Tenable Identity Exposure 2025 릴리스 정보

• Exposure Center — Tenable Identity Exposure에서는 ID 관련 위험 노출 지표에 대하여 Vulnerability Priority Rating(VPR) 점수를 생성하지 않으므로, Exposure 개요에서 해당 항목에 대한 참조를 삭제했습니다.

Tenable Identity Exposure 버전 3.87에는 다음과 같은 버그 수정이 포함됩니다.

• Exposure Center —Exposure Center는 조직의 ID 보안 포스처를 강화하는 Tenable Identity Exposure 기능입니다. 이 기능은 Entra ID와 같은 기본 ID 시스템과 그러한 시스템 내의 ID를 모두 포함하여 ID 위험 표면 전체의 약점과 구성 오류를 식별합니다.

  이 기능의 사용자 경험은 Exposure 개요, Exposure 인스턴스, 발견 사항이라는 서로 연결된 세 가지 개념을 중심으로 합니다. Tenable Research에서는 새 보안 엔진과 특별히 개발된 위험 노출 지표(IoE)를 활용해 이러한 개념을 지원하여 기능을 구동합니다.

  자세한 내용은 Tenable Identity Exposure 사용자 가이드의 Exposure Center를 참조하십시오.

• 새로운 Entra ID 위험 노출 지표

  이름	설명
  표준 계정의 애플리케이션 등록 기능	기본적으로, 모든 Entra 사용가 테넌트 내에서 애플리케이션을 등록할 수 있습니다. 이 기능은 편리하고 즉각적인 보안 취약성은 아니지만, 몇 가지 위험을 수반합니다. 따라서 Tenable에서는 모범 사례에 따라 이 기능을 사용 중지하도록 권장합니다.
  멀티테넌트 인증을 허용하는 애플리케이션	Entra 애플리케이션은 멀티 테넌트 인증을 허용하기 때문에, 유의 사항을 완전히 인지하고 애플리케이션 코드 내에 적절한 승인 검사를 구현하지 않은 상태로 이 구성을 사용 설정하지 않으면 악성 사용자에게 무단 액세스를 허용할 가능성이 있습니다.
  조건부 액세스 정책이 지속적 액세스 평가를 사용 중지	지속적 액세스 평가는 보안 정책 변경 또는 사용자 상태 업데이트에 대한 신속한 반응을 지원하는 Entra ID 보안 기능입니다. 따라서 이 기능을 사용 중지하면 안 됩니다.
  테넌트에 영향을 미치는 위험한 애플리케이션 권한	Microsoft에서는 Entra ID의 API를 노출하여 타사 애플리케이션이 자체적으로 Microsoft 서비스에서 작업을 수행하도록 허용합니다(일명 "애플리케이션 권한"). 특정 권한은 Microsoft Entra 테넌트 전체에 심각한 위협이 될 수 있습니다.
  테넌트에 영향을 미치는 위험한 위임된 권한	Microsoft에서는 Entra ID의 API를 노출하여 타사 애플리케이션이 자체적으로 Microsoft 서비스에서 작업을 수행하도록 허용합니다(일명 "애플리케이션 권한"). 특정 권한은 Microsoft Entra 테넌트 전체에 심각한 위협이 될 수 있습니다.
  사용 중지된 계정이 권한 있는 역할에 할당됨	적절한 계정 관리 프로세스를 보유하려면 권한 있는 역할에 대한 할당을 모니터링해야 합니다.
  휴면 장치	휴면 장치는 오래된 구성 및 패치되지 않은 취약성과 같은 보안 위험을 초래합니다. 이러한 오래된 장치를 정기적으로 모니터링하고 업데이트하지 않으면 악용의 표적이 되어 테넌트 무결성과 데이터 기밀성을 저해할 가능성이 있습니다.
  권한이 없는 휴면 사용자	권한이 없는 휴면 사용자는 공격자가 무단 액세스 목적으로 악용할 가능성이 있기 때문에 보안 위험을 초래합니다. 이러한 오래된 사용자는 정기적으로 모니터링하고 비활성화하지 않으면 공격 표면을 넓혀 악성 활동의 진입점이 될 수 있습니다.
