롤러 OU)에 연결된 파일에 대해 설정된 권한이 정상인지 확인
BloodHound
실행, 권한 상승, 지속
RODC KDC 계정에 대한 위험한 액세스 권한
일부 읽기 전용 도메인 컨트롤러에 사용되는 KDC 계정을 불법적인 사용자 계정으로 제어할 수 있으며, 자격 증명 유출을 일으킴
Mimikatz(DCSync)
권한 상승, 지속
사용자 계정에 매핑된 중요한 인증서
일부 X509 인증서는 altSecurityIdentities 사용자 계정 특성에 저장되므로, 인증서의 개인 키 소유자가 이 사용자로 인증할 수 있음
명령과 제어, 자격 증명 액세스, 권한 상승, 지속
일반 계정에 설정된 Rogue Krbtgt SPN
KDC의 서비스 보안 주체 이름이 일부 일반 사용자 계정에 존재하며, Kerberos 티켓 위조를 일으킴
Mimikatz(Golden Ticket)
권한 상승, 지속
KDC 비밀번호 마지막 변경
KDC 계정 비밀번호는 정기적으로 변경해야 함
Mimikatz(Golden Ticket)
자격 증명 액세스, 권한 상승, 지속
위험한 SID 기록 특성을 갖는 계정
SID 기록 특성에서 권한 있는 SID를 사용하는 사용자 또는 컴퓨터 계정 확인
DeathStar
권한 상승, 지속
Rogue 도메인 컨트롤러
정상적인 도메인 컨트롤러 서버만 Active Directory 인프라에 등록되도록 보장
Mimikatz(DCShadow)
실행, 방어 회피, 권한 상승, 지속
불법적인 Bitlocker 키 액세스 컨트롤
Active Directory에 저장된 일부 Bitlocker 복구 키에 관리자 및 연결된 컴퓨터가 아닌 다른 사용자가 액세스할 수 있음
ANSSI-ADCP
자격 증명 액세스, 권한 상승, 지속
스키마 보안 설명자의 비정상적 항목
Active Directory 스키마가 수정되어 모니터링하는 인프라를 위험에 빠뜨릴 수 있는 새 표준 액세스 권한 또는 개체가 발생
BloodHound
권한 상승, 지속
DSRM 계정 활성화됨
Active Directory 복구 계정이 활성화되어 자격 증명 도용에 노출됨
Mimikatz(LSADump)
자격 증명 액세스, 실행, 방어 회피, 권한 상승, 지속
스마트카드 사용 시 갱신되지 않은 인증 해시
스마트카드 인증을 사용하는 일부 사용자 계정이 자격 증명 해시를 충분히 자주 갱신하지 않음
Mimikatz(LSADump)
지속
사용자 계정의 복원 가능한 비밀번호
매개 변수로 인해 비밀번호가 복원 가능한 형식으로 저장되지 않는지 확인
Mimikatz(DC Sync)
자격 증명 액세스
컨테이너에서 명시적으로 거부된 액세스 사용
일부 Active Directory 컨테이너 또는 OU는 명시적으로 거부된 액세스를 정의하여 잠재적인 백도어 숨김을 일으킴
BloodHound
방어 회피, 지속
- Tenable Identity Exposure는 Active Directory를 어떻게 감사합니까?
-
Tenable Identity Exposure는 도메인 컨트롤러 또는 엔드포인트 상에 전혀 배포할 필요가 없는 시장 유일의 솔루션입니다. 또한, Tenable Identity Exposure는 사용자 수준 권한만으로 운영이 가능합니다. 이런 고유한 아키텍처로 보안 팀은 복잡한 배포 문제 없이 Active Directory의 구성을 빠르게 감사할 수 있습니다.
- Tenable Identity Exposure는 Active Directory의 특정 시점 보안 감사 도구입니까?
-
AD 구성 오류는 언제든지 발생할 수 있으므로, 특정 시점 감사는 시작 후 몇 분이 지나면 중요도가 낮아지며 침해 지표를 포함하는 대신 구성 오류에 집중합니다.
반면, Tenable Identity Exposure는 새로운 약점과 공격 여부에 대해 AD를 지속적으로 스캔하고 사용자에게 실시간으로 문제에 대한 알림을 제공하는 보안 플랫폼입니다.
- Tenable Identity Exposure는 Golden Ticket 공격을 탐지할 수 있습니까?
-
예, Golden Ticket은 Tenable Identity Exposure가 탐지하고 방지할 수 있는 많은 공격 기법 중 하나입니다. 수백 개의 보안 검사와 상관 관계를 병렬로 실행하는 Tenable Identity Exposure는 AD에 사용할 수 있는 가장 넓은 보안 범위를 자랑합니다.
- Tenable Identity Exposure는 SIEM / SOAR / 티켓팅 시스템 등과 통합됩니까?
-
AD 보안은 보안 퍼즐의 중요한 부분이며 Tenable Identity Exposure는 보안 에코시스템에 원활하게 통합됩니다.
Tenable의 Syslog 통합은 모든 SIEM과 대부분의 티켓팅 시스템을 즉시 Tenable Identity Exposure와 통합할 수 있도록 보장합니다. 또한 QRadar, Splunk 및 Phantom에 대한 네이티브 앱을 보유하고 있습니다.
- Tenable Identity Exposure는 클라우드 기반 솔루션입니까?
-
저희 솔루션은 클라우드 기반 배포 및 온프레미스 배포 모두를 지원합니다. 이 두 배포 접근 방식 간에는 기능적 차이가 없습니다.
- Tenable Identity Exposure는 다중 조직 및 다중 포리스트 Active Directory 배포를 지원하는 확장성이 있습니까?
-
대규모의 가장 민감한 AD 중 일부는 이미 Tenable Identity Exposure의 보호를 받고 있습니다. Tenable의 플랫폼은 엔터프라이즈급 솔루션으로 구축되었으며 에이전트리스 AD 네이티브 아키텍처를 통해 복잡한 다중 조직, 다중 포트리스 Active Directory 배포를 지원할 수 있습니다.
- Tenable Identity Exposure는 라이선스가 어떻게 부여됩니까?
-
Tenable Identity Exposure는 이용 가능한 사용자 계정별로 라이선스가 제공됩니다.
- 약점을 찾고 공격에 대응하려면 Tenable Identity Exposure에 Active Directory에 대한 권한 있는 액세스가 필요합니까?
-
Tenable Identity Exposure에서는 구성 감사 및 Active Directory에 대한 공격 식별에 표준 사용자 계정만 필요합니다.
- Tenable Identity Exposure는 어떻게 구입할 수 있습니까?
-
Tenable Identity Exposure는 해당 지역의 Tenable 인증 파트너와 협력하거나 Tenable 담당자에게 문의하여 구입할 수 있습니다.
- Tenable Identity Exposure의 평가를 사용할 수 있습니까?
-
예, Tenable Identity Exposure의 평가를 사용할 수 있습니다. 평가 요청 양식을 작성하여 지금 평가를 시작해 보십시오.
관련 리소스
Tenable Identity Exposure 시작하기
글로벌 경계에 Tenable Identity Exposure를 배포함으로써 이해 관계자들에게 기업의 사이버 보안 위험에 대한 가시성을 제공했습니다.
- Tenable Identity Exposure