Active Directory 보안 및 공격 경로 차단
모든 보안 침해 사고 뉴스 이면에는 안전하지 않은 Active Directory(AD) 배포가 있습니다. AD는 알려진 결함과 구성 오류를 활용하여 공격자가 권한을 상승하고 내부 확산 이동을 용이하게 하는 표적으로 많이 사용되고 있습니다.
아쉽게도 대부분의 조직은 도메인이 더 복잡하게 되면서 구성 오류가 누적되어 Active Directory 보안에 대한 어려움을 겪고 있으며, 보안 팀은 결함이 비즈니스에 영향을 주는 문제가 되기 전에 이런 결함을 찾아서 해결할 수 없게 되었습니다.
Tenable.ad는 모든 것을 탐지하고 무엇이 중요한지 예측하며 Active Directory의 위험을 해결하기 위한 조치를 취하여 공격자가 공격 경로를 악용하기 전에 차단할 수 있게 합니다.
데모 요청없음
권한 상승
내부 확산 이동
공격자의 다음 단계
공격이 발생하기 전에 Active Directory 취약성을 찾아서 해결
Tenable.ad의 단계별 수정 지침에 따라 기존 Active Directory 도메인 내의 약점을 발견하고 우선 순위를 지정하고 노출을 줄입니다.
Active Directory 공격을 실시간으로 탐지하고 대응
DCShadow, 무차별 대입 공격, 비밀번호 살포, DCSync 등과 같은 Active Directory 공격을 탐지합니다. Tenable.ad는 SIEM, SOC 또는 SOAR에 공격에 대한 인사이트를 제공하여 공격에 신속하게 대응하고 차단할 수 있습니다.
"Tenable.ad 솔루션으로 Active Directory 보안 문제에서 해방되어 새로운 비즈니스 통합에 집중할 수 있었습니다."Dominique Tessaro, Vinci Energies CIO
Active Directory 보안
- Active Directory에 영향을 미치는 근본적인 문제 발견
- 위험한 트러스트 관계 식별
- AD의 모든 변경 사항 파악
- AD 변경 사항과 악의적 행위 간에 연결
- 공격에 대한 심층적인 세부 정보 분석
- 인시던트 세부 사항에서 직접 MITRE ATT&CK 설명 탐색
Active Directory 공격을 지속적으로 탐지하고 방지
에이전트 필요 없음, 권한 필요 없음. 지연 없음
에이전트와 권한 없이 정교한 Active Directory 공격을 방지하고 탐지합니다.
클라우드 보호
Azure Active Directory Domain Services, AWS Directory Service 또는 Active Directory용 Google Managed Service의 보안을 실시간으로 확인합니다.
어디든지 배포
Tenable.ad는 두 가지 아키텍처 설계의 유연성을 제공합니다. 온프레미스는 데이터를 사이트에 유지하고 데이터를 제어할 수 있습니다. SaaS로 클라우드를 활용할 수 있습니다.
FAQ
- Active Directory 구성 내에 숨겨진 약점 발견
- AD 보안을 위협하는 근본적인 문제 발견
- 각 구성 오류를 이해하기 쉽게 분석
- 각 문제에 대해 권장하는 해결 방법 받기
- 위험을 줄이기 위해 AD 보안을 관리하는 사용자 지정 대시보드 만들기
- 위험한 트러스트 관계 발견
- AD의 모든 변경 사항 파악
- AD의 도메인별로 주요 공격 발견
- 정확한 공격 타임라인에서 모든 위협 시각화
- 공격 분포를 단일 보기로 통합
- AD 변경 사항과 악의적 행위 간에 연결
- AD 공격에 대한 정보를 심층적으로 분석
- 탐지된 인시던트에서 직접 MITRE ATT&CK® 설명 탐색
|
공격 벡터 |
설명 |
알려진 공격 도구 |
Mitre Attack Matrix |
|
Kerberos 서비스를 실행하는 권한 있는 계정 |
무차별 대입 공격이 가능한 Kerberos 서비스 보안 주체 이름을 사용하는 높은 권한 계정 |
Kerberom |
권한 상승, 내부 확산 이동, 지속 |
|
위험한 Kerberos 위임 |
위험한 위임(제한 없음, 프로토콜 전환 등)이 승인되지 않았는지 확인 |
Nishang |
권한 상승, 내부 확산 이동, 지속 |
|
Active Directory PKI에 약한 암호화 알고리즘 사용 |
내부 Active Directory PKI에 배포된 루트 인증서는 약한 암호화 알고리즘을 사용해서는 안 됨 |
ANSSI-ADCP |
지속, 권한 상승, 내부 확산 이동 |
|
중요 개체에 대한 위험한 액세스 권한 위험 |
불법적인 사용자가 중요 개체를 제어할 수 있게 하는 일부 액세스 권한이 발견됨 |
BloodHound |
유출, 내부 확산 이동, 명령과 제어, 자격 증명 액세스, 권한 상승 |
|
비밀번호 정책의 여러 가지 문제점 |
일부 특정 계정의 현재 비밀번호 정책은 강력한 자격 증명 보호를 보장하는 데 불충분함 |
Patator |
방어 회피, 내부 확산 이동, 자격 증명 액세스, 권한 상승 |
|
위험한 RODC 관리 계정 |
읽기 전용 도메인 컨트롤러를 담당하는 관리 그룹에 비정상적 계정이 포함되어 있음 |
Impacket |
자격 증명 액세스, 방어 회피, 권한 상승 |
|
중요 개체에 연결된 중요한 GPO |
관리자 이외의 계정에서 관리하는 일부 GPO가 중요한 Active Directory 개체(예: KDC 계정, 도메인 컨트롤러, 관리 그룹 등)에 연결됨 |
ANSSI-ADCP |
명령과 제어, 자격 증명 액세스, 지속, 권한 상승 |
|
도메인 컨트롤러를 제외한 다른 시스템에 연결하도록 허용된 관리자 계정 |
모니터링하는 인프라에 배포된 보안 정책이 관리자 계정이 DC 이외의 다른 리소스에 연결하는 것을 막지 않으므로 중요한 자격 증명 노출이 발생 |
CrackMapExec |
방어 회피, 자격 증명 액세스 |
|
위험한 트러스트 관계 |
잘못 구성된 트러스트 관계 특성으로 인해 디렉터리 인프라의 보안이 저하됨 |
Kekeo |
내부 확산 이동, 자격 증명 액세스, 권한 상승, 방어 회피 |
|
GPO에서 복원 가능한 비밀번호 |
GPO에 복원 가능한 형식으로 저장된 비밀번호가 없는지 확인 |
SMB 비밀번호 크롤러 |
자격 증명 액세스, 권한 상승 |
|
오래된 OS를 실행하는 컴퓨터 |
오래된 시스템은 더 이상 에디터에서 지원하지 않으며 인프라 취약성을 크게 증가시킴 |
Metasploit |
내부 확산 이동, 명령과 제어 |
|
Windows 2000 이전 버전과 호환되는 액세스 컨트롤을 사용하는 계정 |
Windows 2000 이전 버전과 호환되는 액세스 그룹의 계정 구성원은 특정 보안 조치를 우회할 수 있음 |
Impacket |
내부 확산 이동, 방어 회피 |
|
로컬 관리자 계정 관리 |
로컬 관리자 계정을 LAPS를 사용하여 중앙에서 안전하게 관리하도록 보장 |
CrackMapExec |
방어 회피, 자격 증명 액세스, 내부 확산 이동 |
|
위험한 익명 사용자 구성 |
모니터링하는 Active Directory 인프라에서 익명 액세스가 활성화되어 중요 정보가 유출됨 |
Impacket |
유출 |
|
비정상적인 RODC 필터링된 특성 |
일부 읽기 전용 도메인 컨트롤러에 적용되는 필터링 정책은 중요한 정보의 캐싱을 일으켜서 권한 상승 허용 가능 |
Mimikatz(DCShadow) |
권한 상승, 방어 회피 |
|
내부 확산 이동 공격 시나리오에 대한 제한 부족 |
모니터링하는 Active Directory 인프라에서 내부 확산 이동 제한이 활성화되지 않아 공격자가 동일한 수준의 권한으로 시스템 간에 이동 가능 |
CrackMapExec |
내부 확산 이동 |
|
DC 공유에 저장된 일반 텍스트 비밀번호 |
모든 인증된 사용자가 액세스할 수 있는 DC 공유의 일부 파일에는 일반 텍스트 비밀번호를 포함할 가능성이 있어 권한 상승이 가능 |
SMBSpider |
자격 증명 액세스, 권한 상승, 지속 |
|
로그온 스크립트에 대한 위험한 액세스 제어 권한 |
컴퓨터 또는 사용자 로그온 중에 실행되는 일부 스크립트에는 위험한 액세스 제어 권한이 있어 권한 상승으로 이어짐 |
Metasploit |
내부 확산 이동, 권한 상승, 지속 |
|
GPO에서 위험한 매개 변수가 사용됨 |
일부 위험한 매개 변수(예: 제한된 그룹, LM 해시 계산, NTLM 인증 수준, 중요한 매개 변수 등)가 GPO에 의해 설정되어 보안 침해를 발생 |
Responder |
검색, 자격 증명 액세스, 실행, 지속, 권한 상승, 방어 회피 |
|
사용자 계정 제어 구성에 정의된 위험한 매개 변수 |
일부 사용자 계정의 사용자 계정 제어 특성은 위험한 매개 변수(예: PASSWD_NOTREQD 또는 PARTIAL_SECRETS_ACCOUNT)를 정의하며 해당 계정의 보안이 위험 |
Mimikatz(LSADump) |
지속, 권한 상승, 방어 회피 |
|
보안 패치 적용 부족 |
Active Directory에 등록된 일부 서버에 최근 보안 업데이트가 적용되지 않았음 |
Metasploit |
명령과 제어, 권한 상승, 방어 회피 |
|
사용자 계정에 대한 무차별 대입 공격 시도 |
일부 사용자 계정이 무차별 대입 공격 시도의 표적이 됨 |
Patator |
자격 증명 액세스 |
|
사용자 계정에 대한 Kerberos 구성 |
일부 계정에서 약한 Kerberos 구성 사용 |
Mimikatz(Silver Ticket) |
자격 증명 액세스, 권한 상승 |
|
DC에 비정상적인 공유 또는 파일 저장됨 |
일부 도메인 컨트롤러가 불필요한 파일 또는 네트워크 공유를 호스팅하는 데 사용됨 |
SMBSpider |
검색, 유출 |
|
백도어링 기법 |
설명 |
알려진 공격 도구 |
Mitre Attack Matrix |
|
SDProp 일관성 보장 |
adminSDHolder 개체가 빈 상태에 있도록 제어 |
Mimikatz(Golden Ticket) |
권한 상승, 지속 |
|
SDProp 일관성 보장 |
사용자의 기본 그룹이 변경되지 않았는지 확인 |
BloodHound |
권한 상승, 지속 |
|
루트 도메인 개체 권한 확인 |
루트 도메인 개체에 대해 설정된 권한이 정상인지 확인 |
BloodHound |
권한 상승, 지속 |
|
민감한 GPO 체 및 파일 권한 확인 |
GPO 개체 및 민감한 컨테이너(예: 도메인 컨트롤러 OU)에 연결된 파일에 대해 설정된 권한이 정상인지 확인 |
