[Kaspersky] 엔터프라이즈 IT 시스템을 구성할 때 저지르는 10가지 주요 실수 뉴스/이벤트

전체상품목록 바로가기

본문 바로가기

신규가입 3,000P 지급

현재 위치

홈
게시판
뉴스/이벤트

뉴스/이벤트

뉴스와 이벤트입니다.

게시판 상세
제목	[Kaspersky] 엔터프라이즈 IT 시스템을 구성할 때 저지르는 10가지 주요 실수
작성자	카스퍼스키몰 (ip:)
평점 작성일 2023-12-04 11:57:35 추천 추천하기 조회수 77 "엔터프라이즈 IT 시스템을 구성할 때 저지르는 10가지 주요 실수" 거의 모든 대규모 조직에서 흔히 발견되는 실수입니다. inforsec 팀은 무엇을 주의해야 하며 어떤 보호 조치를 취해야 합니까? IT 인프라 구성오류는 대규모 조직에서 정기적으로 발생하며, 가장 성숙하고 유능한 IT 및 사이버 보안 부서에서도 발생합니다. 이는 주요 기업에 대한 해킹뉴스와 보안감사 결과를 통해 분명하게 드러납니다. 이 문제는 CISA 및 NSA와 같은 미국 규제 기관에서도 인정되었습니다. 수많은 감사와 사고 대응을 거쳐 "레드"팀과 "블루"팀이 준비한 권장사항을 담은 새 보고서에서 구성 요류는 성숙한 정보 보안을 갖춘 회사를 포함한 대규모 조직의 시스템적 약점을 강조한다고 지적합니다. 그러나 이 문서에서는 네트워크 보안 팀이 충분한 자금, 교육 및 인력을 통해 이러한 약점을 무력화하거나 완화할 수 있다고 주장합니다. 전문가들이 가장 위험하다고 생각하는 실수를 살펴봅니다. 1. 기본 응용 프로그램 구성 프린터, 메일 또는 파일 서버, 화상 회의 시스템 등 모든 장치 또는 응용 프로그램에는 일반적으로 사람들이 비활성화하는 것을 잊을 수 있는 기본 액세스 자격 증명이 있는 로그인 메커니즘이 있습니다. 이러한 장치의 기본 설정은 매우 간단할 수 있으며(예: admin1234 또는 1234) 그다지 안전하지 않을 수 있지만 아무도 변경하지 않는 경우가 많습니다. 일반적인 예로는 기본 로그인 자격 증명이 있는 웹 기반 제어판과 함께 쉽게 인쇄할 수 있는 네트워크 액세스 권한이 있는 프린터가 있습니다. 또 다른 일반적인 발생은 이전 버전의 SMB 또는 기타 레트로 프로토콜을 사용하도록 설정된 Windows 서버입니다. Active Directory 인증서 서비스의 기본 설정 및 템플릿도 매우 위험하므로 권한이 없는 사용자가 서버 인증서를 얻거나, 권한을 관리 수준으로 승격하거나, Kerberos TGT를 얻어 자신을 인증할 수 있습니다. 권장 보안 조치 IT 시스템 작동을 시작하기 전에 필수 절차를 구현하십시오 : 기본 계정 (예 : "admin"또는 "guest")을 비활성화하거나 최소한 암호를 변경하십시오. 강력한 암호 15개 이상의 무작위 문자의 사용을 시행합니다. 장치 또는 서비스에 보안 설정을 적용하고, 제조업체의 강화 지침 및/또는 관련 일반 지침 (예: 디사 스티그) 보안 ADCS 구성 구현 : 가능한 경우 웹 등록 사용 안 함, ADCS 서버에서 NTLM 사용 안 함, UPN 매핑에 대한 SAN(주체 대체 이름) 사용 안 함. ADCS 템플릿의 기본 사용 권한을 검토하고, 템플릿에서 CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT 플래그를 제거하고, 권한이 낮은 사용자의 FullControl, WriteDacl 및 Write 속성을 제거합니다. 요청된 인증서에 대한 감독자 검증을 활성화합니다. 2. 사용자 및 관리자 권한의 잘못된 관리 대규모 네트워크에서는 일반 사용자에게 부여된 과도한 권한(원래 일시적인 목적으로 할당되었다가 취소되지 않음), 서비스 계정(애플리케이션 및 서비스)에 대한 확장된 권한, 관리자에 대한 가장 높은 권한(항상 이 권한 모드에서 작업하는 경우가 많음)을 종종 볼 수 있습니다. 공격자는 네트워크를 더 빠르고 쉽게 장악할 수 있도록 의도적으로 이러한 계정을 찾아 악용합니다. 