사용한 적 없는 권한이 없는 사용자

LOW

설명

이 IoE는 Microsoft의 데이터 가용성 제한으로 인해 Microsoft Entra ID P1 또는 P2 라이선스가 없으면 작동하지 않습니다.

사용한 적 없는 사용자는 Entra ID에서 만들어졌으며 만든 이후 특정 기간(기본적으로 90일, 사용자 지정 가능)에 대하여 인증된 적이 없는 사용자 계정입니다.

이런 계정은 다음과 같은 여러 가지 이유로 공격 표면을 넓힙니다.

  • 이 계정을 사용한 적 없는 이전 직원 또는 인턴과 같이 더 이상 액세스 권한이 필요 없는 사용자에게 액세스를 허용하는 백도어 계정.
  • 기본 비밀번호를 계속 사용하여 계정이 더 큰 침해 위험에 노출됨. 예를 들어 CISA 알림에 따르면 다음과 같은 사실이 확인되었습니다.

    캠페인에서 더 이상 피해 조직에서 근무하지 않지만 계정이 시스템에 그대로 유지된 사용자가 소유한 휴면 계정을 표적으로 삼았습니다.

또한 다음과 같은 사실도 확인되었습니다.

인시던트 중에 모든 사용자에게 비밀번호 재설정이 적용된 뒤, SVR 공격자가 비활성 계정에 로그인하여 비밀번호 재설정 안내를 따랐습니다. 그 결과 공격자가 인시던트 대응 제거 활동 이후 액세스 권한을 다시 얻을 수 있었습니다.

  • 리소스(예: 라이선스) 낭비. 불필요한 사용자를 정기적으로 식별, 비활성화 또는 제거하면 조직의 리소스 할당을 최적화하고 불필요한 비용을 절감할 수 있습니다.

관련 IoE인 "휴면 사용자"도 고려해야 합니다. 이 IoE는 이전에 활성이었지만 이후 비활성이 된 모든 사용자를 식별합니다. 권한이 있는 사용자의 경우, 관련 IOE인 "사용한 적 없는 권한이 있는 사용자"도 참조하십시오.

참고:

  1. 이 IoE는 사용자 개체의 signInActivity 속성 내 lastSuccessfulSignInDateTime 속성에 의존합니다. 이 IoE는 lastSignInDateTime 속성과는 달리 로그인 실패로 인한 중단을 피하고, 성공한 로그인만 보고한다는 장점이 있습니다. lastSuccessfulSignInDateTime 속성을 2023년 12월부터 사용할 수 있게 되었습니다.
  2. signInActivity 리소스 유형에 액세스하려면 각각의 테넌트에 Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다. 그렇지 않은 경우 이 IoE는 사용한 적 없는 사용자를 탐지할 수 없고, 따라서 전체 분석을 건너뛰게 됩니다.
  3. 이 속성은 로그인한 적이 없거나 마지막 로그인이 2023년 12월 이전이었던 사용자에 대해서는 작성되지 않은 채로 유지되므로, 간격을 평가하는 데 필요한 데이터를 사용할 수 없습니다. 그 결과, Tenable Identity Exposure가 마지막 로그인 날짜를 적절히 탐지할 수 없으므로 결과적으로 오탐의 가능성이 있습니다.

솔루션

Tenable에서는 사용한 적 없는 사용자를 정기적으로 검토하고, 사용 중지하거나 삭제하도록 권장합니다. 이러한 사용자를 식별한 뒤에는 다음과 같은 작업을 수행합니다.

  1. 사용자를 사용 중지합니다.
  2. 몇 달 정도 충분히 기다리며 의도치 않은 영향이 없는지 확인합니다.
  3. 이렇게 지연한 뒤에 보고된 문제가 없고 조직 정보 보안 정책상 허용되는 경우, 삭제 처리를 진행합니다.

지표 세부 정보

이름: 사용한 적 없는 권한이 없는 사용자

코드명: NEVER-USED-NON-PRIVILEGED-USER

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: