권한이 있는 휴면 사용자

이 IoE는 Microsoft의 데이터 가용성 제한으로 인해 Microsoft Entra ID P1 또는 P2 라이선스가 없으면 작동하지 않습니다.

휴면 사용자란 정해진 기간(기본적으로 90일이며 옵션을 통해 사용자 지정할 수 있음) 동안 로그인을 완료한 적 없이 비활성으로 유지된 사용자 계정을 말합니다.

휴면 사용자는 다음과 같은 보안 위험과 운영 문제를 초래할 수 있습니다.

• 계정의 비밀번호가 약하거나 변경되지 않은 경우, 침해하기 쉬워져 공격자의 잠재적 표적이 됩니다. 예를 들어 CISA 알림에 따르면 다음과 같은 사실이 확인되었습니다.

캠페인에서 더 이상 피해 조직에서 근무하지 않지만 계정이 시스템에 그대로 유지된 사용자가 소유한 휴면 계정을 표적으로 삼았습니다.

• 잠재적 취약성을 만들어 Entra 테넌트의 공격 표면 증가. 예를 들어 앞서 언급한 CISA 알림에 따르면 다음과 같은 사실이 확인되었습니다.

인시던트 중에 모든 사용자에게 비밀번호 재설정이 적용된 뒤, SVR 공격자가 비활성 계정에 로그인하여 비밀번호 재설정 안내를 따랐습니다. 그 결과 공격자가 인시던트 대응 제거 활동 이후 액세스 권한을 다시 얻을 수 있었습니다.

• 더 이상 액세스 권한이 필요하지 않은 사용자(이전 직원 또는 인턴 등)에게 액세스 권한을 제공합니다.
• 리소스(예: 라이선스) 낭비. 휴면 사용자를 정기적으로 식별하거나 비활성화하거나 제거하면 조직에서 리소스 할당을 최적화하고 불필요한 비용을 절감할 수 있습니다.

미리 만들었지만 사용된 적이 없는 모든 사용자를 식별하는 관련 IoE "사용한 적 없는 권한이 있는 사용자"도 고려하십시오. 권한이 있는 사용자의 위험이 더 큽니다. 권한이 없는 사용자의 경우, 관련 IOE "권한이 없는"도 참조하십시오.

참고:

1. 이 IoE는 사용자 개체의 signInActivity 속성 내 lastSuccessfulSignInDateTime 속성에 의존합니다. 이 IoE는 lastSignInDateTime 속성과는 달리 로그인 실패로 인한 중단을 피하고, 성공한 로그인만 보고한다는 장점이 있습니다. lastSuccessfulSignInDateTime 속성을 2023년 12월부터 사용할 수 있게 되었습니다.
2. signInActivity 리소스 유형에 액세스하려면 각각의 테넌트에 Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다. 그렇지 않은 경우 이 IoE는 휴면 사용자를 탐지할 수 없고, 따라서 전체 분석을 건너뛰게 됩니다.
3. 이 속성은 로그인한 적이 없거나 마지막 로그인이 2023년 12월 이전이었던 사용자에 대해서는 작성되지 않은 채로 유지되므로, 간격을 평가하는 데 필요한 데이터를 사용할 수 없습니다. 그 결과, Tenable Identity Exposure가 마지막 로그인 날짜를 적절히 탐지할 수 없으므로 결과적으로 오탐의 가능성이 있습니다.

Tenable에서는 휴면 사용자를 정기적으로 검토하고, 특히 권한이 있는 사용자를 위주로 사용 중지하거나 삭제하도록 권장합니다. 해당 계정을 식별한 뒤에는 다음과 같은 작업을 수행합니다.

1. 계정을 사용 중지합니다.
2. 몇 달 기다립니다.
3. 이렇게 지연한 뒤에 보고된 문제가 없고 조직 정보 보안 정책상 허용되는 경우, 삭제 처리를 진행합니다.

이름: 권한이 있는 휴면 사용자

코드명: DORMANT-PRIVILEGED-USER

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure