SaaS에서 계정 탈취 사기(ATO)란 무엇인가요? 

SaaS에서의 계정 탈취(ATO)는 자격 증명, 피싱, 세션 활동 또는 OAuth 관련 경로를 포함할 수 있는 방법으로 외부인이 사용자 계정에 접근하는 것을 의미합니다.

ATO는 일반 사용자 로그인과 유사하게 보일 수 있어 발견하기 어려울 수 있으며, 이로 인해 일부 멀웨어 기반 공격보다 합법적인 접근과 구분하기가 더 어렵습니다.

SaaS에서의 계정 탈취(ATO)는 연결된 시스템 및 공유된 ID 전반의 접근과 관련이 있습니다.

단일 ID는 이메일, CRM, 클라우드 스토리지 및 기타 연결된 애플리케이션과 연관될 수 있습니다.

공격자는 유효한 자격 증명을 선호합니다. 이는 유효한 자격 증명을 통해 기존의 경계 방어를 우회하고 정상적인 사용자 활동에 섞여들어 탐지를 더욱 어렵게 만들기 때문입니다.

MFA를 포함하는 중간자 공격 방식과 같은 피싱 기술은 SaaS 환경에서 발생하는 ATO(계정 탈취) 이벤트와 관련하여 관찰되는 요인 중 하나입니다.

SaaS 기업의 계정 탈취(ATO) 영향은 몇 가지 영역으로 분류할 수 있습니다. 여기에는 다음이 포함됩니다:

• 데이터 접근 및 거래 모니터링과 같은 보안 관련 시나리오가 있으며, 이는 연결된 시스템으로의 측면 이동을 포함할 수 있습니다.
• 사고 대응 노력 및 규정 준수 고려 사항.
• 평판 하락, 고객 유지율 변화, 그리고 MFA(다단계 인증)가 적용되어 있더라도 발생할 수 있는데, 특히 관리자 또는 지원 계정이 관련된 경우 테넌트 수준의 고려 사항으로 이어집니다. 

일반적인 방법은 다음과 같습니다:

• 크리덴셜 스터핑
• 패스워드 스프레이
• 피싱
• 중간자 피싱
• OAuth 동의 피싱
• 세션 하이재킹
• 모바일 통신사 변경 (SIM 스와핑)
• 악성 코드/정보 탈취 프로그램
• 사회 공학

최신 피싱은 세션 토큰 타겟팅을 포함할 수 있으며, 다단계 인증(MFA)을 사용하는 인증 흐름을 우회할 수도 있습니다.

ATO 공격 대상: 

• 교육
• 소매/전자상거래
• 통신
• 금융 서비스
• 의료

이러한 산업들은 보유하고 있는 가치 있는 데이터, 많은 사용자 계정, 그리고 원격 액세스 및 협업 도구에 의존하기 때문에 공격 대상이 됩니다.

SaaS 제공업체는 예방, 탐지 및 대응을 포함하는 다층적 접근 방식을 사용하여 ATO를 탐지하고 예방할 수 있습니다. 주요 구성 요소는 다음과 같습니다:

• 피싱 방지 MFA
• 행동 분석
• 장치 지문 인식
• 이상 징후 탐지
• 세션 보호
• 봇 공격 완화
• 로깅 및 알림

ATO 솔루션은 SSO 및 MFA와 같은 다양한 방식을 통해 SaaS 서비스와 통합될 수 있으며, API, SDK, 및 ID 공급자 커넥터. 

또한, 인시던트 대응을 관리하고 동적 위험 점수 매기기를 활용하여 액세스 요청을 평가하기 위해 SIEM 및 SOAR 서비스와 통합해야 합니다.

또한, 합법적인 사용자에게 지연이 발생하지 않도록 하면서 OAuth 토큰 및 서비스 계정을 보호해야 합니다. 

SaaS 계정을 보호하는 데에는 몇 가지 단계가 필요합니다.

1. 첫째, 각 계정에 강력하고 고유한 비밀번호를 사용하고, 비밀번호 관리자를 사용하여 이를 생성하고 저장하는 것을 고려하십시오.
2. 다음으로, 활성화하십시오 다단계 인증(MFA) 가능한 경우 피싱 방지 방법 또는 패스키를 사용하여.
3. 로그인 알림에 주의를 기울이고, 예상치 못한 MFA 프롬프트를 검토하며, 권한을 승인하기 전에 OAuth 앱 동의 화면을 확인하십시오.
4. 마지막으로, 특이한 계정 활동이 발견되는 즉시 귀하의 SaaS 공급자에게 보고하십시오.

현재 ATO 방지 방법에는 여러 가지 접근 방식이 있으며, 각 방식에는 고유한 상충 관계가 있습니다.

기존 다단계 인증(MFA)은 AiTM 피싱, MFA 피로, SIM 스와핑, 토큰 탈취와 같은 기술과 함께 사용될 수 있습니다.

정적 규칙 기반 시스템은 모든 로그인 패턴을 식별하지 못할 수 있으며, 다양한 검토 결과를 초래할 수 있습니다.