Tenable Identity Exposure 2024 릴리스 정보

팁: 구독하여 Tenable 설명서 업데이트 시 알림을 받을 수 있습니다.

이 릴리스 정보는 최신순으로 나열되어 있습니다.

Tenable Identity Exposure 3.74 (2024-06-26)

  • DC 동기화, NTDS 추출, 로컬 관리자 열거 공격 지표(IoA) — 다음 상황에서 "기본" 모드는 더 이상 알림을 보내지 않습니다.

    • IoA가 이벤트 손실 또는 이벤트 수집 시 중대한 지연을 탐지하는 경우.

    • 이벤트 데이터가 누락되어 IoA가 공격의 소스를 식별할 수 없는 경우.

  • NTDS 추출 IoA — "기본" 및 "적극적" 모드에 새로운 활성 옵션 "허용 목록에 추가된 프로세스"가 공격 중에 플래그된 정상 프로세스를 예외로 인정합니다.

Tenable Identity Exposure 버전 3.74에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
새로운 메커니즘을 도입하여 badPwdCount 특성에 수정 사항이 너무 많더라도 데이터베이스 복원력이 보장됩니다. 특정 경계 사례의 경우, 불량 비밀번호 수 이벤트 비율을 관리하는 서비스가 메시지 큐 관리자로부터 연결이 끊겨 이벤트 처리가 중단되기도 했습니다.
활동 로그가 더 이상 내부 서비스 활동을 보고하지 않습니다.

Tenable Identity Exposure 3.73 (2024-06-13)

Tenable Identity Exposure 버전 3.73에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure의 기능 향상으로 소형 SaaS 플랫폼에서 SQL 쿼리가 무기한 실행되지 않도록 방지하여 안정적인 데이터베이스 접근성을 보장합니다.
작업 영역 메뉴(앱 스위처)가 사용자 인터페이스에서 차지하는 공간이 줄어 페이지 내용을 표시할 여유 공간을 확보했습니다.

Tenable Identity Exposure 3.72 (2024-05-30)

  • 이제 사용자가 분석을 트리거하기 전에 공격 지표(IoA)의 이벤트 수집 기간(값: 30초~9분)을 설정할 수 있습니다(레이턴시와 정확도 사이에 절충).

  • Golden Ticket IoA — 오탐을 줄이기 위해 Tenable Identity Exposure에서 10시간의 지연 기간을 두고, 이 기간에 자동적으로 정상 사용자를 허용 목록에 추가합니다.

Tenable Identity Exposure 버전 3.72에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure에서는 Relay 시작 중에 Relay와 플랫폼 사이 네트워크 검사를 수행하는 메커니즘을 도입했습니다. 플랫폼이 아직 작동하지 않으면 Relay 시작 프로세스는 안정적인 연결을 확인할 때까지 대기 상태를 유지합니다.
이제 통신 채널에 중단이 발생하는 경우 인증 서비스가 채널을 자동으로 복원해 안정적인 인증 기능을 보장합니다.
Tenable Identity Exposure에서는 계정 잠금 중 사용자 열거 기능을 다루기 위한 보안 메커니즘을 구현했습니다.
이제 테넌트 필터링 기능이 제대로 작동하여 사용자가 Entra ID 관련 인시던트를 다룰 때 각자의 테넌트에 대한 위험 노출 지표를 필터링하고 조회할 수 있습니다.

Tenable Identity Exposure 3.71 (2024-05-22)

참고: Tenable Identity Exposure 3.70의 개선 사항과 버그 수정은 3.71 버전에 포함됩니다.

  • 공격 지표(IoA)

  • DC Sync:

  • 정상적인 이벤트를 필터링하는 시간을 더 오래 가질 수 있도록 "시간 지연" 옵션의 기본값을 1시간에서 12시간으로 늘렸습니다.

  • 기본 프로필에서 "알 수 없는 소스 허용" 옵션을 사용자 지정하지 못해 생기는 미탐을 방지하기 위해 해당 옵션의 기본값을 거짓에서 참으로 변경했습니다.

  • Golden Ticket — 특정 케이스에서 오탐이 트리거되는 것을 방지하기 위해 Windows 이벤트 로그 손실을 탐지합니다.

  • 로컬 관리자의 열거 — 관리형 서비스 계정이 필터링 프로세스를 거쳐 오탐 탐지 발생률을 줄입니다.관리형 서비스 계정은 필터링 프로세스를 거쳐 오탐 탐지의 발생 횟수를 줄입니다.

  • 위험 노출 지표(IoE)

    • 보호된 사용자 그룹을 사용하지 않음 — IoE의 추가 이유는 해당 그룹에 없는 모든 권한 있는 사용자를 보고합니다.

    • KRBTGT 계정의 마지막 비밀번호 변경 — Windows Hello for Business(클라우드 트러스트 배포)의 krbtgt_AzureAD 계정을 지원합니다.

Tenable Identity Exposure 버전 3.71에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정

공격 지표(IoA):

  • 자격 증명 덤핑: LSASS 메모리

    • 알 수 없는 항목의 수를 줄이기 위해 이 IoA의 공격 벡터에서 프로세스 이름의 상관 관계 분석을 변경했습니다.

    • 기본 모드에서 거부 목록 필터링을 개선했습니다.

  • NTDS 추출 — 기본 모드에서 거부 목록 필터링을 개선했습니다.
KRBTGT 계정의 마지막 비밀번호 변경 공격 지표 — 보안 프로필 사용자 지정에서 '사용 중지된 계정 유지' 및 '삭제된 계정 유지' 옵션을 제거했습니다.
이제 가끔씩 IoA 및 IoE 분석이 한 시간 이상 중단되는 경우가 없을 것입니다.
Tenable Identity Exposure에서 Identity Explorer 페이지의 데이터 품질을 개선했습니다.
이제 Relay는 레이턴시가 있는 네트워크 전반에서 Syslog 메시지가 안정적으로 전달되도록 보장합니다.
이제 웹 애플리케이션이 TLS 연결의 유효성 검사를 위해 ECC CA 인증(LDAPS 인증, SMTPS 등)을 업로드하도록 지원합니다.

Tenable Identity Exposure 3.69 (2024-04-18)

  • 신규 위험 노출 지표(IoE)

    • 관리형 서비스 계정 위험한 구성 오류 - 관리형 서비스 계정이 적절하게 배포되고 구성되었는지 확인합니다.

    • 사용 설정된 게스트 계정 - 기본 제공하는 게스트 계정이 사용 중지되었는지 확인합니다.

  • 위험 노출 지표 개선 사항

    • 컴퓨터 강화 GPO가 없는 도메인 — 모든 도메인 컴퓨터가 명시적으로 비활성화해야 하는 null 세션을 해결하도록 설계된 새 검사를 통합했습니다.

    • 기본 관리 그룹 멤버 - "Exchange 서버", "Exchange Windows 권한" 및 "Exchange 신뢰할 수 있는 하위 시스템" 그룹을 사용자 지정 그룹의 허용 목록에 추가했습니다. 이 수정 사항은 기본 보안 프로필에만 적용되며 기존 사용자 지정 보안 프로필에는 적용되지 않습니다.

    • 이전 비밀번호를 사용하는 사용자 계정 - 권한 있는 사용자와 일반 사용자를 구분하는 이유를 두 가지 더 추가했습니다.

  • 처리량을 높이기 위해 이제 LDAP 검색 요청이 Relay 및 Ceti 서비스 사이에서 결과를 배치 작업으로 처리합니다.

Tenable Identity Exposure 버전 3.69에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Golden Ticket 공격 지표의 개선된 탐지 알고리즘이 미탐과 오탐을 줄입니다.
이제 Windows 2000 이전 호환 액세스 제어를 사용하는 계정 IoE의 일탈 수정이 정확하게 표시됩니다.
이제 컴퓨터 강화 GPO가 없는 도메인 IoE가 조사 결과를 정확하게 탐지합니다.

Tenable Identity Exposure 3.68 (2024-04-08)

위험 노출 지표(IoE) 개선 사항:

  • 휴면 계정 — 권한이 있는 사용자와 일반 사용자를 구분하는 새로운 이유 두 가지를 추가했습니다.

