위험 노출 지표
| 이름 | 설명 | 심각도 | Type |
|---|---|---|---|
| 위험한 Kerberos 위임 | 권한이 없는 Kerberos 위임을 확인하고 권한 있는 사용자를 이러한 위임으로부터 보호합니다. | critical | |
| 해독 가능한 비밀번호 | 해독 가능한 형식으로 비밀번호를 저장하는 옵션이 활성화되지 않도록 확인합니다. | medium | |
| GPO의 해독 가능한 비밀번호 | GPO 기본 설정이 복원 가능한 형식의 비밀번호를 허용하지 않는지 확인합니다. | medium | |
| SDProp 일관성 보장 | AdminSDHolder 개체가 원래 상태가 되도록 관리합니다. | critical | |
| KRBTGT 계정의 마지막 비밀번호 변경 | 권장 기간 이상 비밀번호를 변경하지 않은 KRBTGT 계정을 찾습니다. | high | |
| 기본 관리 그룹 멤버 | Active Directory의 기본 관리 그룹에 비정상적인 계정이 있습니다. | critical | |
| Kerberos 서비스를 실행하는 권한 있는 계정 | 보안에 영향을 미치는 Service Principal Name(SPN) 특성으로 매우 권한이 높은 계정을 탐지합니다. | critical | |
| AdminCount 특성을 일반 사용자에 설정 | 해제된 계정에서 관리하기 어려운 권한 문제를 일으킬 수 있는 adminCount 특성을 확인하십시오. | medium | |
| 휴면 계정 | 보안 위험을 일으킬 수 있는 사용하지 않는 휴면 계정을 탐지합니다. | medium | |
| 위험한 트러스트 관계 | 디렉터리 인프라의 보안을 저하하는 잘못 구성된 트러스트 관계 특성을 식별합니다. | high | |
| 만료되지 않는 비밀번호를 사용하는 계정 | userAccountControl 특성에서 동일한 비밀번호를 무한하게 사용하여 비밀번호 갱신 정책을 우회하도록 하는 DONT_EXPIRE_PASSWORD 속성 플래그가 있는 계정을 찾습니다. | medium | |
| 연결되지 않았거나 사용 중지되거나 연결이 없는 GPO | 미사용 또는 사용 중지된 GPO는 디렉터리 성능과 RSoP 연산 속도를 낮춰 보안 정책에 혼란을 줄 수 있습니다. 실수로 다시 활성화하는 경우, 기존 정책이 약화될 수 있습니다. | low | |
| 빈 Entra 그룹 | 빈 그룹은 혼란을 초래할 수 있고 보안을 침해하며 리소스가 사용되지 않게 합니다. 일반적으로 그룹의 명확한 용도를 정하고 그룹에 관련 멤버를 포함하는 것이 바람직합니다. | LOW | |
| 사용한 적 없는 장치 | 미리 만들어 사용한 적 없는 장치 계정은 사이버 하이진이 불량하다는 사실을 나타내며 보안 위험을 발생시킬 가능성이 있으므로 사용하지 말아야 합니다. | LOW | |
| AD와 동기화되고 권한이 있는 Entra 계정(하이브리드) | Entra ID에 권한 있는 역할이 있고 Active Directory에서 동기화된 하이브리드 계정은 AD를 침해한 공격자가 Entra ID로 전환할 수 있게 하기 때문에 보안 위험을 초래합니다. Entra ID에서 권한 있는 계정은 클라우드 전용 계정이어야 합니다. | HIGH | |
| 애플리케이션에 대한 관리자 동의 워크플로가 구성되지 않음 | Entra ID의 관리자 동의 워크플로를 사용하면 관리자가 아닌 사용자가 구조적인 승인 프로세스를 통해 애플리케이션 권한을 요청할 수 있습니다. 이 워크플로를 구성하지 않은 경우, 애플리케이션에 액세스를 시도하는 사용자가 동의를 요청할 방법이 없어 오류가 발생할 수 있습니다. | MEDIUM | |
