위험 노출 지표
| 이름 | 설명 | 심각도 | Type |
|---|---|---|---|
| 사용자 주 그룹 | 사용자의 주 그룹이 변경되지 않았는지 확인합니다 | critical | |
| 위험한 Kerberos 위임 | 권한이 없는 Kerberos 위임을 확인하고 권한 있는 사용자를 이러한 위임으로부터 보호합니다. | critical | |
| 해독 가능한 비밀번호 | 해독 가능한 형식으로 비밀번호를 저장하는 옵션이 활성화되지 않도록 확인합니다. | medium | |
| GPO의 해독 가능한 비밀번호 | GPO 기본 설정이 복원 가능한 형식의 비밀번호를 허용하지 않는지 확인합니다. | medium | |
| SDProp 일관성 보장 | AdminSDHolder 개체가 원래 상태가 되도록 관리합니다. | critical | |
| KRBTGT 계정의 마지막 비밀번호 변경 | 권장 기간 이상 비밀번호를 변경하지 않은 KRBTGT 계정을 찾습니다. | high | |
| 기본 관리 그룹 멤버 | Active Directory의 기본 관리 그룹에 비정상적인 계정이 있습니다. | critical | |
| Kerberos 서비스를 실행하는 권한 있는 계정 | 보안에 영향을 미치는 Service Principal Name(SPN) 특성으로 매우 권한이 높은 계정을 탐지합니다. | critical | |
| AdminCount 특성을 일반 사용자에 설정 | 해제된 계정에서 관리하기 어려운 권한 문제를 일으킬 수 있는 adminCount 특성을 확인하십시오. | medium | |
| 휴면 계정 | 보안 위험을 일으킬 수 있는 사용하지 않는 휴면 계정을 탐지합니다. | medium | |
| 위험한 트러스트 관계 | 디렉터리 인프라의 보안을 저하하는 잘못 구성된 트러스트 관계 특성을 식별합니다. | high | |
| 만료되지 않는 비밀번호를 사용하는 계정 | userAccountControl 특성에서 동일한 비밀번호를 무한하게 사용하여 비밀번호 갱신 정책을 우회하도록 하는 DONT_EXPIRE_PASSWORD 속성 플래그가 있는 계정을 찾습니다. | medium | |
| 연결되지 않았거나 사용 중지되거나 연결이 없는 GPO | 미사용 또는 사용 중지된 GPO는 디렉터리 성능과 RSoP 연산 속도를 낮춰 보안 정책에 혼란을 줄 수 있습니다. 실수로 다시 활성화하는 경우, 기존 정책이 약화될 수 있습니다. | low | |
| 데이터에 영향을 미치는 위험한 애플리케이션 권한 | Microsoft는 Entra ID에서 API를 노출하여 타사 애플리케이션이 독자적으로 Microsoft 서비스에서 작업을 수행하도록 허용합니다(이것을 "애플리케이션 권한"이라고 함). 특정 권한은 이러한 서비스가 저장하는 사용자 데이터에 위협이 될 수 있습니다. | MEDIUM | |
| 악용 가능성이 있는 규칙을 포함한 동적 그룹 | 공격자는 자체 수정 가능한 특성을 조작해 자기 자신을 그룹 멤버로 추가하도록 허용하여 Microsoft Entra ID의 동적 그룹을 악용할 수 있습니다. 이렇게 조작하면 권한 상승이 가능해지고 해당 그룹과 연결된 중요한 리소스에 무단 액세스할 수 있게 됩니다. | MEDIUM | |
| 빈 그룹 | 빈 그룹은 혼란을 초래할 수 있고 보안을 침해하며 리소스가 사용되지 않게 합니다. 일반적으로 그룹의 명확한 용도를 정하고 그룹에 관련 멤버를 포함하는 것이 바람직합니다. | LOW | |
| 페더레이션 도메인 목록 | 악성 페더레이션 도메인 구성은 공격자가 Entra ID 테넌트의 인증 백도어로 사용하는 일반적인 위협입니다. 기존 페더레이션 도메인 또는 새로 추가된 페더레이션 도메인을 확인해야 그러한 도메인의 구성이 신뢰할 수 있고 적법한지 확인할 수 있습니다. 이 위험 노출 지표는 페더레이션 도메인과 그 관련 특성에 대한 포괄적인 목록을 제공하여 사용자가 보안 상태에 대해 정보에 기반한 결정을 내리는 데 도움이 됩니다. | LOW | |
| 알려진 페더레이션 도메인 백도어 | Microsoft Entra ID를 사용하면 페더레이션을 통해 인증을 다른 제공자에게 위임할 수 있습니다. 그렇지만 상승된 권한이 있는 공격자의 경우 자신의 악성 페더레이션된 도메인을 추가하여 이 기능을 악용할 수 있고, 그러면 지속성 및 권한 상승이 발생하게 됩니다. | CRITICAL | |
| 비밀번호 만료 적용됨 | Microsoft Entra ID 도메인에 비밀번호 만료를 적용하면 사용자가 비밀번호를 자주 변경하도록 하여 약하거나 예측하기 쉽거나 재사용된 비밀번호를 사용하는 결과를 초래해 전반적인 계정 보호를 약화하고 보안을 저해할 수 있습니다. | LOW | |
| 권한이 있는 계정 명명 규칙 | Entra ID에서 권한이 있는 사용자의 명명 규칙은 보안, 표준화 및 감사 규정 준수에 매우 중요하며 관리를 용이하게 합니다. | LOW | |
| AD와 동기화되고 권한이 있는 Entra 계정(하이브리드) | Entra ID에 권한이 있는 역할이 있고 Active Directory에서 동기화된 하이브리드 계정은 AD를 침해한 공격자가 Entra ID로 전환할 수 있게 하기 때문에 보안 위험을 초래합니다. Entra ID에서 권한이 있는 계정은 클라우드 전용 계정이어야 합니다. | HIGH | |
| 애플리케이션에 대한 무제한 사용자 동의 | Entra ID에서는 사용자가 조직의 데이터에 대한 외부 애플리케이션의 액세스 권한에 자율적으로 동의할 수 있으며 이것을 공격자가 "불법적인 동의 부여" 공격을 통해 악용할 수 있습니다. 이 문제를 방지하려면 확인된 게시자로 액세스를 제한하거나 관리자 승인을 필수로 설정합니다. | MEDIUM | |
| 확인되지 않은 도메인 | Entra ID에서 모든 사용자 지정 도메인의 소유권을 확인해야 합니다. 확인되지 않은 도메인은 임시적으로만 유지해야 합니다. 해당 도메인을 확인하거나 제거하여 도메인 목록을 잘 관리된 상태로 유지하고 효율적인 검토를 지원해야 합니다. | LOW | |
| 데이터에 영향을 미치는 위험한 위임된 권한 | Microsoft는 Entra ID에서 API를 노출하여 타사 애플리케이션이 사용자를 대신해 Microsoft 서비스에서 작업을 수행하도록 허용합니다(이것을 "위임된 권한"이라고 함). 특정 권한은 이러한 서비스가 저장하는 사용자 데이터에 위협이 될 수 있습니다. | MEDIUM | |
| Entra 보안 기본값이 사용으로 설정되지 않음 | Entra ID 보안 기본값은 사전 구성된 Microsoft 권장 설정을 제공하여 테넌트 보호를 강화합니다. | MEDIUM | |
| 일반 계정과 동등한 액세스 권한이 있는 게스트 계정 | 게스트를 일반 사용자로 간주하도록 Entra ID를 구성하면 악성 게스트가 테넌트의 리소스를 대상으로 포괄적인 정찰을 수행할 수 있으므로 바람직하지 않습니다. | HIGH | |
| MFA 등록에 관리형 장치가 필요하지 않음 | MFA 등록 시 관리형 장치를 필수로 지정하면 공격자가 자격 증명을 도용한 경우에도 관리형 장치에 대한 액세스가 없으면 비정상적 MFA를 등록하기 어렵습니다. | MEDIUM | |
| 위험한 로그인에 MFA가 필수가 아님 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례와 표준에 따르면 인증 요청의 출처가 적법한 ID 소유자가 아닌 경우처럼 위험한 로그인에는 MFA를 필수로 설정하는 것이 좋습니다. | HIGH | |
| 권한 없는 계정의 MFA 누락 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방식을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. | MEDIUM | |
| 사용한 적 없는 권한이 있는 사용자 | 사용한 적 없는 권한이 있는 사용자 계정은 방어 수단의 탐지를 피할 때가 많아 침해에 취약합니다. 또한, 이 계정은 기본 비밀번호를 사용할 가능성이 높아 공격자의 주된 표적이 됩니다. | MEDIUM | |
| M365 서비스에 액세스할 수 있는 권한이 있는 Entra 계정 | 관리 작업용 Entra 계정은 별도로 보유하는 것이 좋습니다. 하나는 일상적으로 사용할 표준 계정, 다른 하나는 관리 활동 전용인 권한이 있는 계정으로 설정하십시오. 이 접근 방식은 권한이 있는 계정의 공격 표면을 줄일 수 있습니다. | MEDIUM | |
| 보안 조치가 없는 위험한 사용자 | 위험한 사용자를 차단하여 무단 액세스와 침해 가능성을 방지합니다. 보안 모범 사례에 따르면 조건부 액세스 정책을 사용하여 취약한 계정이 Entra ID에 인증하지 못하게 하는 것이 좋습니다. | MEDIUM | |
| 제한되지 않은 게스트 계정 | 기본적으로 Entra ID의 게스트 사용자는 테넌트 내 가시성을 줄이기 위해 제한된 액세스 권한이 있지만 이러한 제한을 더욱 강화하여 보안과 개인정보 보호를 향상할 수도 있습니다. | MEDIUM | |
| 비정상적 페더레이션 서명 인증서 유효 기간 | 페더레이션 서명 인증서의 유효 기간이 비정상적으로 길면 의심스러운 사례입니다. 공격자가 Entra ID에서 상승된 권한을 얻어 페더레이션 트러스트 메커니즘을 통해 백도어를 만들었다는 의미일 가능성이 있기 때문입니다. | MEDIUM | |
| 표준 계정의 애플리케이션 등록 기능 | 기본적으로 모든 Entra 사용자는 테넌트 내에 애플리케이션을 등록할 수 있습니다. 이 기능은 편리하고 직접적인 보안 취약성은 아니지만, 몇몇 위험을 수반하는 것은 사실입니다. 따라서 Tenable에서는 모범 사례를 따라 이 기능을 사용 중지하도록 권장합니다. | LOW | |
| 멀티 테넌트 인증을 허용하는 애플리케이션 | 멀티 테넌트 인증을 허용하는 Entra 애플리케이션은 이 구성을 사용으로 설정할 때 관련 상황을 온전히 인지하지 못하거나 애플리케이션 코드 내에서 적절한 인증 검사를 구현하지 않는 경우 악성 사용자에게 무단 액세스 권한을 부여할 가능성이 있습니다. | LOW | |
| 조건부 액세스 정책이 지속적 액세스 평가를 사용 중지함 | 지속적 액세스 평가는 보안 정책 변경 또는 사용자 상태 업데이트에 신속하게 반응할 수 있게 해주는 Entra ID 보안 기능입니다. 따라서 사용 중지하지 않아야 합니다. | MEDIUM | |
| 온프레미스 환경에 대하여 비밀번호 보호 사용으로 설정 안 됨 | Microsoft Entra 비밀번호 보호는 사용자가 쉽게 추측할 수 있는 비밀번호를 설정하지 못하도록 하여 조직의 전반적인 비밀번호 보안을 강화하는 보안 기능입니다. | MEDIUM | |
| 공개 M365 그룹 | Entra ID에 저장된 Microsoft 365 그룹은 공개 또는 비공개입니다. 공개 그룹은 테넌트 내 모든 사용자가 해당 그룹에 조인하여 데이터(Teams 채팅/파일, 이메일...)에 액세스할 수 있기 때문에 보안 위험을 초래합니다. | MEDIUM | |
| Microsoft Authenticator 알림에 추가적인 컨텍스트 표시 | 가시성을 개선하려면 애플리케이션 이름과 지리적 위치 등 추가적인 컨텍스트를 표시하도록 Microsoft Authenticator 알림을 사용으로 설정합니다. 이렇게 하면 사용자가 잠재적인 악성 MFA 또는 패스워드리스 인증 요청을 식별하고 거부할 수 있어 MFA 피로 공격의 위험을 효과적으로 완화할 수 있습니다. | MEDIUM | |
| 의심스러운 AD 동기화 역할 할당 | Microsoft에서는 Active Directory 동기화를 위해 숨겨진 기본 제공 Entra ID 역할을 두 개 설계했으며, 이 역할은 Entra Connect 또는 Cloud Sync 서비스 계정 전용입니다. 이러한 역할에는 묵시적인 권한이 있으며, 이 권한을 악성 행위자가 악용해 비밀 공격을 수행할 수 있습니다. | HIGH | |
| 휴면 장치 | 휴면 장치는 오래된 구성 또는 패치되지 않은 취약성과 같은 보안 위험을 초래합니다. 이러한 오래된 장치를 정기적으로 모니터링하고 업데이트하지 않으면 잠재적 악용 대상이 되어 테넌트 무결성과 데이터 기밀성을 저해하게 됩니다. | LOW | |
| 페더레이션 서명 인증서 불일치 | Microsoft Entra ID를 사용하면 페더레이션을 통해 인증을 다른 제공자에게 위임할 수 있습니다. 하지만 상승된 권한이 있는 공격자는 악성 토큰 서명 인증서를 추가하여 이 기능을 악용할 수 있고, 그러면 지속성 및 권한 상승이 발생하게 됩니다. | HIGH | |
| 자격 증명이 있는 자사 서비스 주체 | 자사 서비스 주체에는 숨겨져 있어서 간과되지만 강력하며 Microsoft 및 이외 여럿이 소유하는 권한이 있습니다. 공격자는 여기에 자격 증명을 추가하여 권한 상승 및 지속성을 목적으로 권한을 몰래 사용해 이득을 취합니다. | HIGH | |
| 레거시 인증 차단 안 됨 | 레거시 인증 방법은 다단계 인증(MFA)을 지원하지 않아 공격자가 무차별 대입, 크리덴셜 스터핑(credential stuffing) 및 비밀번호 스프레잉 공격을 계속할 수 있습니다. | MEDIUM | |
| 인증을 위해 관리형 장치가 필요하지 않음 | 무단 액세스와 잠재적 침해를 방지하기 위해 관리형 장치를 필요로 합니다. 보안 모범 사례에 따르면 Entra ID에 대한 비관리형 장치의 인증을 차단하기 위해 조건부 액세스 정책을 사용하는 것이 좋습니다. | MEDIUM | |
| 권한이 있는 역할에 MFA가 필수가 아님 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준은 MFA를 사용으로 설정하는 것이며 특히 권한이 있는 역할이 할당된 권한이 있는 계정에 대해 사용으로 설정해야 합니다. | HIGH | |
| 사용한 적 없는 장치 | 미리 만들어 사용한 적 없는 장치 계정은 사이버 하이진이 불량하다는 사실을 나타내며 보안 위험을 발생시킬 가능성이 있으므로 사용하지 말아야 합니다. | LOW | |
| 멤버가 한 명인 그룹 | 멤버가 한 명뿐인 그룹은 중복성과 복잡성을 초래하므로 만들지 않는 것이 좋습니다. 이 그룹을 만들게 되면 레이어를 추가하여 관리를 불필요하게 복잡하게 하고, 간소화된 액세스 제어와 관리를 위해 그룹을 이용한다는 소기의 효율성이 감소합니다. | LOW | |
| 임시 액세스 패스 기능 사용으로 설정됨 | 임시 액세스 패스(TAP) 기능은 시간 제한 또는 사용 제한이 적용된 암호를 사용하는 일시적인 인증 방법입니다. TAP 기능은 정상 기능이지만, 조직에 필요하지 않다면 사용 중지해서 공격 표면을 줄이는 편이 더 안전합니다. | LOW |