링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

잘못 구성된 MFA로부터 고객을 보호하기 위한 사전 조치

요약

다단계 인증(MFA)은 사용자에게 웹 애플리케이션에 로그인할 때 추가 보안 계층을 제공합니다. 2023년에는 이전 버전인 2단계 인증을 능가하는 MFA가 온라인 계정의 또 다른 보안 계층을 위한 표준 옵션이 됩니다. .

2022년 5월 CISA(사이버보안 및 인프라 보안국)는 MFA 애플리케이션 내의 기본 구성이 취약점으로 간주되는 방식을 설명하는 보안 권고 AA22-074A를 게시했습니다. 이 전술은 이르면 2021년 5월 초 러시아 정부가 후원하는 사이버 행위자가 미국 조직을 성공적으로 손상시키는 데 활용되었습니다.

CISA의 지침을 기반으로 AT&T 사이버 보안 관리 탐지 및 대응(MDR) 보안 운영 센터(SOC)는 고객 전체를 사전에 검사하여 악용될 수 있는 기본 구성을 사용하고 있는 고객을 발견했습니다. SOC 분석가는 고객에게 연락하여 위험에 대해 알리고 네트워크 보안 방법에 대한 권장 사항을 제공했습니다.

조사

이벤트 검색

분석가들은 오픈 소스 도구인 Elastic Stack을 사용하여 고객이 무단 액세스를 가능하게 하는 MFA 애플리케이션 내 기본 구성인 “FailOpen”을 검색했습니다.

ElasticStack 오픈 소스

이벤트 심층 분석

검색 결과 MFA 애플리케이션이 FAILOPEN = 1로 설정된 고객이 나타났습니다. 이는 악의적인 행위자가 악용 시 인증을 우회할 수 있도록 허용하는 설정입니다. “FailOpen” 설정은 잘못된 연결 시도를 허용하며, 이로 인해 고객 네트워크에서 이 설정을 사용하는 계정에 대한 무제한 액세스가 허용됩니다.

실패오픈

추가 지표 검토

여기에서 SOC 분석가는 관련 고객 자산 및 계정을 식별하고 외부적으로 악의적인 활동을 나타내는 정보를 찾기 위해 고객 환경을 검색하는 방향으로 전환했습니다. 그들은 담당 사용자가 고객 환경 내에서 관리자로 나열되어 있음을 발견했습니다.

사용자 책임

소스 자산

응답

조사 구축

분석가들은 MFA 모바일 애플리케이션의 잘못된 구성을 해결하고 식별된 사용자와 관련된 활동이 승인되었는지 여부를 확인하기 위해 조사를 시작했습니다. 조사에는 취약점에 대한 설명과 지난 30일 동안 식별된 자산에 대한 관련 사용자의 활동 요약이 포함되었습니다.

MFA 분석

고객 상호작용

분석가는 심각도가 낮은 조사를 진행했는데, 이는 이 경우 고객에게 연락할 필요가 없음을 의미합니다. (MDR 고객은 SOC가 고객과 통신하는 시기와 방법을 결정합니다.)

그러나 문제가 적시에 해결되었는지 확인하기 위해 분석가는 고객에게 할당된 위협 탐지 그룹인 “The ForCE”에도 통보했으며 고객이 조사를 검토하고 해결했습니다.

MFA 고객 상호작용

궁극적으로 조사 결과 잘못된 구성과 관련된 악의적인 이벤트는 발견되지 않았지만 AT&T MDR SOC가 대응적일 뿐만 아니라 고객을 보호하기 위해 사전에 어떻게 작동하는지 보여줍니다.

Leave A Reply

Your email address will not be published.