| 보안 조치가 없는 위험한 사용자 | 위험한 사용자를 차단하여 무단 액세스와 침해 가능성을 방지합니다. 보안 모범 사례에 따르면 조건부 액세스 정책을 사용하여 취약한 계정이 Entra ID에 인증하지 못하게 하는 것이 좋습니다. | MEDIUM | |
| 취약한 비밀번호 정책 - 최소 길이 | 최소 길이가 짧은 비밀번호 정책은 사용자가 짧고 쉽게 추측할 수 있는 비밀번호를 만들도록 허용하여 유출 위험이 커집니다. | HIGH | |
| 취약한 비밀번호 정책 - 비밀번호 기록 | 비밀번호 기록 수가 적은 비밀번호 정책에서는 사용자가 유출 가능성이 있는 비밀번호를 다시 사용하도록 허용합니다. | MEDIUM | |
| 조건부 액세스 정책이 지속적 액세스 평가를 사용 중지함 | 지속적 액세스 평가는 보안 정책 변경 또는 사용자 상태 업데이트에 신속하게 반응할 수 있게 해주는 Entra ID 보안 기능입니다. 따라서 사용 중지하지 않아야 합니다. | MEDIUM | |
| 페더레이션 서명 인증서 불일치 | Microsoft Entra ID를 사용하면 페더레이션을 통해 인증을 다른 제공자에게 위임할 수 있습니다. 하지만 상승된 권한이 있는 공격자는 악성 토큰 서명 인증서를 추가하여 이 기능을 악용할 수 있고, 그러면 지속성 및 권한 상승이 발생하게 됩니다. | HIGH | |
| 관리자 수가 많음 | 관리자는 상승된 권한을 보유하고 있으며 관리자 수가 많으면 공격 표면이 넓어지기 때문에 보안 위험이 발생할 수 있습니다. 이것은 또한 최소 권한 원칙이 지켜지지 않고 있다는 신호입니다. | HIGH | |
| 애플리케이션에 대한 무제한 사용자 동의 | Entra ID에서는 사용자가 조직의 데이터에 대한 외부 애플리케이션의 액세스 권한에 자율적으로 동의할 수 있으며 이것을 공격자가 "불법적인 동의 부여" 공격을 통해 악용할 수 있습니다. 이 문제를 방지하려면 확인된 게시자로 액세스를 제한하거나 관리자 승인을 필수로 설정합니다. | MEDIUM | |
| 비정상적 페더레이션 서명 인증서 유효 기간 | 페더레이션 서명 인증서의 유효 기간이 비정상적으로 길면 의심스러운 사례입니다. 공격자가 Entra ID에서 상승된 권한을 얻어 페더레이션 트러스트 메커니즘을 통해 백도어를 만들었다는 의미일 가능성이 있기 때문입니다. | MEDIUM | |
| 취약한 비밀번호 정책 - 일반적인 암호 | 일반적인 비밀번호를 허용하는 비밀번호 정책에서는 사용자가 취약하고 추측하기 쉬운 자격 증명을 선택할 수 있으므로 유출 위험이 커집니다. | HIGH | |
| 테넌트에 영향을 미치는 위험한 애플리케이션 권한 | Microsoft는 Entra ID에서 API를 노출하여 타사 애플리케이션이 독자적으로 Microsoft 서비스에서 작업을 수행하도록 허용합니다(이것을 "애플리케이션 권한"이라고 함). 특정 권한은 Microsoft Entra 테넌트 전체에 심각한 위협이 될 수 있습니다. | HIGH | |
| 권한이 있는 휴면 사용자 | 권한이 있는 휴면 사용자는 공격자가 무단 액세스에 악용할 수 있기 때문에 보안 위험을 초래합니다. 이러한 오래된 사용자를 정기적으로 모니터링하고 비활성화하지 않으면 공격 표면이 넓어져 악성 활동이 침투할 잠재적 진입 지점이 발생합니다. | MEDIUM | |
| 권한 있는 사용자 지정 역할 | Okta의 사용자 지정 역할에 권한이 포함된 경우 보안 문제를 초래할 수 있습니다. | LOW | |
