Tenable Identity Exposure 2024 온프레미스 릴리스 정보
이 릴리스 정보는 최신순으로 나열되어 있습니다.
Tenable Identity Exposure 3.59.8 (2024-10-23)
버그 수정
Tenable Identity Exposure 버전 3.59.8에는 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 |
|---|
| 이제 Secure Relay 예약된 작업에 유효한 매개 변수 -AfadRolePath가 있습니다. 업그레이드하는 중에 Tenable Identity Exposure에서 예약된 작업을 제거하고 다시 생성합니다. |
| Tenable Identity Exposure에서 RabbitMQ를 더 안정적인 버전으로 다운그레이드했습니다. |
| Tenable Identity Exposure 설치 프로그램의 지역화된 버전에서 잘못된 인증서를 업로드하면 영어로 된 오류 메시지가 트리거됩니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|
| Tenable Identity Exposure | 3.59.7 | 3.59.8 |
| C++ 2015-2019 재배포 가능 | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.35 |
| .NET Runtime | 6.0.32 | 6.0.35 |
| .Net Core | 6.0.32 | 6.0.35 |
| ASP.NET Core | 6.0.32 | 6.0.35 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.18.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.4 |
| Rabbit MQ | 3.13.6 | 3.12.4 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.2 |
| Envoy | 1.29.5 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.42.20 (2024-10-23)
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|
| Tenable Identity Exposure | 3.42.19 | 3.42.20 |
| C++ 2015-2019 재배포 가능 | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.35 |
| .NET Runtime | 6.0.32 | 6.0.35 |
| .Net Core | 6.0.32 | 6.0.35 |
| ASP.NET Core | 6.0.32 | 6.0.35 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.3 | 18.20.4 |
| Erlang OTP | 26.2.5.2 | 26.2.5.4 |
| MSSQL | 15.0.4385.2 | 15.0.4385.2 |
| RabbitMQ | 3.12.14 | 3.12.14 |
| OpenSSL(변경 없음) | 1.1.1t | 1.1.1t |
| SysInternals Handle | 5.0.0 | 5.0.0 |
| cUrl | 8.91 | 8.10.1 |
(얼리 액세스) Tenable Identity Exposure 3.77(2024-10-01)
새로운 기능
-
공격 지표(IoA)
-
새로운 기본 모드와 적극적 모드 — 기본 모드는 간소한 설정을 선호하는 고객을 위해 설계된 것으로, 구성 시간을 최소화하고 오탐을 줄여 불필요한 알림 노이즈를 줄입니다. 이 항목은 다음 IoA에 해당합니다.
-
DCSync
-
의심스러운 DC 비밀번호 변경
-
골든 티켓
-
NTDS 추출
-
OS 자격 증명 덤핑: LSASS 메모리
-
로컬 관리자의 열거
-
SAMAccountName 가장
-
-
위험한 Kerberos 위임 — Tenable Identity Exposure에서는 "위임에 대한 보호 없음"을 이유로 컴퓨터를 일탈로 플래그하지 않고, 모든 기존 일탈을 해결합니다.
-
-
위험 노출 지표(IoE)
-
새로운 IoE
- 섀도 자격 증명 — "Windows Hello for Business" 기능 및 그와 관련된 키 자격 증명에서 섀도 자격 증명의 백도어와 구성 오류를 탐지하는 새 IoE입니다.
-
관리형 서비스 계정 위험한 구성 오류 — 관리형 서비스 계정이 적절하게 배포 및 구성되었는지 확인하는 새 IoE입니다.
-
권한 있는 인증 사일로 구성 — AD 관리자를 도와 계층 0 계정에 대한 인증 사일로를 설치하고 설정합니다.
-
RSOP 기반 IoE — Tenable Identity Exposure에서는 성능을 강화하기 위해 실시간 RSoP(Resultant Set of Policy) 검사를 제외합니다. 대신, 30분마다 RSoP 보안 검사를 한 번씩 예약하는데 이렇게 하면 RSoP 프로세스 중에 필요한 관련 검사를 더 잘 관리할 수 있습니다. 자세한 내용은 RSOP 기반 위험 노출 지표를 참조하십시오.
-
섀도 자격 증명 — "Windows Hello for Business" 기능 및 그와 관련된 키 자격 증명에서 섀도 자격 증명의 백도어와 구성 오류를 탐지하는 새 IoE입니다.
-
KRBTGT 계정의 마지막 비밀번호 변경 — Windows Hello for Business(클라우드 트러스트 배포)의 krbtgt_AzureAD 계정 지원이 추가되었습니다.
-
해독 가능한 비밀번호 — 이제 특성 msDS-PasswordReversibleEncryptionEnabled를 사용해 PSO가 정의한 해독 가능한 비밀번호 유효성 검사를 포함합니다.
-
로컬 관리 계정 관리 — 새로운 Windows LAPS 지원입니다. "LAPS 버전 설치됨"이라는 새 옵션을 도입하고, 사용자 선택에 따라 LAPS 버전 구성의 유효성을 검사합니다.
-
- 프록시— Tenable Identity Exposure 설치 또는 업그레이드 중 프록시 연결을 정의하는 기능입니다. 이 프록시 연결을 이용하면 온프레미스 환경이 Tenable One 기능과 호환되도록 해줍니다.
