Tenable Identity Exposure 2024 온프레미스 릴리스 정보

• Secure Relay — AMQP(Advanced Message Queuing Protocol)가 아니라 TLS(Transport Layer Security)를 사용하여 Active Directory 데이터를 네트워크에서 Tenable Identity Exposure로 전송하는 새로운 방식을 소개합니다. 자세한 내용은 설치 가이드의 업그레이드하여 Secure Relay 사용과 관리 가이드의 릴레이 구성을 참조하십시오.

  • 알림 및 인증 — Secure Relay에서 Syslog 및 SMTP 알림을 지원합니다. 자세한 정보는 Tenable Identity Exposure 관리자 가이드의 Secure Relay를 참조하십시오.

    • 인증 — Secure Relay를 선택하여 LDAP 인증을 구성할 수 있습니다. 이 릴레이가 LDAP 서버에 연결하여 사용자를 인증합니다.

    • 알림 — Syslog 및 SMTP 알림 기능이 Secure Relay를 통해 프라이빗 서버로 알림을 보낼 수 있습니다. 알림을 만들 때, Secure Relay 플랫폼에서 사용자에게 릴레이를 선택하라고 요청합니다. 릴레이를 설정하고 이를 도메인 모니터링이나 알림 또는 둘 모두에 사용할 수 있습니다.

      Secure Relay를 사용하고 기존 알림이 있는 경우, Tenable Identity Exposure 3.45 업데이트에서 자동으로 여기에 릴레이를 할당하여 서비스를 계속 제공합니다. 이 릴레이를 릴레이-VM 네트워크 규칙과 관련한 이유로 또는 선호 사항에 따라 편집할 수 있습니다.

  • 기본 인증 및 인증되지 않은 HTTP 프록시 지원 — 네트워크가 디렉터리 수신기 서버에 연결하기 위해 프록시 서버가 필요한 경우, 릴레이 기능이 기본 인증을 포함하거나 인증이 없는 HTTP 프록시도 지원합니다. 자세한 정보는 Tenable Identity Exposure 관리자 가이드의 Secure Relay를 참조하십시오.

• Entra ID 지원 — 이 기능은 Tenable Identity Exposure의 범위를 Active Directory는 물론 Microsoft Entra ID(이전의 Azure AD)까지 확대합니다. 다음은 이제 Entra ID 내에서 취약성을 식별하기 위해 이용할 수 있는 Entra ID 위주의 새로운 위험 노출 지표(IoE)입니다.

  • 알려진 페더레이션 백도어 — Microsoft Entra 테넌트가 외부 도메인과 페더레이션하여 또 다른 도메인과 인증 및 승인을 위해 트러스트를 설정할 수 있습니다. 조직에서는 페더레이션을 사용해 Active Directory 사용자 인증을 온프레미스 Active Directory 페더레이션 서비스(AD FS)에 위임합니다. (참고: 외부 도메인은 Active Directory "도메인"이 아닙니다.) 하지만 공격자가 Microsoft Entra ID에서 상승된 권한을 얻으면 이 페더레이션 메커니즘을 악용해 자체적으로 페더레이션 도메인을 추가하거나 기존 것을 편집해 자체 설정에 이차적인 구성을 추가하여 백도어를 만들 수 있습니다.

  • 자격 증명이 있는 자사 서비스 주체 — 자사 서비스 주체(엔터프라이즈 애플리케이션)는 Microsoft 소속 애플리케이션(애플리케이션 등록)에서 비롯됩니다. 이들 대부분은 Microsoft Entra ID에 중요한 권한이 있으며 보안 검토 중에 이를 간과하기 쉽습니다. 따라서 공격자가 여기에 자격 증명을 추가하여 권한에서 몰래 이득을 취할 수 있습니다.

  • AD와 동기화되고 권한이 있는 Entra 계정(하이브리드) — 하이브리드 계정, 특히 Active Directory에서 동기화되고 Entra ID에서 권한 있는 역할이 있는 계정을 검사합니다. 이러한 계정은 AD를 침해한 공격자가 Entra ID로 전환할 수 있도록 하기 때문에 보안 위험 요소입니다. Entra ID의 권한 있는 계정은 클라우드 전용 계정이어야 합니다.

  • 테넌트에 영향을 미치는 위험한 API 권한 — 일부 Microsoft API의 특정 권한은 Microsoft Entra 테넌트 전체에 심각한 위협이 될 수 있습니다. 이러한 권한이 있는 서비스 주체는 전역 관리자와 같이 강력한 관리자 역할이 있는 사용자보다 눈에 덜 띄면서도 강력해지기 때문입니다. 이것을 악용하면 공격자가 다단계 인증(MFA)을 우회하고 사용자 비밀번호 초기화도 무력화할 수 있습니다.

  • 권한 있는 계정의 MFA 누락 — 다단계 인증(MFA)을 사용하면 취약하거나 침해된 비밀번호가 있을 경우 계정을 강력하게 보호합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방법을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. 이 IoE는 권한 있는 계정에 MFA 방식이 등록되어 있지 않거나 사용자가 방식을 등록하지 않고 MFA를 적용(이렇게 하면 비밀번호가 있는 공격자가 자체적으로 MFA 방식을 등록하여 보안 위험을 발생시킬 수 있음)하는 경우 사용자에게 알립니다.

  • 권한 없는 계정의 MFA 누락 — 다단계 인증(MFA)은 비밀번호가 취약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방법을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. 이 IoE는 권한 없는 계정에 MFA 방식이 등록되어 있지 않거나 사용자가 방식을 등록하지 않고 MFA를 적용(이렇게 하면 비밀번호가 있는 공격자가 자체적으로 MFA 방식을 등록하여 보안 위험을 발생시킬 수 있음)하는 경우 사용자에게 알립니다.

  • 관리자 수가 많음 — 관리자에게는 기본적으로 상승된 권한이 있습니다. 관리자 수가 많으면 보안 위험이 발생할 수 있습니다. 이들 중 하나가 침해될 확률이 커져서 공격 표면이 넓어지기 때문입니다. 이것은 또한 최소 권한 원칙이 지켜지지 않고 있다는 신호입니다.

• 신규 공격 지표(IoA)

  • DC 비밀번호 변경 — 이 IoA는 Zerologon과 관련이 있으며 공격자가 흔히 Netlogon 취약성과 함께 사용하는 특정 악용 이후 활동(즉, 도메인 컨트롤러 컴퓨터 계정 비밀번호 변경)에 주안점을 둡니다. 자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.

  • Zerologon — Netlogon 인증 프로세스 실패를 감지합니다. 이는 공격자가 도메인에서 권한을 얻기 위해 Zerologon 취약성을 악용하려 시도하고 있다는 의미입니다. 자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.

  • 도메인 백업 키 추출 — 백업 키에 액세스하기 위해 LSA RPC 호출을 사용하는 다양한 공격 도구를 탐지합니다. 자세한 내용은 Tenable Identity Exposure 공격 지표 참조 가이드를 참조하십시오.

• 위험 노출 지표(IoE)

  • 신규 IoE:

  • 안전하지 않은 동적 DNS 구역 업데이트 허용됨 — 동적 DNS 구역 업데이트의 안전하지 않은 구성을 식별합니다. 이런 구성이 있으면 DNS 기록을 인증 없이 편집할 수 있어 비정상적 DNS 기록에 취약하게 됩니다.

  • 속정 집합 적절성 — AD 스키마 내 속성 집합과 그 특성에 공격자가 만든 구성 오류 또는 백도어가 있는지 검사합니다. 현재는 속성 집합 사용과 관련된 것으로 알려진 퍼블릭 공격 벡터가 없지만, 이 IoE는 주로 이 기능을 사용하는 타사 제품으로 인한 구성 오류 또는 이상을 식별하는 데 집중합니다.

  • WSUS 위험한 구성 오류 — 워크스테이션과 서버에 Windows 업데이트를 배포하는 Microsoft 제품인 WSUS(Windows Server Update Services)를 검사하여 표준 계정에서 권리자 권한으로 상승할 수 있는 잘못 구성된 설정이 있는지 확인합니다.

  • 비밀번호 약점 탐지 — 비밀번호가 강력한지 검사하여 Active Directory 인증의 보안을 보장합니다. 취약한 비밀번호의 요인으로는 복잡성 부족, 오래된 해싱 알고리즘, 공유된 비밀번호 및 유출된 데이터베이스에 노출 등이 있습니다. 공격자는 이러한 약점을 악용하여 계정(특히 권한 있는 계정)으로 가장하고 Active Directory 내에 권한 없이 액세스하게 됩니다.

  • DFS 구성 오류 — SYSVOL이 DFSR(분산 파일 시스템 복제)을 사용하는지 검사합니다. 이는 견고성, 확장성 및 복제 성능을 강화하기 위해 FRS(파일 복제 서비스)를 대체한 메커니즘입니다.