| 인증을 위해 관리형 장치가 필요하지 않음 | 무단 액세스와 잠재적 침해를 방지하기 위해 관리형 장치를 필요로 합니다. 보안 모범 사례에 따르면 Entra ID에 대한 비관리형 장치의 인증을 차단하기 위해 조건부 액세스 정책을 사용하는 것이 좋습니다. | MEDIUM | |
| 데이터에 영향을 미치는 위험한 애플리케이션 권한 | Microsoft는 Entra ID에서 API를 노출하여 타사 애플리케이션이 독자적으로 Microsoft 서비스에서 작업을 수행하도록 허용합니다(이것을 "애플리케이션 권한"이라고 함). 특정 권한은 이러한 서비스가 저장하는 사용자 데이터에 위협이 될 수 있습니다. | MEDIUM | |
| 권한이 없는 휴면 사용자 | 권한이 없는 휴면 사용자는 공격자가 무단 액세스에 악용할 수 있기 때문에 보안 위험을 초래합니다. 이러한 오래된 사용자를 정기적으로 모니터링하고 비활성화하지 않으면 공격 표면이 넓어져 악성 활동이 침투할 잠재적 진입 지점이 발생합니다. | LOW | |
| 권한 있는 계정의 MFA 누락 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따르면 특히 권한 있는 계정에는 MFA를 사용하는 것이 좋습니다. MFA 방식을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. | HIGH | |
| 사용한 적 없는 권한이 없는 사용자 | 사용한 적 없는 권한이 없는 사용자는 방어 수단의 탐지를 피할 때가 많아 침해에 취약합니다. 또한 해당 계정의 기본 비밀번호는 공격자의 주요 표적입니다. | LOW | |
| 권한 있는 계정 명명 규칙 | Entra ID에서 권한이 있는 사용자의 명명 규칙은 보안, 표준화 및 감사 규정 준수에 매우 중요하며 관리를 용이하게 합니다. | LOW | |
| 멤버가 한 명인 Entra 그룹 | 멤버가 한 명뿐인 그룹은 중복성과 복잡성을 초래하므로 만들지 않는 것이 좋습니다. 이 그룹을 만들게 되면 레이어를 추가하여 관리를 불필요하게 복잡하게 하고, 간소화된 액세스 제어와 관리를 위해 그룹을 이용한다는 소기의 효율성이 감소합니다. | LOW | |
| API 토큰이 있는 사용자 | 사용자에게 API 토큰이 있는 경우, 이 토큰을 사용하여 Okta API를 통해 자신을 대신해 작업을 수행할 수 있습니다. 불법 토큰을 사용하는 경우 권한이 없는 액세스 또는 데이터 노출을 초래할 수 있습니다. | LOW | |
| 인증 방법 마이그레이션 완료되지 않음 | "인증 방법" 정책으로 마이그레이션하면 Microsoft Entra ID의 인증 관리가 간편해지고 최신화됩니다. 이렇게 전환하면 관리가 간단해지고 보안이 강화되며 최신 인증 방법이 지원됩니다. 레거시 정책의 사용 중단으로 인한 차질이 발생하지 않게 하려면 2025년 9월까지 마이그레이션을 완료하십시오. | MEDIUM | |
| 악용 가능성이 있는 규칙을 포함한 동적 그룹 | 공격자는 자체 수정 가능한 특성을 조작해 자기 자신을 그룹 멤버로 추가하도록 허용하여 Microsoft Entra ID의 동적 그룹을 악용할 수 있습니다. 이렇게 조작하면 권한 상승이 가능해지고 해당 그룹과 연결된 중요한 리소스에 무단 액세스할 수 있게 됩니다. | MEDIUM | |
| Entra 보안 기본값이 사용으로 설정되지 않음 | Entra ID 보안 기본값은 사전 구성된 Microsoft 권장 설정을 제공하여 테넌트 보호를 강화합니다. | MEDIUM | |
