설명

휴면 장치 또는 오래된 장치는 정해진 기간(기본적으로 90일이며 옵션을 통해 사용자 지정할 수 있음) 동안 로그인을 완료한 적 없이 비활성으로 유지된 장치 계정을 말합니다.

휴면 장치는 다음과 같은 보안 위험과 운영 문제를 초래할 수 있습니다.

  • 공격 표면 증가: 휴면 장치에는 사용하지 않는 구성과 패치되지 않은 취약성이 있어 최근 업데이트에서 해결한 악용 기법에 취약합니다.
  • 침해하기 더 쉬움: 위협 행위자가 테넌트 전체를 쉽게 침해하여 중요한 정보에 무단 액세스할 수 있습니다.
  • 감사: 규정 준수 감사 중에 문제가 제기됩니다.
  • 리소스 사용: 라이선스로 인해 불필요한 비용이 발생합니다.
  • 성능 저하: 불필요한 장치 쓰기 때문에 Microsoft Entra Connect 동기화에 필요한 시간이 길어집니다.

미리 만들었지만 사용된 적이 없는 모든 장치를 식별하는 관련 IoE "사용한 적 없는 장치"도 고려하십시오.

참고:

  1. 이 IoE는 approximateLastSignInDateTime 속성에 의존하며 이 속성은 실시간으로 업데이트되지 않습니다. 현재 값은 차이가 14일(+/-5일)을 초과해야만 업데이트됩니다.
  2. 따라서 Microsoft에서는 "일부 활성 장치에 타임스탬프가 비어 있을 수 있다"고 인정합니다. 이런 경우에는 로그인 감사 로그를 자세히 조사하여 장치의 업데이트 빈도가 높았는지 파악해야 합니다.

솔루션

Tenable에서는 휴면 장치를 정기적으로 검토하고, 사용 중지하거나 삭제하도록 권장합니다. 이러한 장치를 식별한 뒤에는 다음과 같은 작업을 수행합니다.

  1. 장치를 사용 중지합니다.
  2. 몇 달 정도 충분히 기다려 의도치 않은 영향이 없는지 확실히 합니다.
  3. 이렇게 지연한 뒤에 보고된 문제가 없고 조직 정보 보안 정책상 허용되는 경우, 삭제 처리를 진행합니다.

Microsoft에서 방법: Microsoft Entra ID에서 오래된 장치 관리에 관한 가이드를 발행했습니다. 이 가이드를 보면 장치의 조인 유형을 기준으로(예: Microsoft Entra 등록됨, Microsoft Entra 조인됨 등) 오래된 장치를 관리하는 방법을 알 수 있습니다. 장치를 삭제하기 전에 이 가이드를 검토하는 것이 좋습니다.

지표 세부 정보

이름: 휴면 장치

코드명: DORMANT-DEVICE

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: