권한 있는 계정의 MFA 누락
High
언어:
설명
다단계 인증(MFA) 또는 이전의 2단계 인증(2FA)은 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따르면 특히 권한 있는 계정에는 MFA를 사용하는 것이 좋습니다. 공격자가 어떤 방법으로든 권한 있는 사용자의 비밀번호를 획득하면 MFA가 모바일 애플리케이션의 시간 만료 코드, 실물 토큰, 생체 인식 기능 등 추가적인 단계를 요청하여 인증을 차단합니다.
이 위험 노출 지표는 계정에 MFA 방식이 등록되어 있지 않거나 사용자가 방법을 등록하지 않고 MFA를 적용하는 경우(이렇게 하면 비밀번호를 손에 넣은 공격자가 직접 MFA 방식을 등록해 보안 위험을 발생시킬 수 있음) 알림을 보냅니다. 그렇지만 조건부 액세스 정책이 동적 기준에 따라 MFA를 필요로 할 수 있으므로 이 위험 노출 지표는 Microsoft Entra ID가 MFA를 적용하는지 여부에 대해서는 보고할 수 없습니다.
권한 없는 계정의 경우, 관련 IOE "권한 없는 계정의 MFA 누락"도 참조하십시오.
솔루션
보고된 권한 있는 사용자는 모두 MFA 방식을 등록하고 MFA를 적용하여 비밀번호 공격에 맞서 보호를 강화해야 합니다.
Microsoft Entra ID의 경우, Microsoft에서 Require MFA for administrators라는 조건부 액세스 정책 템플릿을 제공합니다. 이 정책을 사용하면 사용자가 MFA를 적용하고 나서 처음 인증하려 할 때 MFA 방식을 등록하라고 안내를 표시합니다. Microsoft 설명서 "조건부 액세스 배포 계획"을 따르는 것이 좋습니다.
권한 있는 비상 액세스 계정을 한두 개 설정하도록 계획하는 것이 좋습니다. Microsoft 설명서 "Microsoft Entra ID에서 비상 액세스 계정 관리"에서 권장하는 것과 같이 일반 관리 계정과 다른 MFA 방식을 사용하십시오.