| Microsoft Authenticator 알림에 추가적인 컨텍스트 표시 | 가시성을 개선하려면 애플리케이션 이름과 지리적 위치 등 추가적인 컨텍스트를 표시하도록 Microsoft Authenticator 알림을 사용으로 설정합니다. 이렇게 하면 사용자가 잠재적인 악성 MFA 또는 패스워드리스 인증 요청을 식별하고 거부할 수 있어 MFA 피로 공격의 위험을 효과적으로 완화할 수 있습니다. | MEDIUM | |
| 제한되지 않은 게스트 계정 | 기본적으로 Entra ID의 게스트 사용자는 테넌트 내 가시성을 줄이기 위해 제한된 액세스 권한이 있지만 이러한 제한을 더욱 강화하여 보안과 개인정보 보호를 향상할 수도 있습니다. | MEDIUM | |
| 멀티 테넌트 인증을 허용하는 애플리케이션 | 멀티 테넌트 인증을 허용하는 Entra 애플리케이션은 이 구성을 사용으로 설정할 때 관련 상황을 온전히 인지하지 못하거나 애플리케이션 코드 내에서 적절한 인증 검사를 구현하지 않는 경우 악성 사용자에게 무단 액세스 권한을 부여할 가능성이 있습니다. | LOW | |
| 위험한 로그인에 MFA가 필수가 아님 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례와 표준에 따르면 인증 요청의 출처가 적법한 ID 소유자가 아닌 경우처럼 위험한 로그인에는 MFA를 필수로 설정하는 것이 좋습니다. | HIGH | |
| M365 서비스에 액세스할 수 있는 권한 있는 Entra 계정 | 관리 작업용 Entra 계정은 별도로 보유하는 것이 좋습니다. 하나는 일상적으로 사용할 표준 계정, 다른 하나는 관리 활동 전용인 권한 있는 계정으로 설정하십시오. 이 접근 방식은 권한 있는 계정의 공격 표면을 줄일 수 있습니다. | MEDIUM | |
| 장치를 조인할 수 있는 사용자 | 모든 사용자가 Entra 테넌트에 무제한으로 장치를 조인할 수 있도록 허용하면 위협 행위자가 조직의 ID 시스템에 비정상적인 장치를 심어 추가 침해의 가능성을 제공할 수 있습니다. | LOW | |
| 취약한 비밀번호 정책 - 잠금 임계값 | 잠금 임계값이 높은 비밀번호 정책은 공격자가 계정을 잠그기 전에 무차별 대입 공격을 시도하도록 허용할 수 있습니다. | HIGH | |
| 데이터에 영향을 미치는 위험한 위임된 권한 | Microsoft는 Entra ID에서 API를 노출하여 타사 애플리케이션이 사용자를 대신해 Microsoft 서비스에서 작업을 수행하도록 허용합니다(이것을 "위임된 권한"이라고 함). 특정 권한은 이러한 서비스가 저장하는 사용자 데이터에 위협이 될 수 있습니다. | MEDIUM | |
| 테넌트에 영향을 미치는 위험한 위임된 권한 | Microsoft는 Entra ID에서 API를 노출하여 타사 애플리케이션이 사용자를 대신해 Microsoft 서비스에서 작업을 수행하도록 허용합니다(이것을 "위임된 권한"이라고 함). 특정 권한은 Microsoft Entra 테넌트 전체에 심각한 위협이 될 수 있습니다. | HIGH | |
| 사용 중지된 계정이 권한 있는 역할에 할당됨 | 적절한 계정 관리 프로세스를 갖추려면 권한 있는 역할에 대한 할당 내용을 모니터링해야 합니다. | LOW | |
| 휴면 장치 | 휴면 장치는 오래된 구성 또는 패치되지 않은 취약성과 같은 보안 위험을 초래합니다. 이러한 오래된 장치를 정기적으로 모니터링하고 업데이트하지 않으면 잠재적 악용 대상이 되어 테넌트 무결성과 데이터 기밀성을 저해하게 됩니다. | LOW |