  • 사용하지 않는 OS를 실행하는 컴퓨터 — "비활성 사용하지 않는 OS" 일탈에서 마지막으로 성공한 사용자 로그온의 타임스탬프를 표시하기 위한 새로운 값 'lastLogonTimestamp'를 추가했습니다.

  • 컴퓨터 강화 GPO가 없는 도메인

    • 도메인 컨트롤러(SYSVOL/NETLOGON 공유)에 대하여 구성된 강화된 UNC 경로와 관련된 새로운 검사를 도입했습니다.

    • 도메인 컨트롤러에서 비활성화된 상태로 유지되어야 하는 Print Spooler 서비스와 관련된 새로운 검사를 도입했습니다.

    • 도메인 컨트롤러와 기타 서버에서 서버 메시지 블록(SMB) 서명이 적절하게 시행되는지 확인하기 위한 개선 사항을 추가했습니다. 이 개선 사항은 "기본 도메인 컨트롤러 정책" 매개 변수를 확인하고 다른 서버에서 GPO가 정확하게 구성되었는지 검사합니다.

  • 정책 결과 집합(RSoP) IoE - 최신 캐시로 RSoP IoE를 다시 실행하기 위해, 이제 Tenable Identity Exposure에서 버퍼링된 이벤트를 단기간에 걸쳐 집계하여 분석할 변경 사항의 수를 줄입니다(기본적으로 1분이며 "권한 있는 사용자의 로그온 제한" IoE만 해당).

Tenable Identity Exposure 버전 3.68에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 신규 IoA 옵션을 도입하기 전에 만든 사용자 지정 보안 프로필에서 공격 지표(IoA) 옵션을 업데이트할 수 있습니다.
이제 공개 API 엔드포인트 /export/profile/:profileId/checkers/:checkerId가 옵션 없이 정확하게 작동합니다.

Tenable Identity Exposure 3.67 (2024-03-21)

  • "위임에 대한 보호 없음"을 이유로 컴퓨터가 일탈로 표시될 수 없습니다. Tenable Identity Exposure에서 이 문제와 관련된 모든 기존 일탈을 확인하고 해결합니다.

  • 위험 노출 지표(IoE) 개선 사항 - 사용자 계정의 Kerberos 구성 IoE에서, 스마트카드가 있는 사용자는 AS-REP Roasting 공격으로부터 안전하며 Tenable Identity Exposure에서는 더 이상 이것을 보안 문제로 플래그하지 않습니다.

  • 공격 지표(IoA) 개선 사항:

    • 비밀번호 추측 - 새 옵션인 "비밀번호 스프레잉 탐지 시간 간격"에서 각각의 실패한 로그인 시도를 잠재적인 공격이 진행 중인 것으로 분류하는 기간(분 단위)을 지정합니다.

    • 로컬 관리자의 열거

      • 새 옵션인 "적극적 모드에서 필터링된 액세스 권한"에서는 잠재적인 공격이 진행 중인 것으로 분류하기 위해 '네트워크 공유 개체가 검사됨' 이벤트에서 가져온 지정된 액세스 권한만 고려합니다. 이 목록은 적극적 모드에만 해당합니다.

      • 이제 "Windows Server 2016 이전 버전을 사용하는 도메인 컨트롤러에 대한 추론" 옵션의 기본값이 "False"입니다.

    • DCSync - 이제 "알 수 없는 소스 허용" 옵션의 기본값이 "False"입니다.

    • NTDS 추출 - "기본 모드"의 새 "거부 목록": diskshadow, ntdsutil, esentutl, esentutldefrag mode, vssown, copy-vss, wmi 기반 기법, psexec_ntds_grab, wmiprvse, vssadmin, vss, impacket-secretsdump, vss_requestor, VeeamGuestHelper, WMI 기반 기법.

    • 자격 증명 덤핑 LSASS 메모리 - "기본 모드"의 새 "거부 목록": mimikatz, taskmgr, ipconfig, arp, powershell, net, auditpol, whoami, cmd, route, processhacker, net1, csc, procdump, osqueryi.

Tenable Identity Exposure 버전 3.67에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정

이제 다음과 같은 IoA 구성에서 다음 옵션을 수정하면 Tenable Identity Exposure에서 보안 프로필을 정확하게 업데이트합니다.

  • 자격 증명 덤핑 LSASS 메모리: - "적극적 모드" 및 "공격 도구"

  • DCSync: "적극적 모드" 및 "지연 시간"

  • Golden Ticket: "지연 시간"
Tenable One 라이선스가 있는 경우, 사용자는 Tenable Vulnerability Management에서 만들며 Tenable Identity Exposure로 전파됩니다. 이 경우, Tenable Identity Exposure에서 "사용자 만들기" 버튼을 클릭하면 메시지가 표시되어 Tenable Vulnerability Management로 이동해 사용자를 만들라고 알립니다.
이제 Tenable Identity Exposure의 IoE 창에 모든 Entra ID IoE가 표시됩니다.
이제 설치 또는 업그레이드 이후 C:\Tenable\Logs에서 MSI 로그 파일을 사용할 수 있습니다.

Tenable Identity Exposure 3.66 (2024-03-11)

공격 지표(IoA) - 오탐을 제한하기 위해 다음 IoA에 새 옵션이 있습니다. 자세한 내용은 공격 지표 참조 가이드를 참조하십시오.

참고: 이번 릴리스부터 모든 보안 프로필의 모든 IoA에서 "적극적 모드" 옵션이 기본적으로 "False"로 설정됩니다. 각 보안 프로필의 IoA마다 이 옵션을 "True"로 전환할 수 있습니다.

  • 의심스러운 DC 비밀번호 변경 - 새 옵션:

    • "적극적 모드":

  • True: 사용자가 인증되었든 아니든 관계없이 공격을 탐지합니다.

  • False(기본값): 인증된 사용자만 탐지합니다.

  • "비밀번호 변경 간격": "적극적 모드"에서 이 옵션은 두 번의 비밀번호 변경 사이의 기간을 지정합니다(기본값은 30일).

  • DCSync - 새 옵션:

  • "적극적 모드":

    • True: IoA 규칙을 기반으로 모든 공격을 트리거하여 수많은 오탐을 생성할 수 있습니다.

    • False(기본값): 컴퓨터가 도메인에 있지 않은 경우에만 공격을 트리거합니다. 이렇게 하면 탐지하는 공격의 수는 더 적지만 오탐을 방지할 수 있습니다.

개선 사항

  • 정책 결과 집합(RSoP)에 따라 위험 노출 지표의 연산 기간을 최적화하여 RSoP와 관련된 일탈 연산 속도가 더 느려집니다. 자세한 내용은 Tenable Identity Exposure 사용자 가이드의 RSoP 기반 위험 노출 지표를 참조하십시오.

  • 역할 권한 관리에서 Entra ID 테넌트의 데이터 가시성을 제한하는 지원을 추가했습니다.

Tenable Identity Exposure 버전 3.66에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
OS 자격 증명 덤핑 LSASS IoA — 이제 Tenable Identity Exposure에서 "적극적 모드" 옵션에 지정된 허용 목록을 고려합니다.
Tenable Identity Exposure에서는 변경을 제한하는 스로틀링 수단을 사용하여 badPwdCount 특성에 대한 수많은 수정 사항을 처리할 때 데이터베이스의 복원력을 강화하기 위한 새로운 메커니즘을 구현했습니다.
Tenable Identity Exposure에서 중국어 명명 규칙을 업데이트했습니다.

Tenable Identity Exposure 3.65 (2024-02-27)

공격 지표(IoA) — 오탐을 제한하기 위해 다음 IoA에 설정되는 새로운 기본값입니다. 자세한 내용은 공격 지표 참조 가이드를 참조하십시오.

  • Golden Ticket — 새로운 "적극적 모드" 옵션:

    • False(기본, 기본값): 대상 사용자가 도메인 컨트롤러이거나 Domain Admins 그룹에 속한 사용자인 경우에만 공격을 트리거합니다.

    • True: 대상 사용자 이름이 "Domain Admins" 그룹의 구성원이나 도메인 컨트롤러가 아니더라도 공격을 허용합니다. 또한, 일부 도메인 컨트롤러가 모니터링되지 않는 경우에도 공격을 허용합니다(즉, Windows Event Log를 내보내지 않음).

