권한이 있는 역할에 MFA가 필수가 아님

HIGH

설명

다단계 인증(MFA)(이전의 2단계 인증(2FA))은 약한 비밀번호 또는 침해된 비밀번호와 관련된 취약성에 맞서 계정에 강력한 보호를 제공합니다. 모범 사례 및 업계 표준을 준수하여 MFA를 사용으로 설정하는 것을 권장하며 특히 공격자의 주된 표적이며 침해되면 중대한 결과를 초래할 수 있는 권한이 있는 계정에 사용으로 설정하는 것이 좋습니다.

공격자가 어떤 방법으로든 사용자 비밀번호를 획득하면 MFA가 모바일 애플리케이션의 시간 만료 코드, 실물 토큰, 생체 인식 기능 등 추가적인 단계를 요청하여 인증을 차단합니다.

이 위험 노출 지표는 권한이 있는 역할에 MFA가 필수가 아니어서 특정 권한이 있는 역할이 부여된 권한이 있는 사용자에게 영향이 미치는 경우 알림을 보냅니다. Microsoft Entra ID를 사용하면 다양한 방법으로 MFA를 사용으로 설정할 수 있습니다.

  • 보안 기본값: 관리자 대상으로 MFA 필수 사용을 포함하는 미리 구성된 보안 설정입니다. 이 설정을 사용하면 Microsoft에서 권장하는 여러 보안 기능을 동시에 활성화합니다.

  • 조건부 액세스: 정책에서 MFA가 필요한 이벤트 또는 애플리케이션을 지정합니다. 이러한 정책을 사용하면 관리자의 일반 MFA 로그인을 허용할 수 있습니다. 참고: 이 기능을 사용하려면 Microsoft Entra ID P1 라이선스 이상이 있어야 하며, Microsoft Entra ID Free에서는 제공되지 않습니다. 이 기능은 보안 요구 사항이 복잡해서 인증 기준을 정밀하게 정의하려는 중견 기업 조직에 특히 권장합니다. 이 위험 노출 지표는 다음 설정을 포함한 조건부 액세스 정책을 찾습니다.

    • "사용자"가 "모든 사용자" 또는 권한 있는 역할을 포함하도록 설정되었습니다
    • "대상 리소스"가 "모든 리소스"로 설정되었습니다.
    • "조건 > 클라이언트 앱"이 "아니요"("구성 안 됨")으로 설정되었습니다. 또는 "예"로 설정하고 "브라우저", "모바일 앱 및 데스크톱 클라이언트", "Exchange ActiveSync 클라이언트", "기타 클라이언트" 등 네 개 옵션을 모두 선택합니다.
    • "부여"를 "다단계 인증 필수"로 설정하거나 "인증 강도 필수"로 설정하고 "다단계 인증", "패스워드리스 MFA" 또는 "피싱 방지 MFA" 중 하나를 포함합니다.
    • 마지막으로, "정책 사용"을 "활성"으로 설정합니다("비활성" 또는 "보고 전용" 아님).
  • 사용자별 MFA: 사용자별 MFA는 Microsoft에서 새로운 보안 기본값이나 조건부 액세스 정책으로 대체하도록 권장하는 레거시 서비스입니다. 따라서 Microsoft Graph API가 지원되지 않기 때문이 이 위험 노출 지표로는 권한이 있는 사용자가 레거시 사용자별 MFA를 사용하고 적용 중인지 판단할 수 없습니다.

보안 기본값과 조건부 액세스는 상호 배타적이므로 동시에 사용할 수는 없습니다. 조건부 액세스 정책은 기본 제공 Entra 역할만 타게팅할 수 있고, 관리 단위 범위의 역할과 사용자 지정 역할은 제외됩니다.

솔루션

보고된 권한이 있는 Entra 역할은 모두 MFA가 필수​여야 할당된 사용자를 자격 증명 공격에 맞서 보호하는 기능을 강화할 수 있습니다.

Microsoft Entra ID의 경우, Microsoft에서 Require MFA for administrators라는 조건부 액세스 정책 템플릿을 제공합니다. 이 템플릿은 이 위험 노출 지표에 필요한 모든 조건에 부합합니다. 이 정책을 사용하면 사용자가 MFA를 적용한 뒤에 처음 인증할 때 MFA 방식을 등록하라는 안내를 표시합니다. Tenable에서는 사용자 자산의 계정이 잠겨 액세스하지 못하는 위험을 완화하고 적절한 계획과 변경 관리를 보장하기 위해 Microsoft "조건부 액세스 배포 계획" 설명서를 따를 것을 권장합니다. 특히 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 같은 하이브리드 ID 솔루션을 사용하는 경우, 조건부 액세스 정책을 준수할 수 없기 때문에 서비스 계정을 정책에서 제외해야 합니다. "사용자 제외" 작업을 사용하여 서비스 계정을 직접 제외하거나, "디렉터리 역할" 옵션에 체크 표시한 다음 "디렉터리 동기화 계정" 역할을 선택합니다.

또는 보안 기본값을 사용하여 관리자의 MFA를 필수로 지정하여 이 목표에 부합할 수 있습니다. 여기에는 다양한 다른 Microsoft 권장 보안 기능의 활성화를 포함합니다. 이러한 변경 사항으로 인해 환경에 성능 저하 또는 의도치 않은 부작용이 발생할 가능성이 있는지 미리 철저히 평가해야 합니다.

지표 세부 정보

이름: 권한이 있는 역할에 MFA가 필수가 아님

코드명: MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

심각도: High

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: