전 직원 계정의 신원 위험 완화

조직이 직면한 가장 큰 보안 약점 중 하나는 직원입니다. 이는 기분 좋은 일이 아니지만 우리가 받아들여야 할 현실이다. 실수를 하면 공격자에게 문이 열립니다. 이는 문제를 다룰 때 더욱 그렇습니다. 사용자 계정 이전 직원의.

이전 직원의 계정과 관련된 주요 위험은 불만을 품은 이전 직원이 자신의 자격 증명을 악의적으로 사용할 가능성에 있다는 것은 일반적인 오해입니다. 내부자 위협이 상당한 위험을 초래하더라도 종종 간과되는 또 다른 위험이 있습니다. 바로 외부 공격자가 모니터링되지 않는 계정을 손상시키는 것입니다.

많은 경우 이러한 계정은 과거 고용의 잊혀진 유물이 되어 직원이 새로운 기회로 이동함에 따라 확인되지 않고 모니터링되지 않는 상태로 남아 있습니다. 이러한 방치가 사이버범죄자들의 매력적인 표적이 되는 이유입니다.

전직 직원 계정의 일반적인 문제와 위험

공격자는 일반적으로 '탈퇴자'라고 알려진 이러한 비활성 계정이나 오래된 사용자 계정이 조직의 보안 조치에서 간과되는 경우가 많다는 사실을 알고 있습니다. 대부분의 IT 팀은 이러한 계정 권한과 중요한 리소스에 대한 액세스 권한을 제거하지만 항상 그런 것은 아닙니다.

직원이 악의적인 행동을 할 수 있다고는 결코 상상하고 싶지 않지만, 퇴사자의 액세스 권한을 취소하지 않으면 민감한 회사 정보가 오용되고 유출될 수 있는 가능성이 열려 있습니다. 또한 느린 계정은 비밀번호 사용 측면에서 위험을 초래할 수 있다는 점에 유의하는 것이 중요합니다. 활성 탈퇴자의 계정이 중복되거나 안전하지 않은 비밀번호를 사용하는 경우 제3자가 조직에 쉽게 접근할 수 있습니다.

이전 직원은 재직 기간으로 인해 여전히 높은 액세스 권한과 사용 권한을 보유할 수 있으므로 공격자는 해당 직원이 환경에서 발판을 마련하는 데 도움을 줄 수 있는 매력적인 표적을 갖게 됩니다. 민감한 데이터에 접근하든, 중요한 시스템에 침투하든, 아니면 공격을 시작하든 상관없습니다. 측면 운동 네트워크 내에서 이러한 간과된 계정을 손상시키는 것은 심각한 피해를 초래할 가능성이 있습니다.

가장 일반적인 예는 해고된 최고 관리자의 경우입니다. 해당 사용자 계정은 가장 중요한 리소스에 액세스할 수 있지만 IT는 계정 연결을 끊거나 권한 있는 액세스를 제거하지 않습니다.

실제 사례: 위협 행위자가 전 직원 계정을 활용하여 주 정부 시스템을 침해했습니다.

이에 따르면 사이버 보안 및 인프라 보안 기관 (CISA), 위협 행위자는 전직 직원의 관리 로그인 자격 증명을 사용하여 미국 정부 기관의 네트워크에 액세스했습니다. 공격자는 손상된 자격 증명을 사용하여 내부 VPN 및 온프레미스 환경에 액세스하고 도메인 컨트롤러에서 LDAP 쿼리를 실행할 수 있었습니다.

CISA가 이름을 밝히지 않은 이 조직은 위협 행위자가 환경과 리소스를 분석할 수 있도록 허용했던 전직 직원의 계정을 제거하지 못했습니다. 자격 증명을 통해 두 개의 가상화된 서버, SharePoint 및 직원의 워크스테이션에 대한 액세스가 허용되었습니다. 두 번째 직원의 자격 증명은 SharePoint 서버에서 추출되어 온프레미스 인증에 사용되었습니다. Active Directory 및 Entra ID (하늘빛 광고) 이를 통해 관리 액세스 권한을 얻습니다.

두 가상화된 서버 모두 오프라인 상태가 되었으며 사용자 계정이 비활성화되었습니다. 두 번째로 손상된 계정의 자격 증명을 변경하는 것 외에도 피해자 조직은 관리 권한도 제거했습니다. 또한 CISA는 관리 계정 중 어느 것도 MFA 사용하도록 설정되었습니다.