  • SAMAccountName 가장 — 새로운 "적극적 모드" 옵션:

    • False(기본, 기본값): TargetUserName이 도메인 컨트롤러(DC)가 아닌 경우 공격을 트리거하지 않습니다.

    • True: IoA 규칙을 기반으로 모든 공격을 트리거하여 수많은 오탐을 생성할 수 있습니다.

  • OS 자격 증명 덤핑: LSASS 메모리 — 새로운 옵션:

    • "적극적 모드":

    • False(기본, 기본값): 이 IoA는 도구를 인식하고 미리 정의된 프로세스만 합법적이지 않은 것으로 간주합니다.

    • True: 이 IoA는 허용 목록에 없는 모든 공격 도구를 합법적이지 않은 것으로 간주합니다.

    • "적극적 모드에서 허용되는 프로세스": 선택 사항이며 "적극적 모드" 옵션이 True인 경우에만 적용됩니다.

    • "기본 모드 - 거부 목록": 기본 모드에서는 지정된 도구만 공격을 트리거할 수 있습니다.

  • NTDS 추출— 새로운 옵션:

    • "적극적 모드":

  • False(기본, 기본값): 이 IoA는 도구를 인식하고 미리 정의된 프로세스만 합법적이지 않은 것으로 간주합니다.

  • True: 이 IoA는 허용 목록에 없는 모든 공격 도구를 합법적이지 않은 것으로 간주합니다.

  • "기본 모드 - 거부 목록": 기본 모드에서는 지정된 도구만 공격을 트리거할 수 있습니다.

  • "기본 모드 공격 허용 목록에 추가된 프로세스"(이전의 "허용 목록에 추가된 프로세스"): 선택 사항이며 "적극적 모드" 옵션이 True인 경우에만 적용됩니다.

  • 대규모 컴퓨터 정찰— 옵션에 대한 새로운 기본값:

    • 컴퓨터 수 — 5000

    • 최소 컴퓨터 수 — 100

    • 컴퓨터 비율 — 95

    • 슬라이딩 시간 — 240

    • 공격 간 대기 시간 — 240

  • 비밀번호 추측— 옵션에 대한 새로운 기본값:

    • 시도에 실패한 계정 수 — 10,000

  • 로컬 관리자 열거 — 이제 "Windows Server 2016 이전 버전을 사용하는 도메인 컨트롤러에 대한 추론" 옵션이 기본적으로 "False"로 설정됩니다.

위험 노출 지표(IoE)

  • 새로운 IoE

  • 권한 있는 인증 사일로 구성 — 권한 있는(계층 0) 계정의 인증 사일로 구성과 관련한 단계별 가이드를 제공합니다.

  • 권한 있는 AD 사용자 계정을 Microsoft Entra ID에 동기화 — 권한 있는 Active Directory 사용자 계정이 Microsoft Entra ID에 동기화되지 않았는지 검사합니다.

  • 개선 사항

    • 위험한 Kerberos 위임 IoE — Microsoft Entra Connect 계정(AZUREADSSOACC)에 대한 Kerberos 위임의 현재 구성을 탐지하기 위한 새로운 이유를 소개합니다.

    • 해독 가능한 비밀번호 IoE — 비밀번호 설정 개체(PSO) 내의 msDS-PasswordReversibleEncryptionEnabled 속성에서 정의한 설정을 기반으로 해독 가능한 형식으로 저장하도록 구성된 비밀번호를 유효성 검사합니다.

    • 로컬 관리자 계정 관리 IoE — "LAPS 버전 설치됨"이라는 새로운 옵션으로 새로운 Microsoft Local Administrator Password Solution(LAPS)에 대한 지원을 추가하고 사용자 선택에 기반하여 LAPS 버전 구성을 유효성 검사합니다.

