[데이터넷] 액티브 디렉토리(AD)는 통합인증을 기반으로 계정과 권한을 저장하는 중요한 인프라다. 공격자는 AD와 연결된 단말을 감염시킨 후 AD 관리자 계정을 탈취해 다양한 공격을 진행하는데, 사용자의 단말은 보안에 매우 취약한 상황이다. 특히 재택·원격근무로 분산된 단말 은 언제나 공격당할 가능성이 있다. 강력한 단말 보안을 적용했다 해도 집요하게 침투를 시도하는 공격을 차단할 수 없다.

AD를 가장 안전하게 보호하는 방법은 권한과 계정 보호이다. AD 권한이 탈취되거나 AD가 감염돼 악의적인 행위를 할 때 이를 감지하고 제어한다면 한 번의 침해가 피해로 이어지지 않게 막을 수 있다. AD 타깃 공격자는 관리자 계정을 탈취해 공격행위를 하거나 탈취한 AD 계정의 권한을 상승시켜 관리자 계정으로 만들고 공격을 진행한다.

퀘스트소프트웨어의 ‘체인지 오디터 포 액티브 디렉토리(Change Auditor for Active Directory)’는 AD에서 일어나는 변경사항을 모니터링해 이상행위를 탐지, AD 위협 공격에 대응할 수 있다. 퀘스트는 글로벌 AD 보안의 리더로, AD에서 발생하는 핵심 보안위협인 계정·권한 탈취에 대해 정책기반 탐지를 통한 예방, 위협요소 사전 차단을 통한 보호, 알려진 위협에 대한 실시간 탐지, 데이터 기반의 분석이라는 체계화된 방법론을 제공하고 있다.

실시간 보안 정책 위반 탐지

체인지 오디터는 그룹 정책 개체(GPO), DNS, 서버 구성, 중첩 그룹 등에 대한 변경사항을 포함한 모든 중요한 AD 변경사항에 대해 사용자 지정가능한 감사와 리포팅 기능을 지원한다. 포렌식을 통해 AD 내 원하는 기간 이벤트를 시간대로 분석해 모든 온프레미스와 클라우드, 하이브리드 AD 변경 활동을 통합적으로 파악할 수 있다. 실시간으로 중요한 정책 변경과 보안 위반에 대해 어디서나 모든 장치에서 인식하고 대응할 수 있어 일상적인 변경과 관련된 위험을 줄일 수 있다.

사용자와 운영자의 활동 중 계정 잠금과 주요 레지스트리 정보 접근과 관련된 활동을 집중 추적하고 관리해 전사적 정보 변경과 제어 정책을 타이트하게 운영할 수 있다. 중요 정보 변경 시도를 방지하며, 변경이 발생하기 전후의 값과 변경 사항의 주체, 변경 항목, 변경 시점과 위치, 발생 워크스테이션, 관련 이벤트 세부 정보 확인을 도와준다.

인프라 보안과 규제준수 활동을 지원한다. 고성능 감사 엔진을 통해 비효율적인 감사 프로세스를 개선할 수 있으며, 네이티브 감사 로그를 생성하지 않고도 빠르게 결과를 확인할 수 있어 스토리지를 절감할 수 있다.

데이터넷 다른기사 보기