이 예에서 알 수 있듯이 공격자를 상대할 때는 IT 보안 전략 전반에 걸쳐 모범 사례를 따르는 것만으로는 충분하지 않습니다. 이전 직원의 계정을 보호하기 위해 충분한 조치를 취했다고 가정하는 대신 이러한 계정의 안전을 보장하는 수단으로 액세스를 거부하는 보다 구체적인 신원 보안 제어를 추가하는 것이 가장 좋습니다.

방법 Silverfort 이전 직원 계정을 보호합니다

Silverfort 이를 통해 ID 팀은 자신의 환경에서 이전 직원 계정을 쉽게 검색하고 삭제하거나 권한을 제거할 수 있습니다. Silverfort 1년 이상 사용하지 않은 계정을 '부실 사용자'로 분류합니다. 와 함께 Silverfort 오래된 사용자에 대한 완전하고 지속적인 가시성을 확보하고 이러한 사용자 계정에 대한 액세스 차단 정책을 시행하는 등 적절한 보안 조치를 적용할 수 있습니다.

이것이 정확히 어떻게 수행되는지 봅시다. Silverfort의 콘솔:

오래된 사용자에 대한 가시성

Silverfort 오래된 사용자 계정을 포함하여 환경의 모든 계정을 자동으로 검색하고 모든 사용자 활동에 대한 실시간 가시성을 제공합니다. 이를 통해 비정상적인 동작을 보이는 계정의 액세스를 차단하는 등 잠재적인 보안 위협을 탐지하고 대응할 수 있습니다.

In Silverfort의 Insights 화면에서는 환경의 사용자 및 리소스 유형과 보안 약점을 표시하는 심층적인 ID 인벤토리를 볼 수 있습니다. 사용자 및 비밀번호에서 환경의 오래된 사용자 전체 목록을 찾을 수 있습니다. Silverfort 오래된 사용자 계정의 공통 속성을 기준으로 이러한 계정을 감지하고 분류합니다.

오래된 사용자 공간을 클릭하면 해당 계정에 대한 전체 세부 정보를 보여주는 창이 열립니다. 이제 이러한 오래된 사용자의 이름이 있으므로 해당 IdP에서 해당 사용자를 찾아 해당 권한을 제거하거나 완전히 삭제하거나 사용자 계정에 액세스 거부 정책을 적용할 수 있습니다.

거부의 힘

전직 직원 사용자 계정으로 인해 더 이상 보안 위험이 발생하지 않도록 보다 사전 예방적으로 접근하려면 '퇴사자' 액세스 거부 정책을 만드는 것이 좋습니다. 이렇게 하면 악의적인 행위자가 사용자 환경의 모든 항목에 액세스하기 위해 오래된 계정을 구성하는 경우 자동으로 액세스가 거부됩니다.

In Silverfort의 정책 화면에서 새 정책을 만듭니다. IdP를 다음과 같이 확인하세요. 인증 유형, 다음 중 하나를 확인하세요. 케르베로스/NTLM or LDAP, 필요에 따라. 선택하다 정적 기반 정책 유형 및 사용자 및 그룹, 이는 퇴사자 그룹 또는 퇴사하거나 퇴사한 직원에 대해 사용하는 유사한 이름에 할당되어야 합니다. 다음으로 아래 동작, 선택 거부합니다.

이 정책을 활성화하면 이 정책이 할당된 모든 계정에 대한 액세스가 자동으로 거부됩니다. 이 계정이 손상되면 이 정책은 공격자가 해당 계정을 악의적인 액세스에 사용할 수 없도록 합니다.

실시간 가시성과 보호는 이전 직원 계정의 위험을 완화하는 데 매우 중요합니다.

오늘날의 하이브리드 환경에서는 다양한 유형의 보안 위협이 조직을 위험에 빠뜨릴 수 있으므로 포괄적인 보안을 위해서는 완전한 가시성, 모니터링 및 보호가 필요합니다. 오래된 사용자에 대한 가시성과 액세스 요청 차단은 공격자가 이러한 계정을 사용하여 환경의 다른 부분에 액세스하지 못하도록 하는 데 중요합니다.

모든 형태의 직원 계정에 지속적인 모니터링과 적극적인 정책 시행을 적용함으로써, Silverfort 오래된 사용자 검색을 자동화하고 남용에 대한 실시간 보호 기능을 제공할 수 있습니다.

해결하려고 신원 보호 귀하의 환경에 문제가 있습니까? 전문가에게 문의하세요 여기에서 지금 확인해 보세요..