Microsoft와 주요 클라우드 제공업체는 비즈니스 고객을 보다 안전한 인증 형태로 전환하고 암호화되지 않은 채널을 통해 사용자 이름과 비밀번호를 사용하여 클라우드 서비스에 액세스하는 등 기본 보안 약점을 제거하기 위한 조치를 취하기 시작했습니다.
예를 들어, 마이크로소프트는 1월 150일부터 Exchange Online 서비스에서 기본 인증을 사용하는 기능을 제거하고 고객은 대신 토큰 기반 인증을 사용해야 합니다. 한편 Google은 XNUMX단계 인증 프로세스에 XNUMX억 XNUMX천만 명의 사용자를 자동 등록했으며 온라인 클라우드 제공업체인 Rackspace는 연말까지 일반 텍스트 이메일 프로토콜을 끌 계획입니다.
Malwarebytes의 멀웨어 인텔리전스 연구원인 Pieter Arntz는 마감 기한은 기업이 클라우드 서비스에 대한 액세스를 보호하려는 노력을 더 이상 미룰 수 없다는 경고라고 말합니다. 최근 블로그 게시물을 작성했습니다. Microsoft Exchange Online 사용자를 위한 다가오는 마감일을 강조합니다.
그는 “추가 보안이 사용자에게 가장 큰 이익이 된다는 점을 사용자에게 확신시키는 동시에 상대적으로 사용하기 쉬운 솔루션을 제공하려고 노력하는 지점으로 균형이 이동하고 있다고 생각합니다.”라고 말합니다. "Microsoft는 종종 트렌드를 선도하고 몇 년 전에 이러한 계획을 발표했지만 조직은 여전히 적절한 조치를 취하기 위해 뒤처지고 어려움을 겪고 있습니다."
신원 관련 침해 증가
보안에 민감한 일부 기업은 클라우드 서비스에 대한 액세스를 보호하기 위해 주도권을 잡았지만 다른 기업은 이를 촉구해야 합니다. 마이크로소프트와 같은, 특히 기업이 더 많은 신원 관련 침해로 어려움을 겪을수록 그렇게 하려는 의지가 점점 더 커지고 있습니다. 2022년에는 기업의 84%가 신원 관련 침해를 겪었습니다. 이는 지난 79년 동안 XNUMX%에서 증가한 수치입니다. ID 정의 보안 연합의 "2022년 디지털 신원 보안 동향" 보고서.
기본 형태의 인증을 끄는 것은 공격자를 차단하는 간단한 방법입니다. 공격자는 피해자를 손상시키기 위한 첫 번째 단계로 크리덴셜 스터핑 및 기타 대량 액세스 시도를 점점 더 많이 사용하고 있습니다. 인증이 약한 기업은 무차별 대입 공격, 재사용된 비밀번호의 남용, 피싱을 통한 자격 증명 도난, 세션 하이재킹에 노출됩니다.
클라우드용 ID 보안 제공업체인 Ermetic의 연구 책임자인 Igal Gofman은 공격자가 기업 이메일 서비스에 액세스하면 민감한 정보를 유출하거나 BEC(비즈니스 이메일 손상) 및 랜섬웨어 공격과 같은 피해를 주는 공격을 수행할 수 있다고 말합니다. 서비스.
“특히 클라우드에서 취약한 인증 프로토콜을 사용하면 매우 위험할 수 있으며 대규모 데이터 유출로 이어질 수 있습니다.”라고 그는 말합니다. “국가와 사이버 범죄자들은 클라우드 서비스에 대해 다양한 무차별 대입 공격을 실행하여 취약한 인증 프로토콜을 지속적으로 남용하고 있습니다.”
인증 보안을 강화하면 즉각적인 이점을 얻을 수 있습니다. Google은 2단계 인증 프로세스에서 사용자를 자동 등록하는 것을 발견했습니다. 결과적으로 계정 손상이 50% 감소했습니다.. IDSA의 "43년 디지털 신원 보안 동향" 보고서에 따르면 침해를 겪은 기업 중 상당 부분(2022%)은 다단계 인증을 사용하면 공격자를 막을 수 있다고 믿고 있습니다.
제로 트러스트 아키텍처를 향한 전진
또한, 클라우드와 제로 트러스트 이니셔티브 IDSA의 기술 실무 그룹이 Dark Reading에 보낸 이메일에 따르면, 절반 이상의 기업이 이러한 이니셔티브의 일환으로 신원 보안에 투자하면서 보다 안전한 신원을 추구하고 있습니다.
많은 기업에서 랜섬웨어 및 기타 위협으로 인해 단순히 사용자의 자격 증명에만 의존하는 단순한 인증 메커니즘에서 벗어나는 움직임이 촉발되었으며, 이로 인해 기업은 공격 표면 영역을 최소화하고 가능한 한 방어를 강화하려고 노력하게 되었습니다. IDSA의 기술 작업 그룹이 썼습니다.
“대부분의 기업이 제로 트러스트 이니셔티브를 가속화함에 따라 가능한 경우 더 강력한 인증을 구현하고 있습니다. 하지만 여전히 기본 사항에 어려움을 겪고 있거나 아직 제로 트러스트를 수용하지 않은 기업이 있다는 것은 놀라운 일입니다. 노출된 채로 두었습니다.”라고 연구원들은 썼습니다.
신원 보안을 가로막는 장애물은 여전히 남아 있습니다
모든 주요 클라우드 제공업체는 보안 채널을 통해 OAuth 2.0과 같은 보안 토큰을 사용하여 다단계 인증을 제공합니다. 이 기능을 켜는 것은 간단할 수 있지만 보안 액세스를 관리하면 IT 부서의 작업이 늘어날 수 있습니다. 이는 기업이 준비해야 할 사항이라고 Malwarebytes의 Arntz는 말합니다.
그는 "서비스에 액세스할 수 있는 사람과 필요한 권한을 관리하는 데 있어 기업이 실패하는 경우가 있습니다"라고 말합니다. "인증 수준이 높아지면 IT 직원의 추가 작업량이 늘어나 병목 현상이 발생합니다."
IDSA 기술 실무 그룹의 연구원들은 레거시 인프라도 장애물이라고 설명했습니다.
“Microsoft는 한동안 인증 프로토콜을 발전시키는 과정에 있었지만 레거시 앱, 프로토콜 및 장치에 대한 마이그레이션 및 이전 버전과의 호환성 문제로 인해 채택이 지연되었습니다.”라고 그들은 지적했습니다. “기본 인증의 종말이 눈앞에 다가왔다는 것은 좋은 소식입니다.”
소비자 중심 서비스는 인증에 대한 보다 안전한 접근 방식을 채택하는 속도도 느립니다. Google의 움직임으로 많은 소비자의 보안이 향상되었고 Apple은 사용자의 95% 이상에 대해 이중 인증을 활성화했지만 대부분의 소비자는 소수의 서비스에 대해서만 다중 인증을 계속 사용하고 있습니다.
IDSA 보고서에 따르면 거의 64분의 2022에 달하는 기업(12%)이 디지털 신원 보호를 29년 21대 우선순위 중 하나로 꼽았지만, 사용자를 위한 다단계 인증을 구현한 조직은 XNUMX%에 불과했습니다. 그러나 기업에서는 소비자 중심의 클라우드 제공업체 중 XNUMX%가 현재 더 나은 인증을 구현하고 있으며 XNUMX%는 향후 이를 계획하고 있어 옵션 제공을 모색하고 있습니다.