BloodHound |
실행, 권한 상승, 지속 |
|
RODC KDC 계정에 대한 위험한 액세스 권한 |
일부 읽기 전용 도메인 컨트롤러에 사용되는 KDC 계정을 불법적인 사용자 계정으로 제어할 수 있으며, 자격 증명 유출을 일으킴 |
Mimikatz(DCSync) |
권한 상승, 지속 |
|
사용자 계정에 매핑된 중요한 인증서 |
일부 X509 인증서는 altSecurityIdentities 사용자 계정 특성에 저장되므로, 인증서의 개인 키 소유자가 이 사용자로 인증할 수 있음 |
명령과 제어, 자격 증명 액세스, 권한 상승, 지속 |
|
|
일반 계정에 설정된 Rogue Krbtgt SPN |
KDC의 서비스 보안 주체 이름이 일부 일반 사용자 계정에 존재하며, Kerberos 티켓 위조를 일으킴 |
Mimikatz(Golden Ticket) |
권한 상승, 지속 |
|
KDC 비밀번호 마지막 변경 |
KDC 계정 비밀번호는 정기적으로 변경해야 함 |
Mimikatz(Golden Ticket) |
자격 증명 액세스, 권한 상승, 지속 |
|
위험한 SID 기록 특성을 갖는 계정 |
SID 기록 특성에서 권한 있는 SID를 사용하는 사용자 또는 컴퓨터 계정 확인 |
DeathStar |
권한 상승, 지속 |
|
Rogue 도메인 컨트롤러 |
정상적인 도메인 컨트롤러 서버만 Active Directory 인프라에 등록되도록 보장 |
Mimikatz(DCShadow) |
실행, 방어 회피, 권한 상승, 지속 |
|
불법적인 Bitlocker 키 액세스 컨트롤 |
Active Directory에 저장된 일부 Bitlocker 복구 키에 관리자 및 연결된 컴퓨터가 아닌 다른 사용자가 액세스할 수 있음 |
ANSSI-ADCP |
자격 증명 액세스, 권한 상승, 지속 |
|
스키마 보안 설명자의 비정상적 항목 |
Active Directory 스키마가 수정되어 모니터링하는 인프라를 위험에 빠뜨릴 수 있는 새 표준 액세스 권한 또는 개체가 발생 |
BloodHound |
권한 상승, 지속 |
|
DSRM 계정 활성화됨 |
Active Directory 복구 계정이 활성화되어 자격 증명 도용에 노출됨 |
Mimikatz(LSADump) |
자격 증명 액세스, 실행, 방어 회피, 권한 상승, 지속 |
|
스마트카드 사용 시 갱신되지 않은 인증 해시 |
스마트카드 인증을 사용하는 일부 사용자 계정이 자격 증명 해시를 충분히 자주 갱신하지 않음 |
Mimikatz(LSADump) |
지속 |
|
사용자 계정의 복원 가능한 비밀번호 |
매개 변수로 인해 비밀번호가 복원 가능한 형식으로 저장되지 않는지 확인 |
Mimikatz(DC Sync) |
자격 증명 액세스 |
|
컨테이너에서 명시적으로 거부된 액세스 사용 |
일부 Active Directory 컨테이너 또는 OU는 명시적으로 거부된 액세스를 정의하여 잠재적인 백도어 숨김을 일으킴 |
BloodHound |
방어 회피, 지속 |
AD 구성 오류는 언제든지 발생할 수 있으므로, 특정 시점 감사는 시작 후 몇 분이 지나면 중요도가 낮아지며 침해 지표를 포함하는 대신 구성 오류에 집중합니다.
반면, Tenable.ad는 새로운 약점과 공격 여부에 대해 AD를 지속적으로 스캔하고 사용자에게 실시간으로 문제에 대한 알림을 제공하는 보안 플랫폼입니다.
AD 보안은 보안 퍼즐의 중요한 부분이며, Tenable.ad는 보안 에코시스템에 원활하게 통합됩니다.
Tenable의 Syslog 통합은 모든 SIEM과 대부분의 티켓팅 시스템을 즉시 Tenable.ad와 통합할 수 있도록 보장합니다. 또한 QRadar, Splunk, Phantom에 대한 네이티브 앱을 보유하고 있습니다.
