로그인 자격 증명은 화면 뒤에 있는 사람을 식별하고 악의적인 의도를 가진 사람으로부터 민감한 정보를 보호하는 데 도움이 되므로 오늘날 모든 온라인 서비스의 관문입니다. 오늘날 가능한 수많은 예방 조치에도 불구하고 크리덴셜 스터핑은 여전히 사이버 공격자의 무기고에서 가장 좋은 도구 중 하나로 남아 있습니다. 이를 통해 공격자는 온라인 계정에 침입하여 귀중한 개인 데이터를 탈취할 수 있습니다.
암시장에서 구매할 수 있는 자격 증명이 15억 개 이상이므로 공격자는 항상 피해자를 대상으로 유출된 자격 증명을 활용하여 빠른 이익을 얻으려고 합니다. 오늘날에는 도난당한 자격 증명을 무기화하기 위해 반드시 비용을 지불할 필요가 없습니다. RockYou21 목록은 공개적으로 접근 가능한 비밀번호 목록으로, 8억 개 이상의 항목. 이 무료 데이터베이스를 통해 해커는 의심하지 않는 온라인 사용자를 상대로 엄청난 양의 탄약을 얻을 수 있습니다. 이러한 데이터베이스를 사용하면 자동화된 비밀번호 스프레이 도구가 올바른 로그인 조합을 찾고 인계받는 데 약간의 시간이 소요될 수 있습니다.
크리덴셜 스터핑 공격은 어떻게 작동하나요?
크리덴셜 스터핑 인기의 핵심 약점은 비밀번호 재사용 빈도입니다. 이 모든 책임을 최종 사용자에게 돌리고 싶은 유혹이 있지만, 모든 최종 사용자가 추적해야 하는 온라인 계정의 양이 엄청나게 많다는 점을 명심하는 것이 좋습니다.
최근 연구에 따르면 현재 일반 개인이 보유한 온라인 계정은 100개에 조금 못 미치는 것으로 나타났습니다. 이는 팬데믹 기간 동안 수많은 신규 사용자가 새로운 형태의 온라인 엔터테인먼트를 발견함에 따라 이 수치가 급격히 증가했습니다. 너무 많은 계정을 관리해야 하는 상황에서 사용자는 본질적으로 두 가지 옵션을 선택해야 합니다. 첫 번째는 광범위하고 안전한 비밀번호 관리자를 활용하는 것입니다. 또는 단순히 계정 전체에서 비밀번호를 재사용할 수도 있습니다. 전자가 유망한 반면, 비밀번호 관리자는 여전히 상대적으로 새롭고 널리 채택되지는 않습니다. 또한 이는 공격자에게 훨씬 더 큰 표적이 됩니다. 최근 LastPass 위반 기업과 고객 데이터가 모두 도난당했습니다.
너무 많은 사용자가 여러 온라인 계정에서 동일한 비밀번호를 사용한다는 사실을 알고 공격자는 높은 이익을 얻기 위해 이전에 유출된 자격 증명을 활용하는 경우가 많습니다. 크리덴셜 스터핑은 유출된 자격 증명을 자동화된 프로그램에 연결하는 프로세스로, 연결된 온라인 계정을 통해 자동으로 침입을 시도합니다.
대부분의 공격은 동일한 형식을 따릅니다. 첫째, 공격자는 최근 데이터 유출로 인해 종종 노출되는 사용자 이름과 비밀번호의 캐시를 찾거나 구매합니다. 그런 다음 공격자는 이러한 조합이 몇몇 웹사이트에서 작동하는지 테스트하는 데 약간의 시간을 소비합니다. 검증이 완료되면 본격적인 대규모 공격이 시작된다. 훔친 데이터는 모두 활용되어 특정 서버에 대한 로그인 시도가 폭증합니다. 하나만 작동하면 공격자가 액세스할 수 있는 것입니다. 침입하면 공격자는 신용 카드 번호, 관련 이메일 계정, 주민등록번호 등 계정에서 가치 있는 모든 것을 수동으로 제거하기 시작합니다. 마지막으로, 공격자는 계정에 대한 통제권을 포기하기 전에 해당 계정을 몸값으로 요구할 수 있습니다.
크리덴셜 스터핑 공격의 원인은 무엇입니까?
크리덴셜 스터핑 공격은 단순히 조직의 공격 표면 전반에 걸쳐 수많은 광범위한 감독이 이루어진 결과입니다. 자동화된 로그인 봇은 유출, 도난, 크래킹된 자격 증명의 꾸준한 입력을 통해 발전하며, 각 자격 증명은 개별 소스에서 비롯됩니다.
데이터 유출
그 어느 때보다 흔해진 데이터 침해는 수많은 취약한 보안 관행, 내부자 위협, 대규모 표적 공격으로 인해 발생합니다. 기업들이 PR 및 기술 시스템 전반에 걸친 결과를 관리하기 위해 안간힘을 쓰는 동안, 침해 중에 공개된 데이터는 강력한 크리덴셜 스터핑 시장에 빠르게 공급됩니다. 공격자가 더 광범위한 회사 네트워크에 침투함에 따라 관련 자격 증명은 추가 데이터 침해로 재활용됩니다. 이를 통해 더욱 민감한 데이터가 유출되어 기하급수적으로 증가하는 공격으로 이어집니다.
재사용된 비밀번호
오늘날의 온라인 연결 덕분에 비밀번호 재사용이 만연해 있습니다. 회사 데이터 유출의 80%는 유출된 비밀번호로 인해 직접적으로 발생합니다. 같은 숫자는 비밀번호 재사용으로 인한 해킹 사고의 비율을 나타냅니다. 이와 함께 다양한 비밀번호의 강점은 놀라울 정도로 접근 가능한 정보에 달려 있습니다. 미국 직원의 최대 XNUMX분의 XNUMX은 자녀나 사랑하는 사람의 생일을 비밀번호의 기초로 사용합니다. 이와 같이 복제 가능하고 추측 가능한 비밀번호가 제공하는 잠재적인 공격 표면은 크리덴셜 스터핑 공격의 폭발 범위를 크게 증가시킵니다.
피싱 공격
피싱 공격으로 공격자는 명의를 도용하여 피해자를 속입니다.. 은행, 소프트웨어 제공업체 또는 동료로부터 가짜 이메일을 작성함으로써 피해자는 자신의 로그인 정보를 공개하도록 설득됩니다. 이러한 자격 증명이 사기성 로그인 페이지에 입력되면 계속해서 확장되는 공격자의 데이터베이스에 추가됩니다. 이메일은 피싱 공격자가 사용하는 유일한 메시지 형식이 아닙니다. 전화 통화, SMS 메시지, 소셜 미디어 모두 잠재적인 공격 경로를 제공합니다.
유출된 자격 증명
자격 증명이 항상 적절한 수준으로 존중되는 것은 아닙니다. 빠른 개발 주기로 인해 악의적인 행위자가 너무 악용할 수 있는 감독으로 이어지는 경우가 많습니다. 이 문제는 Devops 외부에서도 지속됩니다. 직원이 실수로 자격 증명을 다른 사람과 공유하거나 일반 텍스트로 저장하여 유출하는 경우가 있습니다. 유출된 자격 증명 인스턴스가 발생하면 다크 웹 마켓플레이스에서 사용할 수 있는 대조 자격 증명 데이터베이스에 신속하게 추가됩니다.
자동화 도구
크리덴셜 스터핑 퍼즐의 마지막 조각은 자동화된 도구로 구성됩니다. 수십억 개의 비밀번호의 유효성을 확인하는 것은 수동 프로세스에서는 불가능합니다. 대신 공격자는 봇을 사용하여 공격의 효율성과 ROI를 높입니다. 이는 매분 수백만 개의 비밀번호와 사용자 이름 조합을 테스트하여 활성 공격을 배포하고 증폭시킵니다.
크리덴셜 스터핑 탐지에 직면한 과제
자격 증명 스터퍼가 누리는 우위는 합법적인 사용자와 조화를 이루는 능력입니다. 기존 WAF(웹 애플리케이션 방화벽) 및 블랙리스트 접근 방식은 완전히 실패합니다. 이러한 공격은 식별 가능한 악용이나 명백한 악의적인 활동에 의존하지 않기 때문입니다. 기술적으로 공격자는 WAF를 쓸모없게 만드는 의도된 목적으로 앱의 로그인 기능을 사용하고 있습니다.
악의적인 IP 주소를 식별하여 보호에 대한 공격자 중심 접근 방식을 취하면 어느 정도 보호가 제공될 수 있지만, 분산된 봇넷의 엄청난 규모로 인해 작업 속도가 빨라질 뿐만 아니라 잠재적으로 수천 개의 서로 다른 IP 주소를 포괄하는 고도로 분산된 공격도 가능해집니다. 이로 인해 크리덴셜 스터핑에 대한 사전 예방적 탐지가 크게 제한됩니다.
봇이 이전 추측을 지속적으로 반복하는 무차별 대입 공격에서 나타나는 행동 패턴과 달리 크리덴셜 스터핑 봇은 계속 진행하기 전에 훔친 쌍을 통해 액세스를 시도합니다. 이로 인해 로그인 실패 빈도를 평가하는 프로그램을 피할 수 있을 만큼 민첩성이 높아졌습니다.
크리덴셜 스터핑을 방지하는 방법은 무엇입니까?
보안 팀이 직면한 어려움에도 불구하고 크리덴셜 스터핑 시도를 좌절시키는 몇 가지 초기 방법이 있습니다.
다단계로 인증
MFA는 사용자가 알고 있는 것뿐만 아니라 가지고 있는 것까지 인증하도록 하여 로그인 시도에 추가 인증 계층을 추가합니다. 전화나 액세스 토큰과 같은 물리적 인증 방법을 사용하면 도난당한 로그인 정보가 정확하더라도 자격 증명 봇이 계정에 액세스할 수 없습니다. 그러나 광범위한 사용자 경험 반대 때문에 전체 사용자 기반에 MFA를 구현하는 데 직면하는 어려움은 상당합니다.
보안 문자 사용
CAPTCHA는 사용자에게 자신이 인간임을 증명하도록 강요합니다. 이는 공격을 성공적으로 수행하는 일부 봇을 줄이는 데 도움이 될 수 있지만 공격자는 이를 해결하는 두 가지 방법이 있다는 점을 명심할 가치가 있습니다. 첫 번째는 헤드리스 브라우저(아래 참조)입니다. 다른 공격자들은 로그인의 CAPTCHA 단계를 완료하기 위해 사람을 고용했습니다. MFA와 같은 맥락에서 CAPTCHA는 다른 접근 방식과 결합하는 것이 가장 좋습니다.
헤드리스 브라우저 차단
헤드리스 브라우저는 CAPTCHA 완성을 포함하여 웹 활동에 대한 높은 수준의 자동화를 제공합니다. 그러나 주로 JavaScript 호출을 통해 작동하므로 상대적으로 쉽게 찾을 수 있습니다. 모든 헤드리스 브라우저에 대한 액세스를 차단함으로써 CAPTCHA 기술은 크리덴셜 스터핑 시도에 대한 예방적 제어를 강화합니다.
의심스러운 IP 블랙리스트
초보자 공격자는 일반적으로 가져올 수 있는 악성 주소 풀이 더 작습니다. 여러 계정에 로그인을 시도하는 모든 IP가 즉시 금지될 수 있으므로 IP 차단 가능성이 여전히 존재하는 곳입니다.
비주거용 트래픽 식별 및 제한
AWS 또는 기타 상용 데이터 센터에서 발생하는 트래픽을 찾아내는 것은 쉽습니다. 이러한 유형의 트래픽은 거의 확실하게 봇과 관련되어 있으므로 엄격한 속도 제한을 적용하여 이점을 활용하십시오. 모든 데이터 센터 트래픽을 극도로 주의하여 처리하고 의심스러운 사용자를 차단하십시오.
LayerX로 직원 자격 증명 보호
LayerX는 모든 인증 및 권한 부여 동작을 모니터링하여 크리덴셜 스터핑에 대한 포괄적인 보호 기능을 제공합니다. 이러한 가시성은 브라우저 확장으로 구현되어 모든 장치에서 사용자 로그인 시도 및 리소스 액세스 요청을 완벽하게 모니터링하고 분석할 수 있기 때문에 달성됩니다.
로그인 활동에 대한 현장 보기와 시장을 선도하는 분석 엔진을 결합함으로써 크리덴셜 스터핑 봇의 웹 및 SaaS 세션을 명확하게 볼 수 있습니다. 자동으로 고위험으로 표시되면 LayerX가 상황에 맞는 두 번째 검증 계층을 구현하는 것이 가능해집니다. MFA는 역사적으로 모든 사용자에게 구현하는 데 어려움을 겪었지만 LayerX는 이러한 추가 인증 요소를 추가로 제공하여 MFA 및 CAPTCHA로 인한 UX 불만을 제거합니다. 이러한 방식으로 액세스 정책은 도난당한 자격 증명에 맹목적으로 의존하지 않고 최종 사용자의 적법성을 결정할 수 있습니다.
LayerX를 사용하면 조직은 악의적인 비밀번호 사용을 발견하고 예방하며 사전에 보호할 수 있습니다.