위험 노출 지표
| 이름 | 설명 | 심각도 | Type |
|---|---|---|---|
| 사용한 적 없는 권한이 있는 사용자 | 사용한 적 없는 권한이 있는 사용자 계정은 방어 수단의 탐지를 피할 때가 많아 침해에 취약합니다. 또한 해당 계정의 기본 비밀번호는 공격자의 주요 표적입니다. | MEDIUM | |
| 표준 계정의 애플리케이션 등록 기능 | 기본적으로 모든 Entra 사용자는 테넌트 내에 애플리케이션을 등록할 수 있습니다. 이 기능은 편리하고 직접적인 보안 취약성은 아니지만, 몇몇 위험을 수반하는 것은 사실입니다. 따라서 Tenable에서는 모범 사례를 따라 이 기능을 사용 중지하도록 권장합니다. | LOW | |
| 일반 계정과 동등한 액세스 권한이 있는 게스트 계정 | 게스트를 일반 사용자로 간주하도록 Entra ID를 구성하면 악성 게스트가 테넌트의 리소스를 대상으로 포괄적인 정찰을 수행할 수 있으므로 바람직하지 않습니다. | HIGH | |
| 레거시 인증 차단 안 됨 | 레거시 인증 방법은 다단계 인증(MFA)을 지원하지 않아 공격자가 무차별 대입, 크리덴셜 스터핑(credential stuffing) 및 비밀번호 스프레잉 공격을 계속할 수 있습니다. | MEDIUM | |
| MFA 등록에 관리형 장치가 필요하지 않음 | MFA 등록 시 관리형 장치를 필수로 지정하면 공격자가 자격 증명을 도용한 경우에도 관리형 장치에 대한 액세스가 없으면 비정상적 MFA를 등록하기 어렵습니다. | MEDIUM | |
| 비밀번호 만료 적용됨 | Microsoft Entra ID 도메인에 비밀번호 만료를 적용하면 사용자가 비밀번호를 자주 변경하도록 하여 약하거나 예측하기 쉽거나 재사용된 비밀번호를 사용하는 결과를 초래해 전반적인 계정 보호를 약화하고 보안을 저해할 수 있습니다. | LOW | |
| 온프레미스 환경에 대하여 비밀번호 보호 사용으로 설정 안 됨 | Microsoft Entra 비밀번호 보호는 사용자가 쉽게 추측할 수 있는 비밀번호를 설정하지 못하도록 하여 조직의 전반적인 비밀번호 보안을 강화하는 보안 기능입니다. | MEDIUM | |
| 취약한 비밀번호 정책 - 최소 사용 기간 | 비밀번호 최소 사용 기간이 짧은 비밀번호 정책에서는 이전에 사용한 비밀번호를 돌아가면서 사용하도록 허용하여 사용자가 유출 가능성이 있는 자격 증명을 다시 사용할 수 있습니다. | LOW | |
| 페더레이션 도메인 목록 | 악성 페더레이션 도메인 구성은 공격자가 Entra ID 테넌트의 인증 백도어로 사용하는 일반적인 위협입니다. 기존 페더레이션 도메인 또는 새로 추가된 페더레이션 도메인을 확인해야 그러한 도메인의 구성이 신뢰할 수 있고 적법한지 확인할 수 있습니다. 이 위험 노출 지표는 페더레이션 도메인과 그 관련 특성에 대한 포괄적인 목록을 제공하여 사용자가 보안 상태에 대해 정보에 기반한 결정을 내리는 데 도움이 됩니다. | LOW | |
| 알려진 페더레이션 도메인 백도어 | Microsoft Entra ID를 사용하면 페더레이션을 통해 인증을 다른 제공자에게 위임할 수 있습니다. 그렇지만 상승된 권한이 있는 공격자의 경우 자신의 악성 페더레이션된 도메인을 추가하여 이 기능을 악용할 수 있고, 그러면 지속성 및 권한 상승이 발생하게 됩니다. | CRITICAL | |
| 권한 없는 계정의 MFA 누락 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방식을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. | MEDIUM | |
| 공개 M365 그룹 | Entra ID에 저장된 Microsoft 365 그룹은 공개 또는 비공개입니다. 공개 그룹은 테넌트 내 모든 사용자가 해당 그룹에 조인하여 데이터(Teams 채팅/파일, 이메일...)에 액세스할 수 있기 때문에 보안 위험을 초래합니다. | MEDIUM | |
| 의심스러운 "디렉터리 동기화 계정" 역할 할당 | "디렉터리 동기화 계정"은 Azure 및 Entra ID 포털 내부에 숨겨진 권한 있는 Entra 역할이며 보통 Microsoft Entra Connect(이전의 Azure AD Connect) 서비스 계정용으로 지정되어 있습니다. 하지만 악성 행위자가 비밀 공격 목적으로 이 역할을 악용할 수 있습니다. | HIGH | |
| 임시 액세스 패스 기능 사용으로 설정됨 | 임시 액세스 패스(TAP) 기능은 시간 제한 또는 사용 제한이 적용된 암호를 사용하는 일시적인 인증 방법입니다. TAP 기능은 정상 기능이지만, 조직에 필요하지 않다면 사용 중지해서 공격 표면을 줄이는 편이 더 안전합니다. | LOW | |
| 확인되지 않은 도메인 | Entra ID에서 모든 사용자 지정 도메인의 소유권을 확인해야 합니다. 확인되지 않은 도메인은 임시적으로만 유지해야 합니다. 해당 도메인을 확인하거나 제거하여 도메인 목록을 잘 관리된 상태로 유지하고 효율적인 검토를 지원해야 합니다. | LOW | |
| 자격 증명이 있는 자사 서비스 주체 | 자사 서비스 주체에는 숨겨져 있어서 간과되지만 강력하며 Microsoft 및 이외 여럿이 소유하는 권한이 있습니다. 공격자는 여기에 자격 증명을 추가하여 권한 상승 및 지속성을 목적으로 권한을 몰래 사용해 이득을 취합니다. | HIGH | |
| 권한이 있는 역할에 MFA가 필수가 아님 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준은 MFA를 사용으로 설정하는 것이며 특히 권한이 있는 역할이 할당된 권한이 있는 계정에 대해 사용으로 설정해야 합니다. | HIGH | |
| 권한 있는 역할이 있는 게스트 계정 | 게스트 계정은 외부 ID이며 이 계정에 권한 있는 역할이 할당되면 보안 위험을 초래할 수 있습니다. 이렇게 하면 조직 외부인에게 테넌트 내의 상당한 권한을 부여하게 됩니다. | HIGH |