  • 일탈 개체 제외: Tenable Identity Exposure에서는 선택한 IoE의 일탈 개체에 대한 제외를 허용합니다. 예를 들면 다음과 같습니다.

    • 그룹: 권한 있는 사용자에 대한 로그인 제한

    • 운영 체제: 사용하지 않는 OS를 실행하는 컴퓨터

    • 조직 단위: 권한 있는 사용자에 대한 로그온 제한, 사용하지 않는 OS를 실행하는 컴퓨터, 사용자에게 약한 비밀번호 정책 적용, 휴면 계정, 오래된 비밀번호를 사용하는 사용자 계정

  • IoE 분석 - 이제 온프레미스 사용자가 기본 Tenable 보안 프로필에서 IoE 분석을 사용 중지하여 리소스 사용량을 줄이고 보안 분석에서 더 낮은 레이턴시를 달성할 수 있습니다. 구현하려면 보안 엔진 노드(SEN)의 ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 환경 변수를 true로 설정하고 Cygni 서비스를 다시 시작합니다.

• 보고 센터 — 이 기능을 사용하면 간소화된 보고서 만들기 프로세스를 통해 조직 내 주요 이해 관계자에게 중요한 데이터를 보고서 형식으로 내보낼 수 있습니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 보고 센터를 참조하십시오.

• 대시보드 템플릿 — 바로 사용 가능한 템플릿을 사용하면 규정 준수, 위험, 비밀번호 관리 및 사용자/관리자 모니터링과 같이 조직의 관심 대상인 우선 순위 문제에 집중할 수 있습니다. 자세한 정보는 Tenable Identity Exposure 사용자 가이드의 대시보드를 참조하십시오.

• 플랫폼 상태 검사 기능 — Tenable Identity Exposure에서 수행한 플랫폼 상태 검사를 통합 보기에 나열하여 사용자가 구성 이상을 바로 조사하고 해결할 수 있도록 합니다. 자세한 내용은 Tenable Identity Exposure 관리자 가이드의 상태 검사를 참조하십시오.

• 온보딩 - 보안을 강화하기 위해 이제부터는 온보딩 프로세스에서 사용자가 처음 로그인할 때 제공받은 최초 로그인용 기본 자격 증명을 변경해야 합니다. 또한 Tenable Identity Exposure에서 새 비밀번호 규칙도 강화했습니다.

• 확장성 — Tenable Identity Exposure에서 서비스 측 공격 지표 성능을 개선하여 관심 이벤트를 대규모로 처리해 IoA 정확도와 레이턴시를 개선하였습니다. 자세한 내용은 Tenable Identity Exposure 설치 가이드의 Tenable Identity Exposure 서비스 확장을 참조하십시오.

• Trail Flow

  • Tenable Identity Exposure에서 변경 사항이 표시되는 즉시 Active Directory에서 즉시 이벤트를 수신합니다. 그러나 큰 그룹의 빈도가 잦은 변경 사항의 경우 10분의 지연을 적용해 이벤트를 집계한 다음 나머지 시스템에 알려 성능 문제를 예방합니다.

  • 이제는 날짜와 시간 둘 모두를 기준으로 Trail Flow를 필터링할 수 있습니다.

Tenable Identity Exposure 버전 3.59.4에는 버전 3.42 이후의 모든 버그 수정이 포함됩니다.

Tenable Identity Exposure 온프레미스 버전 3.59.4에서는 Active Directory 인프라를 안전하게 지키기 위해 대폭 개선된 기능을 제공합니다. 이 릴리스에는 특정 종속성에 대한 업데이트가 포함되어 소프트웨어 보안의 우선 순위를 지정하고 구성 요소를 최신 상태로 유지하여 보호를 개선합니다. 구성 요소는 다음과 같습니다.

• 스토리지 관리자(SM)

• 보안 엔진 노드(SEN)

• 디렉터리 수신기(DL)

Tenable Identity Exposure 버전 3.42.18에는 다음과 같은 패치가 포함됩니다.

Tenable Identity Exposure 온프레미스 버전 3.42.11에서는 Active Directory 인프라를 안전하게 지키기 위해 대폭 개선된 기능을 제공합니다. 이 릴리스에는 특정 종속성에 대한 업데이트가 포함되어 소프트웨어 보안의 우선 순위를 지정하고 구성 요소를 최신 상태로 유지하여 보호를 개선합니다.