-
SMB 서명 적용 — Tenable Identity Exposure에서 도메인 컨트롤러 및 기타 서버에 SMB 서명이 적절하게 적용되도록 보장합니다. 이 개선 사항은 "기본 도메인 컨트롤러 정책" 매개 변수를 확인하고 다른 서버에서 GPO가 정확하게 구성되었는지 확인합니다.
개선 사항
-
이제 이메일 알림은 유효한 암호화 프로토콜, 구체적으로 TLS 1.2와 1.3만 지원합니다. Secure Relay에서 사용이 중단된 SMTP 암호화 표준(예: SSLv3)을 사용하도록 재정의한 고객의 경우 해당 재정의를 제거해야 합니다. 허용되는 값은 서버 버전에 따른 자동 스위칭용으로 'Tls12', 'Tls13' 또는 'TLS12,Tls13'뿐입니다. 지원되지 않는 값을 사용하면 릴레이가 시작되지 않습니다.
-
새로운 10시간 "지연 시간"을 사용하면 이 기간에 정상 사용자를 허용 목록에 추가할 수 있어 오탐 수를 줄일 수 있습니다.
-
IoA 설정— 이벤트 분석을 트리거하기 전에 이벤트 수집 기간을 선택하는 기능입니다. 값은 30초에서 9분까지로 제한됩니다.
-
Active Directory — Tenable Identity Exposure에서 관리하는 AD 개체의 크기 한도를 늘렸습니다.
-
위험 노출 지표
- 위험한 Kerberos 위임 — 새로운 이유를 통해, 제한된 위임(msDS-AllowedToDelegateTo)이 사용하는 특성이 존재하지 않는 서비스 주체 이름(SPN)을 언급하는 계정을 모두 보고합니다.
-
사용자 기본 그룹 IoE — 권한이 부족해 primaryGroupID 특성이 비어 있는 것으로 표시되는 모든 계정에 대한 추가적인 이유가 보고됩니다.
-
만료되지 않는 비밀번호를 사용하는 계정 — 권한 있는 사용자와 일반 사용자를 구분하는 새로운 이유입니다.
-
충돌하는 보안 주체 — 사용자, 컴퓨터 또는 그룹과 같은 중복된(충돌하는) 개체가 없는지 검사하는 새로운 IoE입니다.
-
오래된 비밀번호를 사용하는 사용자 계정, 사용하지 않는 OS를 실행하는 컴퓨터, 휴면 계정 — 권한 있는 사용자와 일반 사용자를 구분하는 새로운 이유 두 가지를 추가했습니다.
-
컴퓨터 강화 GPO가 없는 도메인
-
모든 도메인 컴퓨터에서 null 세션이 명시적으로 사용 중지되었는지 확인하는 새로운 검사입니다.
-
도메인 컨트롤러(SYSVOL/NETLOGON 공유)에 대하여 구성된 강화된 UNC 경로와 관련된 새로운 검사를 도입했습니다.
-
모든 도메인 컨트롤러에서 Print Spooler 서비스가 사용 중지되었는지 확인하는 새로운 검사입니다.
-
-
사용자 계정의 Kerberos 구성 — 스마트 카드가 있는 사용자는 AS-REP Roasting 공격의 영향을 받지 않으로 더 이상 이들을 고려하지 않았습니다.
-
위험한 Kerberos 위임 — 새로운 이유가 Microsoft Entra Connect 계정(AZUREADSSOACC)에 대한 Kerberos 위임의 현재 구성을 탐지합니다.
버그 수정
Tenable Identity Exposure 버전 3.77에는 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 |
|---|
| 이제 Tenable Identity Exposure에서 Tier0 자산 그래프를 성공적으로 구성하도록 확인합니다. |
| 보안 분석 서비스가 CPU 사용량이 많은 피크 시간에(예: 보안 검사 중) 자체 입력을 처리합니다. |
| Tenable Identity Exposure에 상태를 알 수 없는 상태 검사 문제에 대한 설명이 표시됩니다. |
| Tenable Identity Exposure에서 트러스트 특성을 정확하게 구문 분석하여(드문 경우지만, 특성이 누락된 경우도 마찬가지) 문제 없이 토폴로지 보기를 표시합니다. |
| 이제 보안 분석 서비스를 호스팅하는 컴퓨터에서 공격 지표(IoA) 교착 상태 문제가 더 이상 발생하지 않습니다. |
| 이제 AD 데이터 수집기 서비스의 상태 검사가 True로 보고됩니다. |
| 사용자에게 약한 비밀번호 정책 적용 IoE에는 옵션의 한도와 관련된 경계 사례 처리 성능이 개선되었습니다. |
| 이제 디렉터리 리스너를 업그레이드하고 다시 시작한 뒤 Secure Relay 설치 프로그램이 트리거되지 않습니다. |
| 이제 Tenable Identity Exposure에서 Secure Relay가 더 이상 보안 분석 서비스에 필요하지 않은 LDAP 쿼리 결과를 반복해서 보내지 않도록 방지합니다. |
| 이제 DCSync IoA에서 Tenable 서비스 계정의 'samAccountName'이 20자를 초과하는 경계 사례를 감안하여 권한 있는 분석 기능을 사용 설정했을 때 알림이 트리거되지 않도록 합니다. |
| 지역화된 버전의 설치 프로그램을 이용할 때, 잘못된 인증서가 업로드되면 오류 메시지가 영어로 표시됩니다. |
| 이제 Microsoft Entra ID와 동기화된 권한 있는 AD 사용자 계정 IoE에 더 이상 "허용 목록 컴퓨터" 옵션이 필요하지 않습니다. |
| 이제 비밀번호 추측 IoA의 옵션 "탐지 시간 간격"이 올바른 레이블로 표시됩니다. |
| Tenable Identity Exposure 환경의 기본 URL(<environment>.tenable.ad)에 액세스할 때 Tenable Identity Exposure 사용자 인터페이스가 더 이상 두 번 로드되지 않습니다. |
| Tenable Identity Exposure에서 위험 노출 지표 페이지와 관련된 권한 동작을 업데이트했습니다. |
| Tenable Identity Exposure의 기능 향상으로 소형 SaaS 플랫폼에서 SQL 쿼리가 무기한 실행되지 않도록 방지하여 안정적인 데이터베이스 접근성을 보장합니다. |
| 이제 Tenable Identity Exposure의 IoE 창에 모든 Entra ID IoE가 표시됩니다. |
| Tenable Identity Exposure에서 비밀번호 스프레이 공격 지표(및 잠재적으로 기타 IoA)로 인한 오탐을 수정했습니다. |
| 몇몇 경계 사례의 경우, Tenable Identity Exposure에서 도메인에 조인된 컴퓨터의 Secure Relay 설치 프로세스를 업데이트했습니다. 이제 도메인 관리자 계정을 사용하는 고객에게 대신 로컬 관리자 계정을 사용하라는 프롬프트 메시지가 표시됩니다. |
| Tenable Identity Exposure에서 Relay 시작 중에 Relay와 플랫폼 사이 네트워크 검사를 수행하는 메커니즘을 도입했습니다. 플랫폼이 아직 작동하지 않으면 Relay 시작 프로세스는 안정적인 연결을 확인할 때까지 대기 상태를 유지합니다. |
| Tenable One 라이선스가 있는 경우, 사용자는 Tenable Vulnerability Management에서 만들어지며 Tenable Identity Exposure로 전파됩니다. 이 경우, Tenable Identity Exposure에서 "사용자 만들기" 버튼을 클릭하면 메시지가 표시되어 Tenable Vulnerability Management로 이동해 사용자를 만들라고 알립니다. |
| 이제 Tenable Identity Exposure 설치 프로그램이 지역화된 버전에 맞게 작동합니다. |
| Tenable Identity Exposure에서 주요 업그레이드 중 오래된 .NET 버전을 제거합니다. |
| 이제 "섀도 자격 증명" IoE가 연결 없는 키 자격 증명에서 발생한 오탐을 정확하게 처리합니다. |
| Tenable Identity Exposure에서 "NTDS 추출" IoA의 로깅 문제를 해결해 모든 상황에서 정확하게 작동하도록 했습니다. |
| "비밀번호 추측" IoA를 새로운 "탐지 시간 간격"으로 업데이트했습니다. 전에는 "비밀번호 스프레잉" IoA를 잘못 참조했습니다. |
| "자격 증명 덤핑 LSASS 메모리" IoA의 기본 모드 거부 목록 필터링이 개선되었습니다. |
| "Golden Ticket" IoA를 최적화하여 전에는 때때로 발생하면 한 시간 이상 지속되던 IoA 및 IoE 분석 일시 중지를 없앴습니다. |
| "Golden Ticket" IoA의 탐지 알고리즘이 강화되어 미탐과 오탐을 줄입니다. |
| Tenable Identity Exposure의 기능 향상으로 소형 SaaS 플랫폼에서 SQL 쿼리가 무기한 실행되지 않도록 방지하여 안정적인 데이터베이스 접근성을 보장합니다. |
| 이제 공개 API 엔드포인트 /export/profile/:profileId/checkers/:checkerId가 옵션 없이 정확하게 작동합니다. |
| 이제 설치 또는 업그레이드 이후 C:\Tenable\Logs에서 MSI 로그 파일을 사용할 수 있습니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.19 | 3.59.6 | 3.77 |
| C++ 2015-2019 재배포 가능 | 14.40.33810.0 | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.28 | 6.0.32 | 8.0.8 |
| .NET Runtime | 6.0.28 | 6.0.32 | 8.0.8 |
| .Net Core | 6.0.28 | 6.0.32 | 8.0.8 |
| ASP.NET Core | 6.0.28 | 6.0.32 | 8.0.8 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.3 | 20.14.0 | 20.17.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.2 | 26.2.5.3 |
| Rabbit MQ | 3.12.14 | 3.13.6 | 3.12.14(다운그레이드) |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.3.0 | 3.3.2 |
| Envoy | -- | 1.29.5 | 1.29.7 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.91 | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.59.7 (2024-08-14)
버그 수정
Tenable Identity Exposure 버전 3.59.7에는 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 |
|---|
| 이제 Windows 서버에서 프록시가 변경되면 .NET 구성 요소가 닫히고 연결을 끊는 대신 연결을 다시 시작합니다. |
| 이제 디렉터리 수신기와 Relay 사이 스레드 수에서 스파이크가 발생하는 특정 사례 때문에 이 두 가지 서비스 사이 연결이 끊기지 않습니다. |
| 이제 Register 수신기가 계정의 samaccountname에 있는 공백을 처리할 수 있습니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|
| Tenable Identity Exposure | 3.59.6 | 3.59.7 |
| C++ 2015-2019 재배포 가능 | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.32 |
| .NET Runtime | 6.0.32 | 6.0.32 |
| .Net Core | 6.0.32 | 6.0.32 |
| ASP.NET Core | 6.0.32 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.2 |
| Rabbit MQ | 3.13.6 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.9.1 |
Tenable Identity Exposure 3.42.19 (2024-08-14)
버그 수정
Tenable Identity Exposure 버전 3.42.19에는 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 |
|---|
| Tenable Identity Exposure에서 SQL 삽입 공격에 맞서 Trail Flow 쿼리를 강화하여 사용자가 데이터베이스를 덤핑하기 위해 이를 악용할 위험을 대폭 줄였습니다. |
| 이제 Windows 2000 이전 호환 액세스 제어를 사용하는 계정 IoE의 일탈 수정이 정확하게 표시됩니다. |
|
자격 증명 덤핑: LSASS 메모리 공격 지표 — 알 수 없는 항목의 수를 줄이기 위해 이 IoA의 공격 벡터 내 프로세스 이름에 대한 상관 관계 분석을 변경했습니다. |
| 새로운 메커니즘을 도입하여 badPwdCount 특성에 수정 사항이 너무 많더라도 데이터베이스 복원력이 보장됩니다. 특정 경계 사례의 경우, 불량 비밀번호 수 이벤트 비율을 관리하는 서비스가 메시지 큐 관리자로부터 연결이 끊겨 이벤트 처리가 중단되기도 했습니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|
| Tenable Identity Exposure | 3.42.18 | 3.42.19 |
| cUrl | 8.4.0 | 8.91 |
| SysInternals Handle | 5.0 | 5.0.0 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
|
.net Runtime |
6.0.28 6.0.28 |
6.0.32 6.0.32 |
| NodeJS | 18.19.1 | 18.20.3 |
| MSSQL | 15.0.4355.3 | 15.0.4385.2 |
| RabbitMQ | 3.12.13 | 3.12.14 |
| Erlang OTP | 26.2.3 | 26.2.5.2 |
| OpenSSL(변경 없음) | 1.1.1t | 1.1.1t |
| C++ 2105-2022 재배포 가능(변경 없음) | 14.38.33130.0 | 14.40.33810.0 |
| ASP.NET Core | 6.0.28 | 6.0.32 |
Tenable Identity Exposure 3.59.6 (2024-08-05)
버그 수정
Tenable Identity Exposure 버전 3.59.6에는 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 |
|---|
| 이제 Secure Relay 설치 프로그램이 현재 사용자가 로컬 관리자인지 검사합니다. |
| 도메인 관리자 계정을 사용해 도메인에 조인된 시스템에 Secure Relay를 설치하면 팝업 메시지가 표시되어 로컬 관리자 계정을 사용하도록 안내합니다. |
| 이제는 보안 분석 서비스(Cygni)를 호스팅하는 시스템의 프록시 변경 때문에 교착 상태가 발생하지 않습니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|
| Tenable Identity Exposure | 3.59.5 | 3.59.6 |
| C++ 2015-2019 재배포 가능 | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.31 | 6.0.32 |
| .NET Runtime | 6.0.31 | 6.0.32 |
| .Net Core | 6.0.31 | 6.0.32 |
| ASP.NET Core | 6.0.31 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5 | 26.2.5.2 |
| Rabbit MQ | 3.13.3 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4375.4 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.7.1 |
Tenable Identity Exposure 3.59.5 (2024-07-02)
개선 사항
-
OpenSSL 3.0 지원 — 이번 릴리스는 OpenSSL을 버전 3.0.x로 업그레이드합니다. 따라서 SHA1로 서명한 X.509 인증서는 더 이상 보안 수준 1 이상에서 효과가 없습니다. TLS의 기본값은 보안 수준 1이므로, SHA1로 서명한 인증서는 인증 서버 또는 클라이언트에서 신뢰할 수 없는 항목이 됩니다.
이 변경 사항에 대응하여 인증서를 업그레이드해야 합니다. OpenSSL 3.0을 사용하도록 인증서를 업데이트하지 않고 설치를 계속하면, Tenable Identity Exposure 설치 프로그램에서 다음과 같은 오류 메시지를 권장 수정 사항과 함께 표시합니다.
-
자세한 내용은 OpenSSL 3.0 릴리스 정보를 참조하십시오.
-
버전 3.59.5로 업그레이드하려면 Tenable Identity Exposure 사용자 가이드의 업그레이드 요구 사항 및 절차를 참조하십시오.
