보안 공지 NR23-01 — 보안 권고

조사가 상당히 진전됨에 따라 이제 우리는 진행 중인 조사와 우리가 배운 내용에 대한 추가 세부 정보를 고객과 공유할 수 있는 더 많은 정보를 얻을 수 있게 되었습니다.

무슨 일이 일어났습니까? New Relic 스테이징 환경에 대한 최초 공격

2주 전, New Relic은 고객이 New Relic과 특정 로그를 사용하는 방식에 대한 가시성을 제공하는 내부 환경인 스테이징 환경에 대한 무단 액세스를 인지했습니다. 고객이 New Relic 플랫폼을 사용할 때 New Relic으로 보낸 원격 측정 및 애플리케이션 데이터는 당사의 준비 환경에 상주하지 않습니다.

우리는 즉시 조사를 시작했고 승인되지 않은 공격자가 New Relic 직원 계정과 관련하여 훔친 자격 증명과 소셜 엔지니어링을 사용했다는 사실을 발견했습니다. 무단 공격자는 훔친 자격 증명을 사용하여 우리 고객의 New Relic 사용과 관련된 특정 데이터를 볼 수 있는 준비 환경에 액세스했습니다. 이 사고로 인해 영향을 받은 것으로 확인된 고객에게는 권장되는 다음 단계에 대한 알림이 전달되었습니다. 스테이징 환경에서 별도의 프로덕션 환경에 있는 고객의 New Relic 계정이나 New Relic의 프로덕션 인프라로의 측면 이동에 대한 징후는 없습니다.

우리가 취한 조치의 결과로 스테이징 환경에 대한 무단 액세스가 억제되었으며 스테이징 환경에서 무단 액세스 또는 활동의 징후가 더 이상 발견되지 않음을 확인할 수 있었습니다. 우리는 지속적인 조사 과정에서 고객과 관련이 있을 수 있는 추가 정보를 식별하는 경우 고객에게 계속해서 적극적으로 연락할 것입니다.

우리가 취한 조치

이 사건을 인지한 이후 우리는 내부 애플리케이션, 시스템 및 인프라의 무결성을 평가하기 위해 즉각적인 조치를 취했습니다. 우리는 사고 대응 계획을 활성화하고 여러 타사 사이버 보안 전문가를 참여시켜 고객과 비즈니스에 미치는 영향을 철저히 조사했습니다. 당사의 운영 연속성과 고객 서비스 능력은 이번 사고로 인해 중단되지 않았으며 정상적으로 지속되었습니다.

우리 보안팀은 손상된 직원 계정에 대한 액세스를 즉시 취소했습니다. 우리는 추가 기술 제어 계층을 구현하고, 네트워크 액세스 제어를 강화하고, New Relic의 스테이징 환경에 액세스하는 데 사용되는 공격 방법을 제거하기 위한 조치를 취했습니다. 최고의 사이버 전문가와 법의학 회사가 계속해서 진행 중인 조사를 지원하기 위해 참여하고 있습니다.

우리는 이번 기회에 업계 최고의 보안 도구 세트를 활용하여 액세스 제어 및 자격 증명 도용 방어를 더욱 강화했습니다. 또한 우리는 보안 상태에 대한 포괄적인 가시성을 보장하기 위해 기업 전체의 보안을 모니터링하는 역량을 늘렸습니다.

조사 중에 발견된 고객 계정에 대한 잠재적인 액세스에 관한 추가 정보

조사 과정에서 우리는 소수 고객의 New Relic 계정에 액세스하는 유사한 IOC(침해 지표)를 관찰했습니다. 우리는 많은 주의를 기울여 손상된 것으로 의심되는 사용자 계정에 대해 비밀번호를 교체하고 사용자 API 키를 제거하는 등 적극적으로 대응했습니다. 현재까지의 조사에 따르면 확인된 로그인 자격 증명이 New Relic의 스테이징 환경에 대한 공격의 결과로 획득되었다는 증거는 없습니다. 최근 대규모 사회 공학 및 자격 증명 손상 공격을 통해 자격 증명이 수집된 것으로 보이며, 이로 인해 New Relic 사용자 계정이 위험에 처할 수 있습니다. 이러한 의심되는 액세스를 식별하는 경우 당사는 해당 고객에게 적극적으로 연락하고 있습니다.

