ATA를 사용하여 횡적 이동 경로 조사

  • 아티클

적용 대상: Advanced Threat Analytics 버전 1.9

중요한 사용자를 보호하기 위해 최선을 다하고 관리자가 자주 변경하는 복잡한 암호를 가지고 있고, 컴퓨터가 강화되고, 데이터가 안전하게 저장되는 경우에도 공격자는 여전히 횡적 이동 경로를 사용하여 중요한 계정에 액세스할 수 있습니다. 횡적 이동 공격에서 공격자는 중요한 사용자가 중요하지 않은 사용자에게 로컬 권한이 있는 컴퓨터에 로그인할 때 인스턴스를 활용합니다. 그런 다음 공격자는 횡적으로 이동하여 덜 중요한 사용자에 액세스한 다음 컴퓨터 간에 이동하여 중요한 사용자에 대한 자격 증명을 얻을 수 있습니다.

횡적 이동 경로란?

횡적 이동은 공격자가 중요하지 않은 계정을 사용하여 중요한 계정에 액세스하는 경우입니다. 의심스러운 활동 가이드설명된 방법을 사용하여 이 작업을 수행할 수 있습니다. 공격자는 횡적 이동을 사용하여 네트워크의 관리자를 식별하고 액세스할 수 있는 컴퓨터를 알아봅니다. 이 정보와 추가 이동을 통해 공격자는 사용자의 할 일기본 컨트롤러의 데이터를 활용할 수 있습니다.

ATA를 사용하면 네트워크에서 선점적 조치를 취하여 공격자가 횡적 이동에 성공하지 못하도록 방지할 수 있습니다.

위험에 처한 중요한 계정 검색

중요하지 않은 계정 또는 리소스에 대한 연결로 인해 네트워크에서 취약한 중요한 계정을 검색하려면 특정 기간에 다음 단계를 수행합니다.

  1. ATA 콘솔 메뉴에서 보고서 아이콘 reports icon.을 선택합니다.

  2. 중요한 계정에 대한 횡적 이동 경로에서 횡적 이동 경로가 없으면 보고서가 회색으로 표시됩니다. 횡적 이동 경로가 있는 경우 보고서의 날짜는 관련 데이터가 있는 첫 번째 날짜를 자동으로 선택합니다.

    Screenshot showing report date selection.

  3. 다운로드를 선택합니다.

  4. 만들어진 Excel 파일은 위험에 처한 중요한 계정에 대한 세부 정보를 제공합니다. 요약 탭은 위험에 처한 리소스에 대한 중요한 계정, 컴퓨터 및 평균의 수를 자세히 설명하는 그래프를 제공합니다. 세부 정보 탭은 고려해야 할 중요한 계정 목록을 제공합니다. 경로는 이전에 존재했던 경로이며 현재는 사용할 수 없습니다.

조사

이제 위험에 처한 중요한 계정을 알게 되었으므로 ATA에서 자세히 알아보고 예방 조치를 취할 수 있습니다.

  1. ATA 콘솔에서 엔터티가 횡적 이동 경로 lateral icon. 에 있을 때 엔터티 프로필에 추가되는 횡적 이동 배지를 검색합니다 path icon. 이는 지난 2일 동안 횡적 이동 경로가 있는 경우 사용할 수 있습니다.

  2. 열리는 사용자 프로필 페이지에서 횡적 이동 경로 탭을 선택합니다.

  3. 표시되는 그래프는 중요한 사용자에게 가능한 경로의 맵을 제공합니다. 그래프는 지난 2일 동안 이루어진 연결을 보여 줍니다.

  4. 그래프를 검토하여 중요한 사용자의 자격 증명 노출에 대해 알아볼 수 있는 내용을 확인합니다. 예를 들어 이 맵에서 로그인한 회색 화살표를 따라 Samira가 권한 있는 자격 증명으로 로그인한 위치를 확인할 수 있습니다. 이 경우 Samira의 중요한 자격 증명이 REDMOND-WA-DEV 컴퓨터에 저장되었습니다. 그런 다음 가장 노출 및 취약성을 만든 컴퓨터에 로그인한 다른 사용자를 확인합니다. 이 기능은 검은색 화살표의 관리istrator를 확인하여 리소스에 대한 관리자 권한이 있는 사용자를 확인할 수 있습니다. 이 예제에서는 Contoso All 그룹의 모든 사용자가 해당 리소스에서 사용자 자격 증명에 액세스할 수 있습니다.

    User profile lateral movement paths.

예방 모범 사례

  • 횡적 이동을 방지하는 가장 좋은 방법은 중요한 사용자가 동일한 컴퓨터에 대한 관리자 권한이 있는 중요하지 않은 사용자가 없는 강화된 컴퓨터에 로그인할 때만 관리자 자격 증명을 사용하도록 하는 것입니다. 이 예제에서 Samira가 REDMOND-WA-DEV에 액세스해야 하는 경우 관리자 자격 증명 이외의 사용자 이름 및 암호로 로그인하거나 REDMOND-WA-DEV의 로컬 관리자 그룹에서 Contoso All 그룹을 제거합니다.

  • 또한 아무도 불필요한 로컬 관리 권한이 없는지 확인하는 것이 좋습니다. 이 예제에서 검사 Contoso All의 모든 사용자에게 REDMOND-WA-DEV에 대한 관리자 권한이 실제로 필요한지 확인합니다.

  • 사용자가 필요한 리소스에만 액세스할 수 있는지 확인합니다. 이 예에서 오스카 포사다는 사미라의 노출을 크게 확대합니다. Contoso All 그룹에 포함해야 합니까? 노출을 최소화하기 위해 만들 수 있는 하위 그룹이 있나요?

지난 2일 동안 활동이 검색되지 않은 경우 그래프는 표시되지 않지만 횡적 이동 경로 보고서는 지난 60일 동안의 횡적 이동 경로에 대한 정보를 제공하는 데 계속 사용할 수 있습니다.

ATA가 횡적 이동 경로 검색 에 필요한 SAM-R 작업을 수행할 수 있도록 서버를 설정하는 방법에 대한 지침은 SAM-R을 구성합니다.

참고 항목