버그 수정
Tenable Identity Exposure 버전 3.59.5에는 다음과 같은 버그 수정이 포함됩니다.
| 버그 수정 |
|---|
| 이제 SAML로 생성한 Tenable 인증서가 SHA-256 암호화를 사용한 4096비트 키 크기를 사용합니다(이전에는 1024비트). |
| 보안 메커니즘을 구현하여 계정 잠금 상황에서 사용자 열거 기능을 해결합니다. |
| TLS 암호화 제품군 목록을 업데이트하여 Windows Server 2022용 Azure ARC 업데이트 관리자와 호환되도록 합니다. |
| 이제 Tenable Identity Exposure 업그레이드가 실패해도 Secure Relay 설치를 계속 진행할 수 있습니다. |
| 이제 Windows 2000 이전 호환 액세스 제어를 사용하는 계정 위험 노출 지표의 일탈 수정이 정확하게 표시됩니다. |
| 이제 Relay는 레이턴시가 있는 네트워크 전반에서 Syslog 메시지가 안정적으로 전달되도록 보장합니다. |
| 알 수 없는 항목의 수를 줄이기 위해 자격 증명 덤핑: LSASS 메모리 공격 지표의 공격 벡터 내 프로세스 이름에 대한 상관관계 분석을 변경했습니다. |
| 새로운 메커니즘을 도입하여 badPwdCount 특성에 수정 사항이 너무 많더라도 데이터베이스 복원력이 보장됩니다. 특정 경계 사례의 경우, 불량 비밀번호 수 이벤트 비율을 관리하는 서비스가 메시지 큐 관리자로부터 연결이 끊겨 이벤트 처리가 중단되기도 했습니다. |
| 이제 웹 애플리케이션이 LDAPS 인증, SMTPS 등과 같은 TLS 연결의 유효성 검사에 사용할 목적으로 ECC CA 인증서를 업로드하도록 지원합니다. |
| 활동 로그가 더 이상 내부 서비스 활동을 보고하지 않습니다. |
| 이제 업그레이드 실패 후에도 롤백 복원력이 향상되어 환경 변수가 변경 없이 유지됩니다. |
| Relay와 플랫폼 사이의 통신 테스트 중에 설치 프로그램에 오류가 발생하는 경우 오류 메시지가 개선되어 더 명확한 설명을 제공합니다. |
| Secure Relay 설치: "프록시 구성" 화면에 비어 있는 편집 가능한 입력란이 표시되어 잠재적인 기본 롤백을 방지합니다. |
소프트웨어 종속성 업데이트
| 소프트웨어 이름 | 업그레이드 전 | 업그레이드 후 |
|---|---|---|
| Tenable Identity Exposure | 3.59.4 | 3.59.5 |
| C++ 2015-2019 재배포 가능 | 14.24.28127.4 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.27 | 6.0.31 |
| .NET Runtime | 6.0.27 | 6.0.31 |
| ASP.NET Core | 6.0.27 | 6.0.31 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.05311 | 3.0.5311 |
| NodeJS | 18.19.0 | 20.14.0 |
| Erlang OTP | 26.2.2 | 26.2.5 |
| Rabbit MQ | 3.12.12 | 3.13.3 |
| SQL Server | 15.0.4335.1 | 15.0.4375.4 |
| OpenSSL | 1.1.1t | 3.3.0 |
| Envoy | 1.29.4 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.4 | 8.7.1 |
Tenable Identity Exposure 3.59.4 (2024-02-20)
새로운 기능
- Secure Relay — AMQP(Advanced Message Queuing Protocol)가 아니라 TLS(Transport Layer Security)를 사용하여 Active Directory 데이터를 네트워크에서 Tenable Identity Exposure로 전송하는 새로운 방식을 소개합니다. 자세한 내용은 설치 가이드의 업그레이드하여 Secure Relay 사용과 관리 가이드의 릴레이 구성을 참조하십시오.
알림 및 인증 — Secure Relay에서 Syslog 및 SMTP 알림을 지원합니다. 자세한 정보는 Tenable Identity Exposure 관리자 가이드의 Secure Relay를 참조하십시오.
인증 — Secure Relay를 선택하여 LDAP 인증을 구성할 수 있습니다. 이 릴레이가 LDAP 서버에 연결하여 사용자를 인증합니다.
알림 — Syslog 및 SMTP 알림 기능이 Secure Relay를 통해 프라이빗 서버로 알림을 보낼 수 있습니다. 알림을 만들 때, Secure Relay 플랫폼에서 사용자에게 릴레이를 선택하라고 요청합니다. 릴레이를 설정하고 이를 도메인 모니터링이나 알림 또는 둘 모두에 사용할 수 있습니다.
Secure Relay를 사용하고 기존 알림이 있는 경우, Tenable Identity Exposure 3.45 업데이트에서 자동으로 여기에 릴레이를 할당하여 서비스를 계속 제공합니다. 이 릴레이를 릴레이-VM 네트워크 규칙과 관련한 이유로 또는 선호 사항에 따라 편집할 수 있습니다.
기본 인증 및 인증되지 않은 HTTP 프록시 지원 — 네트워크가 디렉터리 수신기 서버에 연결하기 위해 프록시 서버가 필요한 경우, 릴레이 기능이 기본 인증을 포함하거나 인증이 없는 HTTP 프록시도 지원합니다. 자세한 정보는 Tenable Identity Exposure 관리자 가이드의 Secure Relay를 참조하십시오.
