사용한 적 없는 권한이 없는 사용자

사용한 적 없는 사용자란 Okta에서 만든 이후 특정 기간(기본적으로 90일, 사용자 지정 가능) 동안 Okta 대시보드에 대하여 인증된 적이 없는 사용자 계정입니다.

이런 계정은 다음과 같은 여러 가지 이유로 공격 표면을 넓힙니다.

• 이 계정을 사용한 적 없는 이전 직원 또는 인턴과 같이 더 이상 액세스 권한이 필요 없는 사용자에게 액세스를 허용하는 백도어 계정.
• 기본 비밀번호를 계속 사용하여 계정이 더 큰 침해 위험에 노출됨. 예를 들어 CISA 알림에 따르면 다음과 같은 사실이 확인되었습니다.

  캠페인에서 더 이상 피해 조직에서 근무하지 않지만 계정이 시스템에 그대로 유지된 사용자가 소유한 휴면 계정을 표적으로 삼았습니다.

또한 다음과 같은 사실도 확인되었습니다.

인시던트 중에 모든 사용자에게 비밀번호 재설정이 적용된 뒤, SVR 공격자가 비활성 계정에 로그인하여 비밀번호 재설정 안내를 따랐습니다. 그 결과 공격자가 인시던트 대응 제거 활동 이후 액세스 권한을 다시 얻을 수 있었습니다.

• 리소스(예: 라이선스) 낭비. 불필요한 사용자를 정기적으로 식별, 비활성화 또는 제거하면 조직의 리소스 할당을 최적화하고 불필요한 비용을 절감할 수 있습니다.

관련 IoE인 "휴면 사용자"도 고려해야 합니다. 이 IoE는 이전에 활성이었지만 이후 비활성이 된 모든 사용자를 식별합니다. 권한이 있는 사용자의 경우, 관련 IOE인 "사용한 적 없는 권한이 있는 사용자"도 참조하십시오.

참고: 이 IOE는 lastLogin 속성에 의존하며, [알려진 한도]가 있습니다.(https://support.okta.com/help/s/article/the-user-s-last-login-did-not-update?language=en_US) Okta는 사용자가 Okta 대시보드에 액세스할 때만 이 값을 업데이트합니다. 따라서 사용자가 애플리케이션에 직접 액세스하고 Okta에는 인증을 위해 잠시 리디렉션되는 경우와 같은 SP 시작 인증의 경우, 이 속성을 업데이트하지 않습니다. 그렇기 때문에 이 IOE는 Okta 대시보드에 액세스한 적이 없지만 애플리케이션에는 인증된 사용자에 대하여 오탐을 보고할 수 있습니다. Okta에서 해결 방법을 문서화했지만, 이 방법은 현재 Tenable Identity Exposure와 호환되지 않습니다. 따라서 이러한 오탐은 수동으로 제외해야 합니다.

Tenable에서는 이렇게 사용한 적 없는 사용자를 정기적으로 검토하고, 사용 중지하거나 삭제하도록 권장합니다. 이러한 사용자를 식별한 뒤에는 다음과 같은 작업을 수행합니다.

1. 사용자를 사용 중지합니다.
2. 몇 달 정도 충분히 기다리며 의도치 않은 영향이 없는지 확인합니다.
3. 이렇게 지연한 뒤에 보고된 문제가 없고 조직 정보 보안 정책상 허용되는 경우, 삭제 처리를 진행합니다.

이름: 사용한 적 없는 권한이 없는 사용자

코드명: NEVER-USED-NON-PRIVILEGED-USER-OKTA

심각도: Low

유형: Okta Indicator of Exposure