엣지 보호 / Edge protection
Verify에 요청이 들어오면 이 때마다 의심스러운 트래픽 공격을 막기 위해서 첫번째로 엣지에서 분석을 합니다. 이는 커맨드 인젝션, 클로스 싸이트 스크리핑, 디도스, 유효하지 않은 HTTP, PHP 인젝션, 원격 파일 삽입, SQL인젝션, 트로이목마 등의 공격이 될 것 입니다. 엣지 보안솔루션으로 Verify는 지리적 위치에 따른 네트워크 규칙들을 사용하여 인프라를 보호합니다. 이 보호 방식에는 웹 어플리케이션 방화벽 규칙, IP/GEO 방화벽 규칙, IP당 접속횟수를 제한하는 도스 보안이 있습니다. 또한 침입자들이 공격을 수행하기 전에 의심스러워 보이는 계정들을 정지시키기 위해서 고안된 IBM Security Verify는 WAF 서비스 기반으로 개인 및 공유 IP주소의 행동에 가시성을 제공합니다. 이러한 기능을 사용하는 것은 고객에게 긍정적인 이미지를 제공할 수 있습니다.
IBM Security Verify는 유저행동 기반의 BOT 트래픽을 탐지할 수 있는 BOT 매니저를 보유하고 있습니다. 추가적으로 IBM에 의해 고안된 커스터마이징된 룰은 WAF에 의해 제공되는 표준보안에 포함되지 않는 원치 않는 트래픽들을 제한 시킵니다. IBM Security Verify 에 있는 이러한 기능은 수년간 존재했던 것으로 새로운 것은 아닙니다.
IBM Security Verify 에서 보안 위협을 탐지하고 대응하는 팀은 수천명의 고객들과 파트너들의 IT환경에 걸쳐있는 의심스러운 활동과 위협에 대해서 주시하고 적절한 조치를 취하면서 대응합니다. 의심스러운 것으로 알려져 있는 IP들은 엣지계층에서 제한된 목록으로 추가가 되어지며 암호화, 임시 데이터 보안, 네트워크 분리 등을 포함하는 보안통제를 따르게 됩니다. 이는 이러한 IP들 부터 Verify를 사용하는 모든 사람들까지 아울러서 접근을 제한하게 합니다.
Whenever a request comes to Verify, it is first analyzed at the Edge to block suspicious traffic to prevent attacks like Command Injection, Cross Site Scripting (XSS), DDOS, Invalid HTTP, PHP Injection, Remote File Inclusion, SQL Injection, Trojan, etc. With an edge security solution, Verify also uses Geolocation/network policies to secure Infrastructure. This includes Web Application Firewall rules, IP/GEO Firewalls rules, DOS Protection based on rate limits per IP, and Client reputation based on the WAF service used by IBM Security Verify, providing visibility into prior behavior of individual and shared IP addresses. It is designed to stop malicious clients before they can attack (planned).
It also has a Bot Manager to detect BOT traffic based on end-user behavior. Additionally, custom rules are defined by IBM to deny some type of unwanted traffic that does not fall under any of the standard protections provided by the WAF service used by IBM Security Verify. This capability in IBM Security Verify has existed for years and is not new.
The security detection and response team at IBM Security Verify keeps an eye out for threats and suspicious activity across its ecosystem of thousands of customers and partners, and it responds by taking appropriate action. Known malicious IPs are added to a blocklist at the edge layer along with various security controls covering encryption, tenant data security, network segregation and security, and more. This prevents access from these IPs to any Verify tenant.
위협 분석 / Threat Analyzer
다음의 보호 계층은 위협 분석으로, 크리덴셜 스터핑, 브루트 포스, 비정상적인 로그인 그 이외에 새로운 아이덴티티와 관련된 잠재 공격을 발견하기 위해서 들어오는 트레픽에 대한 분석합니다.
이 기능은 멀웨어, 봇과 같은 위협활동의 이전 활동데이터와 IP 주소들에 대해 IBM X-Force Exchange 보안 플랫폼에서 나오는 위협 분석을 활용합니다. 이 플랫폼은 유저들이 빠르게 최신 보안 위협들과 실행가능한 보안지식들을 모아 동료들과 협업할 수 있게 하는 클라우드 기반의 공유 플랫폼입니다. IBM X-Force Exchange는 사람과 로봇에 머신이 만들어 낸 보고서를 지원을 하고 있어서 유저들이 새로 나오는 위협에 먼저 대응을 할 수 있게 도와줍니다. 이 기능이 오늘 이야기 되어지는 새로운 기능 입니다.
이 기능의 추가적인 가치는 위협이 모든 IBM Security Verify 유저들에게 발견된다는 것 입니다. 그래서 심지어 당신의 기업이 위협에 의해서 보호되지 않는다면, 당신의 회사는 여전이 위협분석을 이용하여, 적극적으로 IBM Verfiy 의 위협분석 보고서로 공격을 완화 할 수 있습니다.