- Entra ID 지원 — 이 기능은 Tenable Identity Exposure의 범위를 Active Directory는 물론 Microsoft Entra ID(이전의 Azure AD)까지 확대합니다. 다음은 이제 Entra ID 내에서 취약성을 식별하기 위해 이용할 수 있는 Entra ID 위주의 새로운 위험 노출 지표(IoE)입니다.
알려진 페더레이션 백도어 — Microsoft Entra 테넌트가 외부 도메인과 페더레이션하여 또 다른 도메인과 인증 및 승인을 위해 트러스트를 설정할 수 있습니다. 조직에서는 페더레이션을 사용해 Active Directory 사용자 인증을 온프레미스 Active Directory 페더레이션 서비스(AD FS)에 위임합니다. (참고: 외부 도메인은 Active Directory "도메인"이 아닙니다.) 하지만 공격자가 Microsoft Entra ID에서 상승된 권한을 얻으면 이 페더레이션 메커니즘을 악용해 자체적으로 페더레이션 도메인을 추가하거나 기존 것을 편집해 자체 설정에 이차적인 구성을 추가하여 백도어를 만들 수 있습니다.
자격 증명이 있는 자사 서비스 주체 — 자사 서비스 주체(엔터프라이즈 애플리케이션)는 Microsoft 소속 애플리케이션(애플리케이션 등록)에서 비롯됩니다. 이들 대부분은 Microsoft Entra ID에 중요한 권한이 있으며 보안 검토 중에 이를 간과하기 쉽습니다. 따라서 공격자가 여기에 자격 증명을 추가하여 권한에서 몰래 이득을 취할 수 있습니다.
AD와 동기화되고 권한이 있는 Entra 계정(하이브리드) — 하이브리드 계정, 특히 Active Directory에서 동기화되고 Entra ID에서 권한 있는 역할이 있는 계정을 검사합니다. 이러한 계정은 AD를 침해한 공격자가 Entra ID로 전환할 수 있도록 하기 때문에 보안 위험 요소입니다. Entra ID의 권한 있는 계정은 클라우드 전용 계정이어야 합니다.
테넌트에 영향을 미치는 위험한 API 권한 — 일부 Microsoft API의 특정 권한은 Microsoft Entra 테넌트 전체에 심각한 위협이 될 수 있습니다. 이러한 권한이 있는 서비스 주체는 전역 관리자와 같이 강력한 관리자 역할이 있는 사용자보다 눈에 덜 띄면서도 강력해지기 때문입니다. 이것을 악용하면 공격자가 다단계 인증(MFA)을 우회하고 사용자 비밀번호 초기화도 무력화할 수 있습니다.
권한 있는 계정의 MFA 누락 — 다단계 인증(MFA)을 사용하면 취약하거나 침해된 비밀번호가 있을 경우 계정을 강력하게 보호합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방법을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. 이 IoE는 권한 있는 계정에 MFA 방식이 등록되어 있지 않거나 사용자가 방식을 등록하지 않고 MFA를 적용(이렇게 하면 비밀번호가 있는 공격자가 자체적으로 MFA 방식을 등록하여 보안 위험을 발생시킬 수 있음)하는 경우 사용자에게 알립니다.
권한 없는 계정의 MFA 누락 — 다단계 인증(MFA)은 비밀번호가 취약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방법을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. 이 IoE는 권한 없는 계정에 MFA 방식이 등록되어 있지 않거나 사용자가 방식을 등록하지 않고 MFA를 적용(이렇게 하면 비밀번호가 있는 공격자가 자체적으로 MFA 방식을 등록하여 보안 위험을 발생시킬 수 있음)하는 경우 사용자에게 알립니다.
관리자 수가 많음 — 관리자에게는 기본적으로 상승된 권한이 있습니다. 관리자 수가 많으면 보안 위험이 발생할 수 있습니다. 이들 중 하나가 침해될 확률이 커져서 공격 표면이 넓어지기 때문입니다. 이것은 또한 최소 권한 원칙이 지켜지지 않고 있다는 신호입니다.
- 새로운 공격 지표(IoA)
-
DC 비밀번호 변경 — 이 IoA는 Zerologon과 관련이 있으며 공격자가 흔히 Netlogon 취약성과 함께 사용하는 특정 악용 이후 활동인 도메인 컨트롤러 컴퓨터 계정 비밀번호 수정에 집중합니다. 자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.
-
Zerologon — Netlogon 인증 프로세스 실패를 감지합니다. 이는 공격자가 도메인에서 권한을 얻기 위해 Zerologon 취약성을 악용하려 시도하고 있다는 의미입니다. 자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.
-
도메인 백업 키 추출 — 백업 키에 액세스하기 위해 LSA RPC 호출을 사용하는 다양한 공격 도구를 탐지합니다. 자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.
-
-
위험 노출 지표(IoE)
-
신규 IoE:
-
안전하지 않은 동적 DNS 구역 업데이트 허용됨 — 동적 DNS 구역 업데이트의 안전하지 않은 구성을 식별합니다. 이런 구성이 있으면 DNS 기록을 인증 없이 편집할 수 있어 비정상적 DNS 기록에 취약하게 됩니다.
