엔지니어링 시스템을 보호하기 위한 Secure Future Initiative 핵심 요소는 Microsoft의 자체 소프트웨어 자산 및 인프라를 보호하기 위해 처음 개발되었습니다. 이 내부 작업에서 얻은 사례와 인사이트는 이제 고객과 공유되므로 사용자 고유의 환경을 강화할 수 있습니다.
이러한 권장 사항은 조직의 엔지니어링 시스템 및 리소스에 대한 최소 권한 액세스를 보장하는 데 초점을 맞춥니다.
보안 권장 사항
긴급 액세스 계정이 적절하게 구성됨
조직에는 전역 관리자 역할이 영구적으로 할당된 두 개의 클라우드 전용 응급 액세스 계정이 있는 것이 좋습니다. 이러한 계정은 높은 권한을 부여받으며 특정 개인에게 할당되지 않습니다. 계정은 일반 계정을 사용할 수 없거나 다른 모든 관리자가 실수로 잠긴 비상 또는 "중단" 시나리오로 제한됩니다.
수정 작업
전역 관리자 역할 활성화는 승인 워크플로를 트리거합니다.
승인 워크플로가 없으면 피싱, 자격 증명 스터핑 또는 기타 인증 바이패스 기술을 통해 전역 관리자 자격 증명을 손상시키는 위협 행위자가 다른 확인이나 감독 없이 테넌트에서 가장 권한 있는 역할을 즉시 활성화할 수 있습니다. PIM(Privileged Identity Management)을 사용하면 몇 초 내에 적격 역할 활성화를 활성화할 수 있으므로 손상된 자격 증명은 거의 즉각적인 권한 에스컬레이션을 허용할 수 있습니다. 활성화되면 위협 행위자가 전역 관리자 역할을 사용하여 다음 공격 경로를 사용하여 테넌트에 대한 영구 액세스를 얻을 수 있습니다.
- 새 권한 있는 계정 만들기
- 조건부 액세스 정책을 수정하여 새 계정을 제외합니다.
- 높은 권한을 가진 인증서 기반 인증 또는 애플리케이션 등록과 같은 대체 인증 방법 설정
전역 관리자 역할은 Microsoft Entra ID의 관리 기능 및 Microsoft Defender XDR, Microsoft Purview, Exchange Online 및 SharePoint Online을 비롯한 Microsoft Entra ID를 사용하는 서비스에 대한 액세스를 제공합니다. 승인 게이트가 없으면 위협 행위자는 테넌트 인수를 완료하고, 중요한 데이터를 반출하고, 모든 사용자 계정을 손상시키고, 서비스 주체 또는 초기 손상이 감지된 후에도 지속되는 페더레이션 수정을 통해 장기 백도어를 설정하도록 신속하게 에스컬레이션할 수 있습니다.
수정 작업
전역 관리자가 Azure 구독에 대한 고정 액세스 권한이 없습니다.
Azure 구독에 영구적으로 액세스할 수 있는 전역 관리자는 위협 행위자의 공격 노출 영역을 확장합니다. 전역 관리자 계정이 손상된 경우 공격자는 즉시 리소스를 열거하고, 구성을 수정하고, 역할을 할당하고, 모든 구독에서 중요한 데이터를 유출할 수 있습니다. 구독 액세스를 위해 Just-In-Time 상승이 필요하면 감지 가능한 신호가 도입되고, 공격자 속도가 느려지고, 관찰 가능한 제어 지점을 통해 영향력이 높은 작업을 라우팅합니다.
수정 작업
권한 있는 계정을 대상으로 하는 조건부 액세스 정책을 배포하고 인증 강도 사용하여 피싱 방지 자격 증명을 요구합니다.
인증 방법 활동 모니터링
새 애플리케이션 및 서비스 주체 만들기는 권한 있는 사용자로 제한됩니다.
