온프레미스 앱이 전통적으로 경계 기반 방화벽 덕분에 외부 공격자로부터 보이지 않았습니다. SaaS (예: Microsoft 365, Salesforce), Infrastructure as a Service (예: AWS, GCP) 및 기타 클라우드 기반 기술의 채택은 이런 방식으로 기본적으로 잠겨 있지 않습니다.
많은 경우 이러한 애플리케이션은 어디에서나 도달할 수 있으며 데이터 액세스는 어떤 형태의 인증으로만 제어됩니다.
다중 요소 인증 (MFA)은 공격자가 합법적인 사용자인 것처럼 로그인하는 자격증명 기반 공격을 크게 줄였습니다. 그러나 MFA는 더 대상화된 자격증명 도용 공격으로부터 보호하지 못합니다.
이는 (프라이빗) 클라우드에 저장된 데이터 및 리소스의 접근성을 기본 기기나 네트워크와 관계없이 사용자 인증 메커니즘의 효능에 완전히 맡깁니다.
개방 인터넷에서 리소스 클로킹
이러한 데이터 리소스에 대한 공격을 방지하는 가장 좋은 방법은 개방 인터넷에서 발견 가능성과 접근성을 최대한 제거하는 것입니다.
이는 공격자가 유효한 직원 MFA 자격증명과 악용하려는 시스템에 대한 지식으로도 무장했다 하더라도 승인되지 않은 기기에서 해당 시스템에 액세스할 수 없다는 의미입니다.
SaaS 애플리케이션의 경우 공격자가 애플리케이션에 로그인할 수 없습니다.
IaaS 및 프라이빗 클라우드의 경우 공격자가 로그인 화면에도 도달하지 못하거나 해당 서비스에 단일 패킷도 도달하지 못하므로 응답을 받을 수 없습니다.
이는 신뢰할 수 있는 기기에 대한 액세스 활성화 다음에 익명 기기에 대한 액세스 제한을 통해 달성됩니다.
순효과는 간단합니다: 인정된 기기만 민감한 애플리케이션을 "볼" 수 있습니다. 다른 모든 사람에게는 앱이 완전히 보이지 않습니다.
클로킹 이점
- 공격자가 추가 공격 확대 및 악용 시도를 야기할 수 있는 앱이나 인프라를 발견하는 것을 방지합니다.
- 자격증명 도용 공격을 성공적으로 실행한 공격자가 손상된 사용자로 앱 및 데이터에 액세스할 수 없도록 합니다.
- 포괄적인 가시성, 보고 및 내보내기 (예: SIEM을 통해) 모든 SaaS 또는 IaaS 앱에 대한 클라우드 애플리케이션 액세스 활동.
- DDoS 공격으로 인한 앱 가용성 영향 완화.