자격 증명 기반 손상을 방지하기 위해 취할 수 있는 단계

조사가 진행 중이지만 우리는 더 넓은 New Relic 커뮤니티를 지원하기 위해 학습 내용을 공유함으로써 보안을 강화하는 자세를 취하는 것을 목표로 합니다. 우리의 목표는 고객이 자신의 보안 태세를 강화할 수 있도록 지원하고 필요할 수 있는 모든 조사에 적용 가능한 지원을 제공하는 것입니다.

New Relic은 사용자를 New Relic에 추가하는 방법, 관리 방법, 로그인 방법에 대한 자동 제어 기능을 제공합니다. New Relic은 또한 SAML, SSO 및 SCIM 프로비저닝을 제공하며, 여기에서 사용할 수 있습니다. 또한 SAML, SSO 및 SCIM으로 구성된 고객은 MFA를 활성화하는 것이 좋습니다. 이러한 기능을 활용하지 않는 경우 비밀번호 재사용을 피하고 정기적으로 비밀번호를 교체하십시오.

또한 의심스러운 활동이 있는지 항상 주의를 기울이고 계정을 모니터링하는 것이 좋습니다. 예를 들어, 추가적인 보안 조치로, 특히 비정상적인 활동이 의심되는 경우 New Relic 환경의 변경 사항을 정기적으로 감사해야 합니다. New Relic은 모든 고객이 이러한 기능을 쉽게 사용할 수 있도록 해줍니다. 또한 고객은 NrAuditEvent 및 NrdbQuery와 같이 자동으로 생성된 메타 이벤트를 사용하여 사용자가 수행하는 작업과 쿼리하는 원격 분석을 이해해야 합니다. 또한 보안 게시판 및 보안 가이드에서 모범 사례를 검토하는 것이 좋습니다.

이 공지로 인해 추가 질문이 있을 수 있다는 점을 이해합니다. 추가 질문이 있는 경우 보안 상태에서 지원 케이스를 개설하거나 supportforum@newrelic.com 으로 고객 지원팀에 문의하세요. 그들은 귀하에게 도움을 주거나 귀하를 적절한 팀에 연결해 줄 것입니다.

조사가 계속됨에 따라 적절한 당사자 및 대규모 New Relic 고객 커뮤니티와 정보를 계속 공유할 것입니다.

신뢰와 투명성은 우리 사업에서 가장 중요하며, 우리 시스템의 보안이 귀하의 신뢰를 얻고 유지하는 데 중요한 부분이라는 것을 알고 있습니다. 이런 일이 발생한 것에 대해 고객 여러분께 사과드리며, 여러분과 맺은 파트너십에 깊은 감사를 드립니다. 우리는 New Relic 커뮤니티의 강력한 보안 상태를 유지하기 위해 인프라 및 제품 제공에 대한 보안 투자를 계속할 것입니다.

출시 날짜: 2023년 11월 22일

취약점 식별자: NR23-01

우리는 New Relic 커뮤니티를 소중히 여기며, 타사 사이버 보안 전문가의 지원을 받아 부지런히 조사하고 있는 최근 사이버 보안 사고에 대해 고객에게 알리고 싶습니다.

귀하에게 필요한 특정 조치가 있는 경우 고객에게 직접 연락을 드릴 것입니다. 분명히 말씀드리자면, 귀하가 당사로부터 연락을 받지 못하는 경우 현재 귀하가 취해야 할 조치는 없습니다.

항상 그렇듯이, 의심스러운 활동이 있는지 주의 깊게 모니터링하고 계정을 모니터링하는 것이 좋습니다. 또한 보안 가이드에서 모범 사례를 확인하고 보안 게시판에서 업데이트를 확인하는 것이 좋습니다.

공유할 정보가 더 많아지면 관련 업데이트를 계속 제공하겠습니다.