권장 보안 조치 최소 권한의 원칙 을 시행합니다. ID 관리 시스템 을 구현합니다. 여기에는 권한 발급 및 사용 기록이 포함됩니다. 이렇게 하면 액세스 권한의 무단 사용을 더 쉽게 감지할 수 있습니다. 이 시스템을 사용하여 관리 계정 수를 최소화하고 전체 계정 수를 줄입니다(적절하게 병합). 정기적으로 계정을 감사하고, 비활성 계정을 비활성화하고, 과도한 권한을 제거합니다. 권한 있는 계정이 웹 검색 및 전자 메일 액세스와 같은 일상적인 활동을 수행하지 못하도록 제한합니다. 필요한 작업 기간 동안만 상승된 권한을 부여할 수 있으며, 관리자에게도 부여할 수 있습니다. 가능하면 제한된 권한과 액세스 권한으로 서비스와 데몬을 실행합니다. 3. 불충분한 내부 네트워크 모니터링 많은 조직에서는 외부 호스트 및 선택한 서버에서 들어오는 트래픽만 모니터링하는 반면, 내부 네트워크 모니터링은 엔드포인트 이벤트로 제한됩니다. 이로 인해 적시에 공격을 감지하고 사건을 조사하기가 어렵습니다. 권장 보안 조치 응용 프로그램 및 서비스의 정상적인 일상 활동을 분석하여 액세스 및 사용의 이상을 식별할 수 있습니다. 예를 들어 관리자는 주요 서비스에 대한 액세스 및 권한 목록을 정기적으로 검토하고 의심스럽거나 오래된 계정을 삭제해야 합니다. 조직의 일일 네트워크 트래픽을 분석하여 조직 내의 변칙을 식별할 수 있습니다. SIEM 시스템을 구현하여 다음을 포함한 다양한 원본에서 원격 분석을 수집하고 분석합니다. 증권 시세 표시기 및 IDS 시스템, 네트워크 로그 및 기타. 4. 네트워크 세분화 부족 목적과 중요도가 서로 다른 네트워크는 서로 격리되지 않는 경우가 많습니다. 일반적인 문제에는 기밀 및 비기밀 정보가 포함된 네트워크와 IT 및 OT 네트워크의 완전한 상호 연결이 포함됩니다. 대부분의 경우 세그멘테이션이 전혀 존재하지 않거나 구현되었지만 일부 엔지니어는 너무 불편하다고 판단하여 마음대로 네트워크 간에 터널을 만들거나 격리된 네트워크를 인터넷에 연결하기도 합니다. 그 결과, IT 및 정보 보안 부서 책임자는 네트워크가 분할되어 있다고 생각하지만 실제로는 그렇지 않습니다. 권장 보안 조치 네트워크 세그멘테이션을 아직 구현하지 않은 경우 구현합니다. 여기에는 물리적 및 논리적(VLAN) 세그멘테이션이 모두 포함될 수 있습니다. 인프라 네트워크 디바이스에 ACL(액세스 제어 목록)이 최신이고 적절하게 구성되어 있어 권한이 없는 디바이스가 관리, 산업 및 기밀 네트워크에 연결되지 않도록 하는 것이 중요합니다. 또한 DMZ(완충 구역)를 사용하여 인터넷에서 내부 IT 시스템의 액세스 가능성을 줄이는 것이 좋습니다. 다음을 수행할 수 있는 차세대 방화벽(NGFW)을 구현합니다. 상태 검사 및 심층 패킷 검사, 원래 응용 프로그램을 고려합니다. 방화벽은 네트워크 내에서 허용되는 표준 트래픽과 다른 트래픽을 거부해야 합니다. 애플리케이션 기반 트래픽 필터링은 네트워크 포트만을 기반으로 하는 것이 아니며 공격자가 네트워크 프로토콜을 악의적으로 악용할 가능성을 크게 줄입니다. 5. 열악한 패치 관리 문화 체계적인 문제는 하드웨어 및 소프트웨어 시스템에 대한 패치 및 업데이트의 느리고 불완전한 적용입니다. 이러한 상황은 많은 조직들이 여러 가지 이유로 오랫동안 업데이트를 받지 못한 절망적인 구식 시스템(예: Windows XP, SAP R/3 등)을 계속 운영하고 있다는 사실로 인해 악화됩니다. 권장 보안 조치 패치 관리 프로세스를 체계화하여 알려진 악용 가능한 취약성과 치명적인 취약성의 해결을 우선시합니다. 소프트웨어 공급업체의 자동 업데이트 시스템 또는 중앙 집중식 패치 관리 시스템 을 사용하여 가능한 한 업데이트를 자동화합니다. 소프트웨어뿐만 아니라 하드웨어 펌웨어 및 컴퓨터 BIOS/UEFI도 업데이트합니다. 비즈니스에서 사용되는 오래된 시스템 을 분석하고 가능하다면 은퇴 계획을 세우십시오. 