-
속정 집합 적절성 — AD 스키마 내 속성 집합과 그 특성에 공격자가 만든 구성 오류 또는 백도어가 있는지 검사합니다. 현재는 속성 집합 사용과 관련된 것으로 알려진 퍼블릭 공격 벡터가 없지만, 이 IoE는 주로 이 기능을 사용하는 타사 제품으로 인한 구성 오류 또는 이상을 식별하는 데 집중합니다.
-
WSUS 위험한 구성 오류 — 워크스테이션과 서버에 Windows 업데이트를 배포하는 Microsoft 제품인 WSUS(Windows Server Update Services)를 검사하여 표준 계정에서 권리자 권한으로 상승할 수 있는 잘못 구성된 설정이 있는지 확인합니다.
-
비밀번호 약점 탐지 — 비밀번호가 강력한지 검사하여 Active Directory 인증의 보안을 보장합니다. 취약한 비밀번호의 요인으로는 복잡성 부족, 오래된 해싱 알고리즘, 공유된 비밀번호 및 유출된 데이터베이스에 노출 등이 있습니다. 공격자는 이러한 약점을 악용하여 계정(특히 권한 있는 계정)으로 가장하고 Active Directory 내에 권한 없이 액세스하게 됩니다.
-
DFS 구성 오류 — SYSVOL이 DFSR(분산 파일 시스템 복제)을 사용하는지 검사합니다. 이는 견고성, 확장성 및 복제 성능을 강화하기 위해 FRS(파일 복제 서비스)를 대체한 메커니즘입니다.
-
일탈 개체 제외: Tenable Identity Exposure에서는 선택한 IoE의 일탈 개체에 대한 제외를 허용합니다. 예를 들면 다음과 같습니다.
-
그룹: 권한 있는 사용자에 대한 로그인 제한
-
운영 체제: 사용하지 않는 OS를 실행하는 컴퓨터
-
조직 단위: 권한 있는 사용자에 대한 로그온 제한, 사용하지 않는 OS를 실행하는 컴퓨터, 사용자에게 약한 비밀번호 정책 적용, 휴면 계정, 오래된 비밀번호를 사용하는 사용자 계정
-
-
IoE 분석 - 이제 온프레미스 사용자가 기본 Tenable 보안 프로필에서 IoE 분석을 사용 중지하여 리소스 사용량을 줄이고 보안 분석에서 더 낮은 레이턴시를 달성할 수 있습니다. 구현하려면 보안 엔진 노드(SEN)의 ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 환경 변수를 true로 설정하고 Cygni 서비스를 다시 시작합니다.
-
-
보고 센터 — 이 기능을 사용하면 간소화된 보고서 만들기 프로세스를 통해 조직 내 주요 이해 관계자에게 중요한 데이터를 보고서 형식으로 내보낼 수 있습니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 보고 센터를 참조하십시오.
-
대시보드 템플릿 — 바로 사용 가능한 템플릿을 사용하면 규정 준수, 위험, 비밀번호 관리 및 사용자/관리자 모니터링과 같이 조직의 관심 대상인 우선 순위 문제에 집중할 수 있습니다. 자세한 정보는 Tenable Identity Exposure 사용자 가이드의 대시보드를 참조하십시오.
-
플랫폼 상태 검사 기능 — Tenable Identity Exposure에서 수행한 플랫폼 상태 검사를 통합 보기에 나열하여 사용자가 구성 이상을 바로 조사하고 해결할 수 있도록 합니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 상태 검사를 참조하십시오.
- 온보딩 - 보안을 강화하기 위해 이제부터는 온보딩 프로세스에서 사용자가 처음 로그인할 때 제공받은 최초 로그인용 기본 자격 증명을 변경해야 합니다. 또한 Tenable Identity Exposure에서 새 비밀번호 규칙도 강화했습니다.
-
확장성 — Tenable Identity Exposure에서 서비스 측 공격 지표 성능을 개선하여 관심 이벤트를 대규모로 처리해 IoA 정확도와 레이턴시를 개선했습니다. 자세한 내용은 Tenable Identity Exposure 설치 가이드의 Tenable Identity Exposure 서비스 확장을 참조하십시오.
-
Trail Flow
-
Tenable Identity Exposure에서 변경 사항이 표시되는 즉시 Active Directory에서 즉시 이벤트를 수신합니다. 그러나 큰 그룹의 빈도가 잦은 변경 사항의 경우 10분의 지연을 적용해 이벤트를 집계한 다음 나머지 시스템에 알려 성능 문제를 예방합니다.
-
이제는 날짜와 시간 둘 모두를 기준으로 Trail Flow를 필터링할 수 있습니다.
-
버그 수정
Tenable Identity Exposure 버전 3.59.4에는 버전 3.42 이후의 모든 버그 수정이 포함됩니다.
소프트웨어 종속성 업데이트
Tenable Identity Exposure 온프레미스 버전 3.59.4에서는 Active Directory 인프라를 안전하게 지키기 위해 대폭 개선된 기능을 제공합니다. 이 릴리스에는 특정 종속성에 대한 업데이트가 포함되어 소프트웨어 보안의 우선 순위를 지정하고 구성 요소를 최신 상태로 유지하여 보호를 개선합니다. 구성 요소는 다음과 같습니다.
