ID는 예나 지금이나 주요 위협 벡터입니다. 하지만 클라우드 ID 공격의 증가와 점점 더 복잡해지는 디지털 환경으로 인해 어려운 문제가 더욱 어려워졌습니다. ID 보안은 보호된 시스템과 데이터에 대한 사용자 액세스를 관리, 인증 및 승인하는 역할을 담당하는 ID 및 액세스 관리 팀과 전체 디지털 환경에서 위협을 탐지하고 대응하는 보안 팀이라는 두 가지 다른 기능 팀 간의 긴밀한 협력이 항상 필요했습니다.
보안 사고 발생 시 이 점이 더욱 두드러집니다. 아래의 피싱 이메일 예시와 같은 일반적인 공격 유형을 살펴보겠습니다.
![피싱 이메일 예시 이미지 (원문 참조)]
이것은 간단한 시나리오이지만, 많은 조직이 이에 대한 보호 장치를 갖추고 있지 않기 때문에 여전히 매우 효과적입니다. 2024년 Verizon 데이터 침해 조사 보고서에 따르면 피싱으로 인해 공격자가 데이터에 액세스하는 데 걸리는 중간 시간이 이제 단 60초에 불과하여 보안 팀이 이메일, ID 및 엔드포인트 전반에서 경고를 분류하고, IAM 팀과 협력하여 사용자를 비활성화하고 암호를 재설정하고, 영향을 받은 장치와 받은 편지함을 정리할 시간이 거의 없습니다.
이러한 상황에서 통합된 ID 위협 탐지 및 대응(ITDR) 솔루션을 구현하는 것이 중요합니다. Microsoft의 솔루션은 IAM 솔루션인 Microsoft Entra ID와 ID 위협 보호 솔루션인 Microsoft Defender for Identity를 XDR(Extended Detection and Response) 플랫폼에 기본적으로 통합하여 ID 팀과 보안 팀 간의 기존 사일로를 허물어 버립니다.
Microsoft의 ITDR 솔루션은 팀이 현재 작업하는 환경에서 강력한 ITDR 기능을 제공한다는 점에서 독보적입니다. 즉, SOC가 Defender 내에서 직접 ID 경고를 조사할 수 있도록 지원하는 동시에 이러한 조사에서 얻은 필요한 인사이트를 Entra 경험 내에서 직접 ID 관리자에게 제공합니다.
XDR을 ITDR로 강화
ID는 Microsoft XDR 솔루션의 핵심 요소입니다. ID 및 액세스 관리(IAM)와 보안 분야에서 Microsoft의 리더십을 활용하는 Defender는 ID 데이터와 인사이트를 엔드포인트, 클라우드, SaaS 앱 및 협업 경고와 연관시켜 보안 전문가가 경고를 분류하고 연관시키는 데 시간을 낭비하지 않고도 보안 위협의 전체 범위를 더 잘 이해할 수 있도록 지원합니다. 고객은 Defender 경험 내에서 다음 사항을 활용할 수 있습니다.
1. ID 패브릭 전반의 풍부한 가시성
ITDR 대시보드는 SOC에 ID 관련 보안 정보 및 권장 사항에 대한 단일의 우선 순위가 지정된 보기를 제공합니다. ID 환경 전체에서 관련 경고 및 인사이트를 가져오는 이 창은 SOC 팀이 ID 상태를 더 잘 이해하고 잠재적인 ID 관련 보안 위험을 신속하게 관리하는 데 도움이 됩니다.
![ITDR 대시보드 이미지 (원문 참조)]
또한 최근 업데이트된 ID 인벤토리는 Microsoft 또는 다른 공급업체의 온프레미스 또는 클라우드에 있는 사람 및 비인간을 포함한 패브릭 내의 모든 ID에 대한 가시성을 제공합니다.
![ID 인벤토리 이미지 (원문 참조)]
이러한 각 ID에는 해당 ID 자체에 대한 더 많은 인사이트를 제공하고 SOC가 해당 ID에 대해 경험 내에서 직접 조치를 취할 수 있도록 하는 해당 ID 페이지도 있습니다.
2. 사전 예방적 ID 상태 및 방지
Microsoft Security Exposure Management 내의 강력한 상태 권장 사항에는 일반적인 오구성을 찾아내는 것부터 고객이 악용되기 전에 Active Directory, Entra ID 및 기타 일반적인 ID 패브릭 요소 전반의 취약점을 해결하는 데 도움을 주는 ID 관련 상태 권장 사항(ISPM)이 포함됩니다.
이는 위협 행위자가 악용할 수 있는 가능한 공격 경로의 우선 순위가 지정된 대기열을 제공하는 공격 경로 모델링을 통해 더욱 강화됩니다. 이는 SOC 및 ID 팀이 초기 액세스부터 중요 데이터 도달까지 전체 취약점 범위를 이해하고 가장 높은 우선 순위의 노출을 우선 순위 지정하기 위해 협력하는 데 도움이 됩니다.