이것이 가능하지 않은 경우 레거시 시스템에 대한 네트워크 격리와 같은 보상 조치를 구현합니다. 6. 액세스 제어를 우회할 수 있는 가능성 환경 및 애플리케이션 설정에서는 "pass-the-hash" 및 "kerberoasting"과 같은 공격이 암호를 몰라도 대상 리소스에 액세스할 수 있는 경우가 많습니다. 권장 보안 조치 공격자가 네트워크를 통해 확산되는 것을 방지하기 위해 서로 다른 시스템에서 동일한 자격 증명의 사용을 최소화합니다. 비표준 로그인 시도 및 실패한 로그인 시도를 모니터링합니다. 패치 관리를 구현합니다(5번 항목 참조). PtH 공격에 대한 조치 구현: KB2871997 업데이트, 네트워크 로그인 후 로컬 계정에 UAC 제한을 적용하고 도메인 사용자가 컴퓨터의 로컬 관리자 그룹에 가입하는 것을 금지합니다. 일반 컴퓨터 간의 직접 통신을 제한합니다. 서버를 통해 상호 작용해야 합니다. 이러한 권한이 필요한 시스템에서만 권한 있는 계정을 사용합니다. 권한 있는 관리자 액세스를 위해 전용 컴퓨터를 사용하는 것이 좋습니다. 7. 취약하거나 잘못 구성된 다단계 인증 방법 일반적인 실수는 인증이 스마트 카드에 의해서만 수행되지만 오랫동안 사용하지 않은 암호에 대한 해시는 여전히 유효한 것으로 간주되는 액세스를 구성하는 것입니다. 해시 만료 정책이 구성되지 않은 경우 공격자는 6번 항목에 언급된 기술을 사용하여 이전 계정에서 작동할 수 있습니다. 또 다른 일반적인 문제는 SMS 코드와 같이 피싱에 취약한 MFA 방법입니다. 공격자는 소셜 엔지니어링 및 MFA 폭격에서 SS7 통신 네트워크 공격 또는 불법 SIM 카드 복제에 이르기까지 다양한 수단을 통해 코드를 얻을 수 있습니다. 권장 보안 조치 NTLM과 같은 오래된 인증 방법을 사용하지 않도록 설정합니다. 그룹 정책 또는 비즈니스용 Windows Hello 설정을 사용하여 스마트 카드를 통해 액세스되는 계정에 대한 해시를 정기적으로 임의로 지정합니다. 클라우드 인프라를 기반으로 하는 개방형 인증 표준으로 전환하는 것을 고려합니다. 피싱에 내성이 있는 MFA 시스템 으로 전환합니다. 8. 네트워크 폴더 및 서비스에 대한 액세스 제한이 충분하지 않습니다. 회사 네트워크에서는 인증 없이 액세스할 수 있는 네트워크 폴더 또는 일반 사용자가 액세스할 수 있는 관리 리포지토리를 찾는 것이 일반적입니다. 여기에는 관리자 암호가 포함된 파일 또는 기타 민감한 정보가 일반 텍스트로 포함된 경우가 많습니다. 권장 보안 조치 모든 리포지토리 및 서비스는 인증되고 권한이 부여된 사용자에게만 액세스를 허용해야 합니다. 중요한 리소스는 최소 권한 원칙에 따라 구성해야 합니다. 파일 및 폴더에는 무단 조작을 제한하는 엄격한 설정이 있어야 하며, 특히 키와 같은 기밀 정보가 포함된 폴더에는 제한이 있어야 합니다. 공격자가 ACL(액세스 제어 목록)을 마음대로 수정할 수 없도록 하여 기본적으로 위의 모든 조치를 재정의합니다. Windows 그룹 정책에서 "SAM 계정 및 공유의 익명 열거"를 사용하지 않도록 설정합니다. 9. 품질이 좋지 않은 암호 및 암호 정책 많은 조직에서는 사용자가 짧고 간단한 암호를 사용할 수 있도록 허용합니다. 결과적으로 직원 암호의 최대 80%가 Hashcat과 같은 도구를 사용하여 빠르게 해독될 수 있습니다. 권장 보안 조치 모든 암호에 대해 권장 복잡성 기준 을 설정합니다. 사용자가 비밀번호 관리자 사용 을 사용할 수 있는지 평가합니다. 서로 다른 컴퓨터에서 동일한 로컬 관리자 암호를 사용하는 것을 금지합니다. 인증서/개인 키의 관리 암호 및 암호에 대한 높은 복잡성 기준을 구현합니다. 일반 텍스트 또는 쉽게 추출할 수 있는 형식(브라우저에 저장된 암호)으로 저장된 암호를 검색하는 프로세스 및 자동화된 시스템을 구현합니다. 10. 코드 실행에 대한 제한 없음 승인된 응용 프로그램만 회사 컴퓨터에서 실행할 수 있는 "허용된 응용 프로그램 목록" 모드를 사용하는 조직은 거의 없습니다. 