권한이 있는 휴면 사용자

휴면 사용자는 정해진 기간(기본적으로 90일이며 옵션을 통해 사용자 지정할 수 있음) 동안 로그인을 완료한 적 없이 비활성으로 유지된 사용자 계정을 말합니다.

휴면 사용자는 다음과 같은 보안 위험과 운영 문제를 초래할 수 있습니다.

• 계정의 비밀번호가 약하거나 변경되지 않은 경우, 침해하기 쉬워져 공격자의 잠재적 표적이 됩니다. 예를 들어 CISA 알림에 따르면 다음과 같은 사실이 확인되었습니다.

캠페인에서 더 이상 피해 조직에서 근무하지 않지만 계정이 시스템에 그대로 유지된 사용자가 소유한 휴면 계정을 표적으로 삼았습니다.

• 잠재적 취약성을 만들어 조직의 공격 표면이 증가합니다. 예를 들어 앞서 언급한 CISA 알림에 따르면 다음과 같은 사실이 확인되었습니다.

인시던트 중에 모든 사용자에게 비밀번호 재설정이 적용된 뒤, SVR 공격자가 비활성 계정에 로그인하여 비밀번호 재설정 안내를 따랐습니다. 그 결과 공격자가 인시던트 대응 제거 활동 이후 액세스 권한을 다시 얻을 수 있었습니다.

• 더 이상 액세스 권한이 필요하지 않은 사용자(이 계정을 사용한 적이 없는 이전 직원 또는 인턴 등)에게 액세스 권한을 제공합니다.
• 리소스(예: 라이선스) 낭비. 휴면 사용자를 정기적으로 식별하거나 비활성화하거나 제거하면 조직에서 리소스 할당을 최적화하고 불필요한 비용을 절감할 수 있습니다.

미리 만들었지만 사용된 적이 없는 모든 사용자를 식별하는 관련 IoE "사용한 적 없는 권한이 있는 사용자"도 고려하십시오. 권한이 있는 사용자의 위험이 더 큽니다. 권한이 없는 사용자의 경우, 관련 IOE인 "휴면 권한이 없는 사용자"도 참조하십시오.

참고: 이 IOE는 lastLogin 속성에 의존하며, [알려진 한도]가 있습니다.(https://support.okta.com/help/s/article/the-user-s-last-login-did-not-update?language=en_US) Okta는 사용자가 Okta 대시보드에 액세스할 때만 이 값을 업데이트합니다. 따라서 사용자가 애플리케이션에 직접 액세스하고 Okta에는 인증을 위해 잠시 리디렉션되는 경우와 같은 SP 시작 인증의 경우, 이 속성을 업데이트하지 않습니다. 그렇기 때문에 이 IOE는 Okta 대시보드에 액세스한 적이 없지만 애플리케이션에는 인증된 사용자에 대하여 오탐을 보고할 수 있습니다. Okta에서 해결 방법을 문서화했지만, 이 방법은 현재 Tenable Identity Exposure와 호환되지 않습니다. 따라서 이러한 오탐은 수동으로 제외해야 합니다.

Tenable에서는 휴면 사용자를 정기적으로 검토하고, 특히 권한이 있는 사용자를 위주로 사용 중지하거나 삭제하도록 권장합니다. 이러한 사용자를 식별한 뒤에는 다음과 같은 작업을 수행합니다.

1. 사용자를 사용 중지합니다.
2. 몇 달 정도 충분히 기다리며 의도치 않은 영향이 없는지 확인합니다.
3. 이렇게 지연한 뒤에 보고된 문제가 없고 조직 정보 보안 정책상 허용되는 경우, 삭제 처리를 진행합니다.

이름: 권한이 있는 휴면 사용자

코드명: DORMANT-PRIVILEGED-USER-OKTA

심각도: Medium

유형: Okta Indicator of Exposure