권한이 없는 사용자가 애플리케이션 및 서비스 주체를 만들 수 있는 경우 이러한 계정이 필요 이상으로 잘못 구성되거나 더 많은 권한이 부여되어 공격자가 초기 액세스 권한을 얻을 수 있는 새 벡터가 만들어질 수 있습니다. 공격자는 이러한 계정을 악용하여 환경에서 유효한 자격 증명을 설정하고 일부 보안 제어를 우회할 수 있습니다.
이러한 권한이 없는 계정에 관리자 권한의 애플리케이션 소유자 권한이 실수로 부여된 경우 공격자는 이를 사용하여 더 낮은 수준의 액세스에서 더 권한 있는 액세스 수준으로 이동할 수 있습니다. 권한이 없는 계정을 손상시키는 공격자는 자신의 자격 증명을 추가하거나 권한이 없는 사용자가 만든 애플리케이션과 연결된 사용 권한을 변경하여 감지되지 않은 환경에 계속 액세스할 수 있도록 할 수 있습니다.
공격자는 서비스 주체를 사용하여 합법적인 시스템 프로세스 및 활동과 혼합할 수 있습니다. 서비스 주체가 자동화된 작업을 수행하는 경우가 많기 때문에 이러한 계정에서 수행되는 악의적인 활동은 의심스러운 것으로 플래그가 지정되지 않을 수 있습니다.
수정 작업
비활성 애플리케이션에는 높은 권한이 있는 Microsoft Graph API 권한이 없습니다.
공격자는 여전히 상승된 권한이 있는 유효하지만 비활성 애플리케이션을 악용할 수 있습니다. 이러한 애플리케이션은 합법적인 애플리케이션이므로 경보를 발생하지 않고 초기 액세스를 얻는 데 사용할 수 있습니다. 여기에서 공격자는 애플리케이션 권한을 사용하여 다른 공격을 계획하거나 실행할 수 있습니다. 공격자는 자격 증명을 추가하는 등 비활성 애플리케이션을 조작하여 액세스를 유지할 수도 있습니다. 이 지속성은 기본 액세스 방법이 검색되더라도 나중에 다시 액세스할 수 있도록 합니다.
수정 작업
- 권한 있는 서비스 주체 사용 안 함
- 애플리케이션에 합법적인 사용 사례가 있는지 조사
- 서비스 주체에 합법적인 사용 사례가 없는 경우 삭제합니다.
비활성 애플리케이션에는 높은 권한이 있는 기본 제공 역할이 없습니다.
공격자는 여전히 상승된 권한이 있는 유효하지만 비활성 애플리케이션을 악용할 수 있습니다. 이러한 애플리케이션은 합법적인 애플리케이션이므로 경보를 발생하지 않고 초기 액세스를 얻는 데 사용할 수 있습니다. 여기에서 공격자는 애플리케이션 권한을 사용하여 다른 공격을 계획하거나 실행할 수 있습니다. 공격자는 자격 증명을 추가하는 등 비활성 애플리케이션을 조작하여 액세스를 유지할 수도 있습니다. 이 지속성은 기본 액세스 방법이 검색되더라도 나중에 다시 액세스할 수 있도록 합니다.
수정 작업
- 비활성 권한 있는 서비스 주체 사용 안 함
- 애플리케이션에 합법적인 사용 사례가 있는지 조사합니다. 그렇다면 OAuth2 권한이 더 적합한지 분석할
- 서비스 주체에 합법적인 사용 사례가 없는 경우 삭제합니다.
앱 등록은 안전한 리디렉션 URI를 사용합니다.
와일드카드 또는 URL 단축기가 포함된 URL로 구성된 OAuth 애플리케이션은 위협 행위자에 대한 공격 노출 영역을 증가합니다. 안전하지 않은 리디렉션 URI(회신 URL)를 사용하면 악의적 사용자가 인증 요청을 조작하고, 권한 부여 코드를 하이재킹하고, 사용자를 공격자 제어 엔드포인트로 보내 토큰을 가로챌 수 있습니다. 와일드카드 항목은 의도하지 않은 도메인이 인증 응답을 처리하도록 허용하여 위험을 확대하는 반면, 짧은 URL은 제어되지 않는 환경에서 피싱 및 토큰 도난을 용이하게 할 수 있습니다.
리디렉션 URI의 엄격한 유효성 검사 없이 공격자는 보안 제어를 우회하고, 합법적인 애플리케이션을 가장하고, 권한을 에스컬레이션할 수 있습니다. 이러한 잘못된 구성은 악의적 사용자가 약한 OAuth 적용을 악용하여 감지되지 않은 보호된 리소스에 침투하기 때문에 지속성, 무단 액세스 및 횡적 이동을 가능하게 합니다.
수정 작업
- 애플리케이션 등록에 대한 리디렉션 URI를 확인합니다. 리디렉션 URI에 *.azurewebsites.net, 와일드카드 또는 URL 단축기가 없는지 확인합니다.
서비스 주체는 안전한 리디렉션 URI를 사용합니다.
와일드카드, localhost 또는 URL 단축기가 포함된 URL로 구성된 비 Microsoft 및 다중 테넌트 애플리케이션은 위협 행위자에 대한 공격 노출 영역을 증가합니다. 이러한 안전하지 않은 리디렉션 URI(회신 URL)를 사용하면 악의적 사용자가 인증 요청을 조작하고, 권한 부여 코드를 하이재킹하고, 사용자를 공격자 제어 엔드포인트로 보내 토큰을 가로챌 수 있습니다. 와일드카드 항목은 의도하지 않은 도메인이 인증 응답을 처리하도록 허용하여 위험을 확장하며, localhost 및 단축 URL은 제어되지 않는 환경에서 피싱 및 토큰 도난을 용이하게 할 수 있습니다.
리디렉션 URI의 엄격한 유효성 검사 없이 공격자는 보안 제어를 우회하고, 합법적인 애플리케이션을 가장하고, 권한을 에스컬레이션할 수 있습니다. 이러한 잘못된 구성은 악의적 사용자가 약한 OAuth 적용을 악용하여 감지되지 않은 보호된 리소스에 침투하기 때문에 지속성, 무단 액세스 및 횡적 이동을 가능하게 합니다.
수정 작업
- 애플리케이션 등록에 대한 리디렉션 URI를 확인합니다. 리디렉션 URI에 localhost, *.azurewebsites.net, 와일드카드 또는 URL 단축기가 없는지 확인합니다.
앱 등록에는 현수 또는 중단된 도메인 리디렉션 URI가 없어야 합니다.
앱 등록에서 연결되지 않거나 분리된 리디렉션 URI는 더 이상 활성 리소스를 가리키지 않는 도메인을 참조할 때 중요한 보안 취약성을 만듭니다. 위협 행위자는 중단된 도메인에서 리소스를 프로비전하여 이러한 "현수" DNS 항목을 악용하여 리디렉션 엔드포인트를 효과적으로 제어할 수 있습니다. 이 취약성을 통해 공격자는 OAuth 2.0 흐름 중에 인증 토큰 및 자격 증명을 가로챌 수 있으며, 이로 인해 무단 액세스, 세션 하이재킹 및 잠재적인 광범위한 조직 손상이 발생할 수 있습니다.
수정 작업
애플리케이션에 대한 리소스별 동의가 제한됨
그룹 소유자가 Microsoft Entra ID의 애플리케이션에 동의하도록 하면 위협 행위자가 관리자 자격 증명 없이 데이터를 유지 및 도용할 수 있는 횡적 에스컬레이션 경로가 만들어집니다. 공격자가 그룹 소유자 계정을 손상하는 경우 악의적인 애플리케이션을 등록하거나 사용하고 그룹에 범위가 지정된 높은 권한의 Graph API 권한에 동의할 수 있습니다. 공격자는 잠재적으로 모든 Teams 메시지를 읽거나, SharePoint 파일에 액세스하거나, 그룹 멤버 자격을 관리할 수 있습니다. 이 동의 작업은 위임된 또는 애플리케이션 권한이 있는 수명이 긴 애플리케이션 ID를 만듭니다. 공격자는 OAuth 토큰을 사용하여 지속성을 유지하고, 팀 채널 및 파일에서 중요한 데이터를 도용하고, 메시징 또는 이메일 권한을 통해 사용자를 가장합니다. 앱 동의 정책을 중앙 집중식으로 적용하지 않으면 보안 팀은 가시성을 상실하고 악의적인 애플리케이션이 레이더 아래에 확산되어 공동 작업 플랫폼에서 다단계 공격을 가능하게 합니다.
수정 작업 RSC(Resource-Specific 동의) 권한의 사전 승인을 구성합니다.
워크로드 ID에 권한 있는 역할이 할당되지 않음
관리자가 서비스 주체 또는 관리 ID와 같은 워크로드 ID에 권한 있는 역할을 할당하는 경우 해당 ID가 손상된 경우 테넌트가 심각한 위험에 노출될 수 있습니다. 권한 있는 워크로드 ID에 액세스하는 위협 행위자는 정찰을 수행하여 리소스를 열거하고, 권한을 에스컬레이션하고, 중요한 데이터를 조작하거나 반출할 수 있습니다. 공격 체인은 일반적으로 취약한 애플리케이션의 자격 증명 도난 또는 남용으로 시작됩니다. 다음 단계는 할당된 역할을 통한 권한 상승, 클라우드 리소스 간 횡적 이동 및 마지막으로 다른 역할 할당 또는 자격 증명 업데이트를 통한 지속성입니다. 워크로드 ID는 자동화에 자주 사용되며 사용자 계정만큼 밀접하게 모니터링되지 않을 수 있습니다. 그러면 손상이 감지되지 않을 수 있으므로 위협 행위자가 중요한 리소스에 대한 액세스 및 제어를 유지할 수 있습니다. 워크로드 ID는 MFA와 같은 사용자 중심 보호의 적용을 받지 않으므로 최소 권한 할당 및 정기적인 검토가 필수적입니다.
수정 작업
엔터프라이즈 애플리케이션에는 명시적 할당 또는 범위가 지정된 프로비저닝이 필요합니다.
엔터프라이즈 애플리케이션에 명시적 할당 요구 사항과 범위가 지정된 프로비전 제어가 모두 없는 경우 위협 행위자가 이 이중 약점을 악용하여 중요한 애플리케이션 및 데이터에 대한 무단 액세스를 얻을 수 있습니다. 가장 큰 위험은 애플리케이션이 기본 설정으로 구성될 때 발생합니다. "할당 필요"가 "아니요"로 설정 되고 프로비저닝이 필요하지 않거나 범위가 지정되지 않습니다. 이 위험한 조합을 사용하면 테넌트 내의 모든 사용자 계정을 손상시키는 위협 행위자가 광범위한 사용자 기반의 애플리케이션에 즉시 액세스하여 공격 표면을 확장하고 조직 내에서 횡적 이동 가능성을 확장할 수 있습니다.
열린 할당이지만 적절한 프로비저닝 범위가 있는 애플리케이션(예: 부서 기반 필터 또는 그룹 멤버 자격 요구 사항)은 프로비저닝 계층을 통해 보안 제어를 유지 관리하지만, 두 컨트롤이 모두 없는 애플리케이션은 위협 행위자가 악용할 수 있는 무제한 액세스 경로를 만듭니다. 애플리케이션이 할당 제한 없이 모든 사용자에 대한 계정을 프로비전하는 경우 위협 행위자는 손상된 계정을 남용하여 정찰 활동을 수행하거나, 여러 시스템에서 중요한 데이터를 열거하거나, 애플리케이션을 연결된 리소스에 대한 추가 공격을 위한 준비 지점으로 사용할 수 있습니다. 이 무제한 액세스 모델은 권한이 상승되었거나 중요한 비즈니스 시스템에 연결된 애플리케이션에 위험합니다. 위협 행위자가 손상된 사용자 계정을 사용하여 중요한 정보에 액세스하거나, 데이터를 수정하거나, 애플리케이션의 사용 권한이 허용하는 무단 작업을 수행할 수 있습니다. 할당 제어와 프로비저닝 범위가 모두 없을 경우 조직에서 적절한 액세스 거버넌스를 구현하지 못할 수도 있습니다. 적절한 거버넌스가 없으면 애플리케이션에 대한 액세스 권한이 있는 사용자, 액세스 권한이 부여된 시기 및 역할 변경 또는 고용 상태에 따라 액세스 권한을 취소해야 하는지 여부를 추적하기가 어렵습니다. 또한 광범위한 프로비저닝 범위를 가진 애플리케이션은 단일 손상된 계정이 연결된 애플리케이션 및 서비스의 전체 에코시스템에 대한 액세스를 제공하는 연속 보안 위험을 만들 수 있습니다.
수정 작업
- 비즈니스 요구 사항을 평가하여 적절한 액세스 제어 방법을 결정합니다. Microsoft Entra 앱을 사용자 집합으로 제한합니다.
- 중요한 애플리케이션에 대한 할당이 필요하도록 엔터프라이즈 애플리케이션을 구성합니다. "할당 필요" 엔터프라이즈 애플리케이션 속성에 대해 알아봅니다.
- 그룹, 부서 또는 특성에 따라 범위가 지정된 프로비저닝을 구현합니다. 범위 지정 필터를 만듭니다.
Privileged Access 워크스테이션에 대한 조건부 액세스 정책이 구성됨
권한 있는 역할 활성화가 전용 PAW(Privileged Access Workstations)로 제한되지 않는 경우 위협 행위자가 손상된 엔드포인트 디바이스를 악용하여 관리되지 않는 워크스테이션 또는 비규격 워크스테이션에서 권한 있는 에스컬레이션 공격을 수행할 수 있습니다. 표준 생산성 워크스테이션에는 종종 무제한 웹 검색, 피싱에 취약한 전자 메일 클라이언트 및 잠재적 취약성이 있는 로컬로 설치된 애플리케이션과 같은 공격 벡터가 포함됩니다. 관리자가 이러한 워크스테이션에서 권한 있는 역할을 활성화하면 맬웨어, 브라우저 악용 또는 소셜 엔지니어링을 통해 초기 액세스를 얻는 위협 행위자는 로컬로 캐시된 권한 있는 자격 증명을 사용하거나 기존 인증된 세션을 하이재킹하여 권한을 에스컬레이션할 수 있습니다. 권한 있는 역할 활성화는 Microsoft Entra ID 및 연결된 서비스에서 광범위한 관리 권한을 부여하므로 공격자는 새 관리 계정을 만들고, 보안 정책을 수정하고, 모든 조직 리소스에서 중요한 데이터에 액세스하고, 환경 전체에 맬웨어 또는 백도어를 배포하여 영구 액세스를 설정할 수 있습니다. 손상된 엔드포인트에서 권한 있는 클라우드 리소스로의 이러한 횡적 이동은 기존의 많은 보안 제어를 우회하는 중요한 공격 경로를 나타냅니다. 권한 있는 액세스는 인증된 관리자의 세션에서 시작될 때 합법적인 것으로 보입니다.
이 검사가 통과되면 테넌트에 PAW 디바이스에 대한 권한 있는 역할 액세스를 제한하는 조건부 액세스 정책이 있지만 PAW 솔루션을 완전히 사용하도록 설정하는 데 필요한 유일한 컨트롤은 아닙니다. 또한 Intune 디바이스 구성 및 준수 정책 및 디바이스 필터를 구성해야 합니다.
수정 작업
-
권한 있는 액세스 워크스테이션 솔루션 배포
- 조건부 액세스 및 Intune 디바이스 구성 및 규정 준수 정책을 구성하기 위한 지침을 제공합니다.
- 권한 있는 액세스를 제한하도록 조건부 액세스에서 디바이스 필터 구성