신뢰할 수 없는 파일의 실행을 허용하면 공격자가 다양한 맬웨어를 배포하고 취약한 드라이버를 사용하여 권한을 에스컬레이션하는 등의 작업을 수행할 수 있습니다. 권장 보안 조치 신뢰할 수 없는 출처의 응용 프로그램 실행을 방지하는 설정을 사용하도록 설정합니다. 더 좋은 점은, 허용 목록 사용(기본 거부라고도 함), 승인된 응용 프로그램의 고정된 목록에서만 응용 프로그램을 실행할 수 있습니다. 이 정책을 구현하는 도구가 이름에만 초점을 맞추는 것이 아니라 디지털 서명 및 기타 주요 파일 특성을 확인하는지 확인합니다. 알려진 취약한 응용 프로그램(특히 드라이버)이 실행되지 않도록 차단합니다. 스크립팅 언어(예: PowerShell)를 실행하는 기능을 제한하고, 승인된 스크립트의 실행에 대한 로그를 확인하고, 회사의 IT 시스템에서 사용되지 않는 스크립팅 언어의 실행을 허용하지 않습니다. 호스트 및 경계 보안 시스템을 정기적으로 검토하여 스팸을 효과적으로 필터링하고 맬웨어가 실행되지 않도록 차단합니다. #카스퍼스키 #기업보안 #카스퍼스키보안 #엔터프라이즈시스템구성 #IT시스템구성 #엔터프라이즈구성 #엔터프라이즈구성실수 #기본응용프로그램구성 #사용자및관리자권한관리 #내부네트워크모니터링 #네트워크세분화 #패치관리 #액세스제어 #다단계인증방법 #액세스제한 #암호정책 #코드실행제한 [출처] Kaspersky 블로그 10 most dangerous mistakes when setting up a corporate network We discuss what processes and settings could make you the next victim of a cyberattack — and how to prevent problems. www.kaspersky.com <쇼핑몰 바로가기> 카스퍼스키몰 카스퍼스키몰 NOTICE NEWS FAQ · [Kaspersky] 카스퍼스키 랩, 영국에서 운영되는 민간 보안 기업 · [Kaspersky] Kaspersky Endpoint Security · [Kaspersky] Kaspersky(카스퍼스키)와 Microsoft · [KASPERSKY]Apache Log4J 2 취약점(CVE-2021-4 · [Kaspersky][allshowTV - 카스퍼스키랩코리아] ICS, 더보기 www.kasperskymall.co.kr 스마트스토어 소프트정보서비스 : 네이버쇼핑 스마트스토어 [소프트웨어 전문] 마이크로소프트 한글과컴퓨터 등 정품판매인증점 02-716-1915 smartstore.naver.com 카스퍼스키 플래티넘 파트너 소프트정보서비스입니다. 보안 및 소프트웨어 상담 문의 감사합니다. (주)소프트정보서비스 02-716-1915 sales@softinfo.co.kr
첨부파일
비밀번호	수정 및 삭제하려면 비밀번호를 입력하세요.

스팸신고 스팸해제 목록 삭제 수정 답변

HOME ｜ COMPANY ｜ BOARD ｜ AGREEMNET ｜ PRIVACY ｜ GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

COMPANY : (주)소프트정보서비스        OWNER : 박양근       CALL : 02-716-1915        ADRESS : 04376 서울특별시 용산구 한강대로 109 (한강로2가) 용성비즈텔 802호
BUSINESS NUMBER : 106-81-80499 [사업자정보확인]        SHOPPINGMALL ORDER LICENSE : 제2004-서울용산-03126호 [사업자정보확인]
E-MAIL : sales@softinfo.co.kr

Copyright(c) (주)소프트정보서비스 all rights reserved.        호스팅제공자 : (주)카페24

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

뉴스/이벤트

WORLD SHIPPING