-
스토리지 관리자(SM)
-
보안 엔진 노드(SEN)
-
디렉터리 수신기(DL)
| 소프트웨어 이름 | 구성 요소 | 업그레이드 전 버전 | 업그레이드 후 버전 |
|---|---|---|---|
| Tenable Identity Exposure | 3.42 | 3.59 | |
| C++ 2015-2019 재배포 가능 | 전체(변경 없음) | 14.24.28127.4 | 14.24.28127.4 |
| .NET Windows Server Hosting | SEN, DL | 6.0.22.23424 | 6.0.27 |
| .NET Runtime | SEN, DL | 6.0.22.32824 | 6.0.27 |
| ASP.NET Core | SEN, DL | 6.0.22.23424 | 6.0.27 |
| IIS URL Rewrite Module 2 | SEN(변경 없음) | 7.2.1993 | 7.21993 |
| Application Request Routing 3.0 | SEN(변경 없음) | 3.0.05311 | 3.0.05311 |
| NodeJS | SM, SEN | 18.18.0 | 18.19.0 |
| Erlang OTP | SEN | 26.1.1 | 26.2.2 |
| Rabbit MQ |
SEN |
3.12.6 | 3.12.12 |
| SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |
Tenable Identity Exposure 3.42.18 (2024-04-18)
새로운 기능, 버그 수정 및 패치의 전체 목록은 Tenable Identity Exposure 3.42(2023-04-06) 온프레미스 릴리스 정보를 참조하십시오.
패치 3.42.18(2024-04-18)
Tenable Identity Exposure 버전 3.42.18에는 다음과 같은 패치가 포함됩니다.
| 패치 | 결함 ID |
|---|---|
| 이제 SAML 생성 Tenable 인증서가 강력한 4096 SHA256 키 크기를 사용합니다(이전 1024 크기보다 개선). | 해당 없음 |
|
공격 경로 개선 사항:
|
해당 없음 |
| 이제 Tenable Identity Exposure에서 Syslog 알림 구성이 업데이트된 뒤 CA 인증서를 적절하게 새로 고칩니다. | 해당 없음 |
| 이제 Tenable Identity Exposure에서 일반적으로 CSV 인젝션으로 알려진 CSV 파일의 수식 요소의 무력화를 적용합니다. | 해당 없음 |
| Tenable Identity Exposure에서 호스트 이름이 없는 4776 이벤트를 분석한 결과 소스가 "알 수 없는" 것으로 밝혀지는 경우, 이제 비밀번호 추측 공격 지표의 "알 수 없는 소스 허용" 옵션에 따라 해당 이벤트를 필터링합니다. | 해당 없음 |
|
DCSync 공격 지표 개선 사항:
|
해당 없음 |
| 공격 지표 이벤트 수신기를 2016년보다 이전인 Windows Server 버전에서 다시 실행할 수 있습니다. | 해당 없음 |
| 새로운 메커니즘을 도입하여 데이터베이스에 badPwdCount 특성 수정 사항이 많아도 복원력이 보장됩니다. | 해당 없음 |
소프트웨어 종속성 업데이트
Tenable Identity Exposure 온프레미스 버전 3.42.11에서는 Active Directory 인프라를 안전하게 지키기 위해 대폭 개선된 기능을 제공합니다. 이 릴리스에는 특정 종속성에 대한 업데이트가 포함되어 소프트웨어 보안의 우선 순위를 지정하고 구성 요소를 최신 상태로 유지하여 보호를 개선합니다.
| Tenable Identity Exposure | 버전 3.42.3 | 버전 3.42.11 | 버전 3.42.17 | 버전 3.42.18 | |
|---|---|---|---|---|---|
| 소프트웨어 이름 | 파일 이름 | 버전 | 버전 | 버전 | 버전 |
| cUrl | curl.exe | 7.66.0 | 8.0.1 | 8.4.0 | 8.4.0 |
| SysInternals Handle | handle.exe | 4.22.0 | 5.0.0 | 5.0 | 5.0 |
| IIS URL Rewrite Module 2 | rewrite_amd64_en-US.msi | 7.2.1980 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
|
.net Runtime |
dotnet-hosting-6.0.14-win.exe | 6.0.14 | 6.0.16 |
6.0.22.32824 |
6.0.28 |
| NodeJS | node-x64.msi | 16.19.1 | 16.20.0 | 18.18.0 | 18.19.1 |
| MSSQL | setup.exe | 2019.150.2000.5 | 2019.150.4312.2 | 15.0.4322.2 | 15.0.4355.3 |
| RabbitMQ | rabbitmq-server.exe | 3.10.11 | 3.10.19 | 3.12.6 | 3.12.13 |
| Erlang OTP | otp_win64.exe | 25.1.2 | 25.1.2 | 26.1.1 | 26.2.3 |
| C++ 2105-2022 재배포 가능(변경 없음) | vcredist_2015_x64.exe | 14.24.28127.4 | 14.24.28127.4 | 14.24.28127.4 | 14.38.33130.0 |
| ASP.NET Core | dotnet-hosting-win.exe | 6.0.14 | 6.0.16 | 6.0.22.23424 | 6.0.28 |