The next layer of defense is the Threat Analyzer which analyzes incoming traffic to detect potential identity-related attacks such as Credential Stuffing, Brute force attacks, Login deviations, and more to come soon. It also leverages threat intelligence from IBM Security X-Force Exchange for IP addresses about reputation and historical data of activities such as malware, bots, and more. IBM Security X-Force Exchange is a cloud-based threat intelligence sharing platform enabling users to rapidly research the latest security threats, aggregate actionable intelligence, and collaborate with peers. IBM X-Force Exchange, supported by human- and machine-generated intelligence, leverages the scale of IBM X-Force to help users stay ahead of emerging threats. This is the new capability discussed in this blog.
The additional value of this capability is threats are identified across all IBM Security Verify tenants. So even if your organization was not affected by the threat, your organization could still harness the threat analyzer to proactively mitigate the attack with IBM Security Verify’s Threat Intelligence.
사전인증 / Pre-Authentication
일단 트래픽이 의심스럽지 않다고 확인이 된다면, 이것은 사전인증 확인단계로 가야 합니다. 이것은 들어오는 신분정보가 일반 패스워드 또는 이전에 침해된 신분정보인지를 확인하는 것을 포함합니다. 만약 이러한 확인사항이 통과가 되면, IBM Security Verify 는 접근정책을 적용하여 이 요청사항을 허락할 것인지 막아야 할 것인지를 결정하거나 또는 더 다른 인증이 요구합니다.
Once it is confirmed that traffic is not suspicious then it goes for Pre-Authentication checks. It includes checking if the incoming credential is a common password or a previously compromised credential. If this check is passed, IBM Security Verify applies access policies to determine if the request should be allowed/blocked or if further verification is required.
인증 / Authentication
인증은 IBM Security Verify 에 있어서 위치, 확대된 MFA 옵션 뿐만 아니라 유저의 행동과 위치, 장치의 종류로 실시간으로 접근 정책의 규칙을 만들수 있도록 실시간으로 위협점수를 측정하는 위협기반 인증을 기반으로 하는 접근허가정책을 포함하고 있습니다.
위협기반의 인증기능은 Adaptive Accesss 이며, 이는 SMS/Email OTP, TOTP 그리고 IBM Verify 인증 앱 (푸시, 지문 등) 과 같은 MFA옵션을 가지고 있으며, 패스워드 없는 옵션 또한 QRcode 와 FIDO 패스키를 보유하고 있습니다.
This consists of the capabilities in IBM Security Verify today, which include access policy authoring based on user attributes and context such as location, extensive MFA options, and risk-based authentication that dynamically checks user behavior, user location, device posture, and more to define and attribute a risk score in real time to trigger access policy rules.
The risk-based authentication capability is Adaptive Access. MFA options include SMS/Email OTP, TOTP, and IBM Verify Authenticator app (ex: push, user presence, and biometric). Passwordless options also include QRCode and passkeys (FIDO).
해야 하는 것 / Call to action
위협 인텔리전스 베타버전은 IBM Security Verify 를 통해 위협이 탐지되었을 때 기업들이 위협 분석도구를 이용할 수 있게 합니다. 미국과 유럽에서 IBM Security Verify를 사용하고 있는 고객과 파트너들에게 처음 베타버전이가 제공될 것 이며, 지역별 확장은 다음달에 진행될 것 입니다.
일단 베타기능이 시작되면, 위협분석에 의해서 나오는 위협 이벤트들은 IAM 관리자에 의해서 확인될 수 있으며, 또한 이 이벤트들이 위협분석 및 대응을 위해서 외부의 SIEM 솔루션으로 정보가 보내질 수 있습니다. 이 기능은 고객들이 의심스러운 트래픽에 대한 가시성을 확보하여, 적극적인 조치를 취함으로써 대규모의 아이덴티티 기반공격으로 부터 보호할 수 있게 합니다.
근시일 내로 IBM Security Verify 는 IAM 관리자가 위협인텔리전스의 첫번째 위협요소를 정의하여 즉시 치료를 할수 있습니다. 이는 약 1시간 동안 의심스러운 IP 주소를 막는 기능을 포함하여, 베타버전에서 나오게 되는 이벤트와 비슷한 경고 막을 수 있게 합니다.
만약 IBM Security Verify 의 위협인텔리전스에 대해서 알고 싶다면, 저에게 베타버전 신청을 해 주시면 됩니다.
The beta for Threat intelligence will allow organizations to experience the Threat Analyzer through events generated by IBM Security Verify as threats are identified. The initial beta will be for customers and partners with IBM Security Verity tenants in the United States and Europe regions. Additional regional expansion of the feature will roll out in the coming months.
Once the beta feature is enabled, threat events generated by Threat Analyzer can be reviewed by IAM admins or they can be sent to the external SIEM solutions for extended threat detection and response. This will help customers to get visibility into suspicious traffic so that customers can take proactive actions on them to secure their organization against large-scale identity-based attacks.
In the near future, IBM Security Verify will allow IAM admins to define first-factor Threat Intelligence rules that allow immediate remediation using the IBM Security Verify access policies. This will include being able to block suspicious IP addresses for 1 hour and/or obtaining an alert, similar to the events being emitted as part of the beta.
If you want to know more about Threat Intelligence in IBM Security Verify and wish to sign up for the Threat Intelligence beta, reach out to to me
https://community.ibm.com/community/user/security/blogs/priti-patil1/2023/01/24/mitigate-large-scale-identity-based-attacks-in-ibm