Entra ID와 Defender 간의 기본 통합으로 인해 ID 관리자 및 SOC 전문가에게 제공되는 권장 사항이 일관되므로 두 팀이 협력하여 전체 ID를 강화하는 데 도움이 됩니다.
Defender for Identity는 도메인 컨트롤러, Active Directory Federation Services(ADFS), Active Directory Certificate Services(AD CS) 및 Entra ID Connect에 대한 전용 센서를 제공하여 온프레미스 ID 환경에 대한 포괄적인 가시성을 제공하는 반면 Entra ID는 클라우드 ID에 대해 동일한 작업을 수행합니다.
3. 사고 수준 가시성
Microsoft Defender는 XDR 수준의 탐지를 사용하여 관련된 모든 경고를 우선 순위가 지정된 사고로 자동 연관시킵니다. 이를 통해 분석가는 더 광범위한 사고와 연결되어 먼저 해결해야 하는 경고를 쉽게 확인할 수 있습니다. 관련 새 경고가 트리거되면 사고가 자동으로 업데이트되므로 분석가는 항상 최신 정보를 보고 있다는 확신을 가질 수 있습니다.
사고는 또한 엔드포인트에서 최근에 로그온한 사용자, 최근 활동, MFA 유형, 열린 사고, Entra ID 위험 수준 등과 같은 ID 관련 인사이트로 자동 보강되므로 SOC 팀은 사용자를 헌팅할 필요 없이 사용자의 전체 컨텍스트를 빠르게 이해할 수 있습니다. 이 모든 정보는 Microsoft Entra와 자동으로 동기화되므로 ID 팀과 SOC 팀 모두 동일한 데이터를 보고 있습니다.
이 컨텍스트는 헌팅 경험 내에서도 보여집니다. 고객은 동일한 창에서 ID 및 기타 도메인 전체에서 새로운 위협을 헌팅할 수 있습니다.
4. 자동화된 위협 대응
공격자가 몇 분 안에 측면으로 이동하는 상황에서 최고의 보안 팀조차도 수동 프로세스로 제 시간에 대응하는 데 어려움을 겪을 것입니다. Microsoft Defender는 AI를 활용하여 진행 중인 공격에 대해 자동으로 조치를 취하고 측면 이동을 방지합니다. 이 기본 제공 자체 방어 기능은 XDR의 상관 관계가 있는 신호, 최신 위협 인텔리전스 및 머신 러닝 기반 모델을 사용하여 사용된 공격 경로를 정확하게 예측하고 99% 이상의 신뢰도로 공격자의 다음 움직임을 차단합니다.
파괴 공격은 공격자를 막기 위해 필요한 최소한의 조치만 취합니다. 예를 들어 손상된 사용자를 비활성화하거나 영향을 받은 엔드포인트를 격리하여 조직에 미치는 영향을 제한하고 SOC 및 ID 팀이 조사를 완료하고 자산을 다시 온라인 상태로 가져올 수 있도록 제어합니다.
보안 전문가는 "사용자를 손상된 것으로 확인" 또는 "사용자 비활성화"와 같은 조치를 통해 XDR 경험에서 직접 ID에 대한 직접적인 조치를 취하여 활성 위협을 완화할 수 있습니다. 이러한 업데이트는 Entra 포털에 자동으로 반영되므로 Entra의 위험 기반 조건부 액세스와 함께 작동합니다. 즉, SOC에서 ID가 손상된 것으로 확인되면 Entra 내의 위험 수준이 자동으로 높아지고 관련 조건부 액세스 정책이 다음 로그인 시 트리거되어 향후 공격을 방지합니다. 이 신호 루프는 지속적인 모니터링 및 제로 트러스트 정책 엔진을 통해 사전에 고객을 보호하고 Entra ID 및 Defender XDR 모두의 실시간 경고 및 대응을 통해 반응적으로 고객을 보호합니다.
결론
오늘날의 역동적인 사이버 환경과 최신 ID 환경의 복잡성을 고려할 때 SOC 분석가는 ID 위협을 효과적으로 방어할 수 있는 단일 창 보기와 기능이 필요합니다. Microsoft Defender for Identity와 Microsoft Entra ID의 통합을 통해 Microsoft XDR은 온프레미스와 클라우드 전반에서 ID 위협 탐지, 조사 및 대응 기능을 향상시키는 통합 플랫폼을 제공합니다. 이 통합으로 생성된 IAM 팀과 보안 팀 간의 원활한 데이터, 경고 및 워크플로는 반응적 ID 보호와 예방적 ID 보호 간의 루프를 닫아 조직이 적보다 앞서 나가고 시스템과 데이터의 보안 및 무결성을 보장하는 데 도움이 됩니다.