RSoP 기반 위험 노출 지표

Tenable Identity Exposure에서는 일련의 RSoP(정책 결과 집합) 기반 위험 노출 지표(IoE)를 사용하여 다양한 측면의 보안 및 규정 준수를 평가하고 보장합니다. 이 섹션에서는 특정 RSoP IoE의 현재 동작에 관한 인사이트를 소개하고, Tenable Identity Exposure에서 계산과 관련한 성능 우려 사항을 어떻게 해결하는지 알려드립니다.

다음과 같은 RSoP 종속 IoE는 Tenable Identity Exposure의 보안 프레임워크에서 일정한 역할을 수행합니다.

권한 있는 사용자의 로그온 제한
위험한 중요한 권한
사용자에게 약한 비밀번호 정책 적용
랜섬웨어에 대한 강화 부족
Netlogon 프로토콜의 안전하지 않은 구성

이러한 IoE는 필요에 따라 초기화되는 RSoP 결과 캐시에 좌우되며, 기존의 값에 의존하지 않고 요청 시 추가되는 값을 계산합니다. 이전에는 AdObjects를 변경하면 캐시 무효화가 트리거되어 IoE의 RSoP 실행 중에 재계산이 잦았습니다.

Tenable Identity Exposure에서는 RSoP 계산과 관련한 성능 저하 문제를 다음과 같이 해결합니다.

더 이상 사용되지 않을 가능성이 있는 데이터로 실시간 IoE 분석 - RSoP에 의존하는 IoE의 계산(입력/출력 이벤트)은 발생하는 대로 실시간으로 실행되며, 이는 처리에 사용되는 데이터가 최신이 아니더라도 마찬가지입니다. RSoP 캐시를 무효화할 가능성이 있는 버퍼링된 이벤트는 특정 조건에 부합하여 예상되는 계산을 유발할 때까지 저장된 상태로 유지됩니다.
예약된 RSoP 무효화 - 재계산 조건에 부합하면 시스템에서 무효화 프로세스 중에 버퍼링된 이벤트를 고려하여 해당 RSoP 캐시를 무효화합니다.
최신 캐시를 사용하여 IoE 재실행 - 캐시 무효화 이후에는 버퍼링된 이벤트를 반영하여 캐시에서 가져온 최신 버전의 AdObject를 사용하여 IoE를 재실행합니다. Tenable Identity Exposure에서는 버퍼링된 이벤트마다 IoE를 각각 계산합니다.

이러한 이유로 인해, RSoP 결과에 의존하는 IoE의 최적화된 계산 기간 때문에 RSoP와 관련된 일탈의 계산 속도가 더 느려집니다.

개선 사항

Tenable Identity Exposure에서는 전반적인 성능과 대응성을 개선하기 위해 RSoP 작업을 다루는 위험 노출 지표에 대한 변경을 구현했습니다.

더 스마트해진 보안 검사 — 시스템 속도 저하를 줄이기 위해 특정 보안 검사(일명 RSoP 검사)를 수행하는 방식을 개편했습니다.
적응형 스케줄링 — 시스템이 현재 워크로드를 기준으로 이러한 검사를 실행할 가장 좋은 시기를 자동으로 선택합니다.
과부하 방지 — 바쁜 기간에 시스템 과부하를 방지하기 위해 새로운 수단을 구현했습니다.
GPO 파일 보안 분석 — 이제 GPO 파일의 보안을 분석하는 위험 노출 지표가 다른 IoE와 같이 실시간이 아니라 30분마다 한 번씩 처리됩니다.

이점

대응 시간 단축 — 보안 검사 프로세스를 최적화함으로써 특히 사용량 피크 시간 중에 시스템 응답이 더 빨라진 것을 확인할 수 있습니다.
안정성 강화 — 새로운 적응형 스케줄링을 사용하면 중요한 보안 검사로 인해 업무에 방해를 받지 않을 수 있습니다.
더 원활한 경험 — 과부하 방지 기능이 더 좋아져, 사용량이 많더라도 시스템 성능을 일관되게 유지합니다.
플랫폼 안정성 향상 — 변경을 통해 더 일관된 성능을 제공하여 특히 AD 활동량이 많은 고객에게 도움이 됩니다.

기술적 측면

RSoP 검사와 GPO 파일 보안 분석은 실시간이 아니라 정기적으로 실행됩니다.
플랫폼에서 30분마다 워크로드를 평가합니다. 플랫폼에서 분석을 처리할 수 있다고 판단하면 계속 진행하고, 그렇지 않으면 부하가 감소할 때까지 기다립니다.
메시지 큐 길이와 처리 트렌드 등의 요인을 고려하여 시스템 과부하를 탐지하기 위한 알고리즘을 구현합니다.
과부하 기간에는 시스템 반응성을 유지하기 위해 중요하지 않은 검사는 연기됩니다.