위협 기반 사용자 차단

온라인에서 편집하기

위협 기반 액세스 정책을 활용하여 의심스러운 사용자를 자동으로 차단하고, SSO 흐름 중 IP 기반 보호 기능을 사용자 수준 적용으로 확대함으로써 진행 중인 공격을 사전에 차단합니다.

시작하기 전에

  • 이 태스크를 완료하려면 관리 권한이 있어야 합니다.
  • 관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오. 자세한 내용은 ‘ IBM Verify 에 접속하기 ’를 참조하십시오.

이 태스크에 대한 정보

현재 공격자들은 여러 지역의 사용자들을 대상으로 대량의 MFA 기기(음성/SMS 일회용 비밀번호)를 등록하고 있으며, 이로 인해 고객들은 위협 탐지 서비스를 통해 식별된 해킹당한 계정을 수동으로 비활성화해야 하는 상황입니다. IP 기반 차단 기능은 제공되지만, 의심스러운 사용자를 차단할 수 있는 자동화된 방법은 없습니다. 이러한 문제점을 해결하기 위해서는 SSO 흐름 중 사용자 수준의 차단 메커니즘이 필요합니다.

위협 인텔리전스(TI) 서비스가 개선되어 현재 SSO 세션의 정보를 userId 포함하게 되었으며, 이를 통해 인증된 사용자가 의심스러운지 여부를 파악할 수 있게 되었습니다.

SSO 흐름을 위해 새로운 사용자 정의 속성이 생성됩니다: ibm:threat_is_suspicious_user. 이는 기존의 위협 관련 사용자 정의 속성과 유사하며, SSO 흐름 중에 사용할 수 있습니다.

프로시저

  1. IBM Verify에서 관리자로 로그인하세요. 프로필 아이콘으로 이동한 다음 ‘관리자 모드로 전환’을 클릭하세요.
  2. ‘보안’ > ‘접근 정책’을 선택합니다. Access 정책을 새로 만들거나 기존 정책을 업데이트합니다.
    • ibm:threat_is_suspicious_user사용자 정의 속성을 사용하여 정책 규칙(SSO) 을 정의합니다. 예를 들면 다음과 같습니다.

      상태 : ibm:threat_is_suspicious_user가 true입니다

      조치 : 차단, MFA 적용 또는 허용

  3. 액세스 정책을 저장하고 게시합니다.
  4. ‘애플리케이션’ > ‘애플리케이션 설정’ > ‘로그인’을 선택한 다음, 생성한 이 정책을 선택한 애플리케이션에 추가합니다.

다음에 수행할 작업

  • 사용자가 에 IBM Verify 로그인하여 애플리케이션에 접근하려고 시도하면, 위협 인텔리전스(TI) 서비스가 해당 사용자가 의심스러운지 여부를 평가합니다.
  • 사용자가 의심스러운 것으로 판단될 경우, 액세스 정책 규칙에 정의된 조치에 따라 해당 사용자는 차단되거나 다단계 인증(MFA)을 거쳐야 합니다.
  • 사용자가 의심스럽지 않은 경우, 해당 사용자는 애플리케이션에 접근할 수 있습니다.