Tenable Identity Exposure 버전 3.65에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure에서 Microsoft Entra ID 테넌트 삭제와 관련된 문제를 해결했습니다. 이전에는 삭제 휴지통 아이콘을 클릭하면 이전에 획득한 특정 자산이 남아 있을 수 있었습니다. 현재 해결 방법으로 이 프로세스 중에 모든 자산이 완전히 삭제됩니다.
Tenable Identity Exposure에서 권한이 낮은 로컬 사용자가 Tenable Identity Exposure Secure Relay 호스트에서 애플리케이션 파일을 수정할 수 있는 주입 취약성을 해결했습니다.
Tenable Identity Exposure에서 데이터베이스의 데이터 불일치가 원인일 수 있는 null 값으로 인한 쿼리 실패 문제를 해결했습니다. 예를 들어, 필수적인 Software Factory(SF)에 아직 도달하지 않은 자산에 대해 압축 권한이 지정된 경우 이런 문제가 발생할 수 있습니다.
Tenable Identity Exposure에서 드물게 발생하는 특정 시나리오에서 초기화 중에 충돌이 일어나지 않도록 공격 경로 기능을 강화했습니다.
Tenable Identity Exposure에서 데이터베이스가 무결성이나 성능을 저하하지 않고 badPwdCount 속성에 대한 여러 수정 사항을 처리할 수 있도록 보장하는 새로운 메커니즘을 구현했습니다.

Tenable Identity Exposure 3.64 (2024-02-07)

Tenable Identity Exposure 버전 3.64에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
공격 지표 의심스러운 DC 비밀번호 변경에서 기본적으로 30일마다 비밀번호를 변경하는 Windows Server 2008 R2 시스템과 관련된 오탐을 해결했습니다.

Tenable Identity Exposure 3.63 (2024-01-24)

  • 공격 지표자격 증명 덤핑: LSASS 메모리NTDS 추출 공격 지표의 "허용된 프로세스" 옵션에 오탐을 발생시키는 것으로 알려진 프로세스를 포함합니다.

Tenable Identity Exposure 버전 3.63에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
Tenable Identity Exposure에서 토폴로지 도메인과 연관된 도메인을 제거한 후에는 더 이상 해당 토폴로지 도메인이 표시되지 않습니다.
이제 Microsoft Entra ID의 현재 스캔 상태에 스캔 실패 오류가 표시됩니다. 이전 스캔이 성공했더라도 마찬가지입니다.
이제 Tenable Identity Exposure에서 Syslog 알림 구성 업데이트 후 CA 인증서를 정확하게 새로 고칩니다.
이 기능이 활성 상태이면 Tenable Identity Exposure의 내부 기술 데이터가 더 이상 Tenable Cloud에 자산으로 전송되지 않습니다.
비밀번호 약점 탐지 위험 노출 지표에서 비밀번호 재사용과 관련된 일탈에 이제 문제가 있는 비밀번호 해시 접두사가 드러납니다.
호스트 이름이 없는 4776 이벤트를 분석한 결과가 "알 수 없는" 소스인 경우, 이제 Tenable Identity Exposure에서 이 일탈을 비밀번호 스프레잉 공격 지표의 "알 수 없는 소스 허용" 옵션에 따라 필터링하여 제거합니다.

Tenable Identity Exposure 3.62 (2024-01-10)

Tenable Identity Exposure 버전 3.62에는 다음과 같은 버그 수정이 포함됩니다.

버그 수정
이제 Tenable Identity Exposure에서 이름이 500자를 초과하는 특성을 만들 때 SYSVOL 파일을 컴퓨팅합니다.
이제 Secure Realy에 SYSLOG 구성에 적용된 수정 사항이 반영되어 SYSLOG 메시지가 SIEM으로 이동하도록 다시 사용 설정합니다.
이제 랜섬웨어에 대한 강화 부족 위험 노출 지표(IoE)가 허용 목록 제외를 정확하게 관리합니다.
Tenable Identity Exposure에서 IoE의 권한 있는 그룹의 정확한 자격 요건에 영향을 미치는 문제를 해결했습니다(일반 사용자에 대해 설정된 AdminCount 특성, 권한 있는 그룹의 사용 중지된 계정, Kerberos 서비스를 실행하는 권한 있는 계정계정의 매핑된 인증서).
이제 Microsoft Entra ID 스캔 상태가 더 정확하여 문제가 발생하는 경우 더 분명하게 표시합니다.