  권한이 있는 휴면 사용자	권한이 있는 휴면 사용자는 공격자가 무단 액세스 목적으로 악용할 가능성이 있기 때문에 보안 위험을 초래합니다. 이러한 오래된 사용자는 정기적으로 모니터링하고 비활성화하지 않으면 공격 표면을 넓혀 악성 활동의 진입점이 될 수 있습니다.
  악용할 수 있는 규칙을 포함하는 동적 그룹	공격자는 자체 수정 가능한 특성을 조작해 자기 자신을 그룹 멤버로 추가하여 Microsoft Entra ID의 동적 그룹을 악용할 수 있습니다. 이렇게 조작하면 권한 상승이 가능해지고 그룹과 연결된 중요한 리소스에 무단 액세스할 수 있습니다.
  빈 Entra 그룹	빈 그룹은 혼란을 초래하고 보안을 저해하며 사용되지 않는 리소스를 발생시킵니다. 그룹의 명확한 목적을 수립하고 각 그룹에 관련 멤버를 포함하는 것이 일반적으로 바람직합니다.
  Entra 보안 기본값 사용 설정 안 됨	Entra ID 보안 기본값을 사용하면 미리 구성된 Microsoft 권장 설정을 통해 테넌트 보호를 강화할 수 있습니다.
  페더레이션 도메인 목록	악성 페더레이션 도메인 구성은 공격자가 Entra ID 테넌트에 인증 백도어로 사용하는 일반적인 위협입니다. 기존 및 새로 추가된 페더레이션 도메인을 인증하는 것은 도메인 구성을 신뢰할 수 있고 적법한 상태로 유지하는 데 매우 중요합니다. 이 위험 노출 지표는 페더레이션 도메인과 해당 도메인의 관련 특성에 대한 종합적인 목록을 제공하여 보안 관리자가 도메인의 보안 상태에 관해 합리적 결정을 내리는 데 도움이 됩니다.
  페더레이션 서명 인증서 불일치	Microsoft Entra ID를 사용하면 페더레이션을 통해 인증을 다른 제공자에게 위임할 수 있습니다. 하지만 상승된 권한을 가진 공격자는 악성 토큰 서명 인증서를 추가하여 이 기능을 악용해 지속성과 권한 상승을 실현할 수 있습니다.
  자격 증명이 있는 자사 서비스 주체	자사 서비스 주체는 강력한 권한이 있지만, 볼륨이 많고 가시성은 부족하며 Microsoft가 소유하고 있어서 간과될 때가 많습니다. 공격자는 이 점을 악용해 이러한 주체에 자격 증명을 추가하여 해당 주체의 권한을 몰래 활용하고 권한 상승과 지속성을 확보할 수 있습니다.
  권한 있는 역할을 포함하는 게스트 계정	게스트 계정은 권한 있는 역할이 할당되면 보안 위험이 될 수 있는 외부 ID입니다. 이렇게 하면 테넌트 내의 상당한 권한을 조직 외부인에게 부여하게 됩니다.
  일반 계정과 동등한 액세스 권한이 있는 게스트 계정	게스트를 일반 사용자로 간주하도록 Entra ID를 구성하면 악성 게스트가 테넌트 리소스에 대해 포괄적인 정찰을 실시할 수 있으므로 이러한 구성은 바람직하지 않습니다.
  관리자 수가 많음	관리자 수가 많으면 공격 표면이 넓어지고 관리자의 상승된 권한으로 인해 보안 위험이 발생합니다. 또한 최소 권한 원칙을 지키지 못하는 것을 의미합니다.
  알려진 페더레이션 도메인 백도어	Microsoft Entra ID를 사용하면 페더레이션을 통해 인증을 다른 제공자에게 위임할 수 있습니다. 그렇지만 상승된 권한이 있는 공격자의 경우 자신의 악성 페더레이션된 도메인을 추가하여 이 기능을 악용할 수 있고, 그러면 지속성 및 권한 상승이 발생하게 됩니다.
  레거시 인증이 차단되지 않음	레거시 인증 방법은 다단계 인증(MFA)을 지원하지 않으므로 공격자가 무차별 대입, 크리덴셜 스터핑 및 비밀번호 스프레잉 공격을 계속할 수 있게 됩니다.
  권한이 없는 계정의 MFA 누락	MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방법을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다.
  권한이 있는 계정의 MFA 누락	MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방법을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다.
  권한이 있는 역할에 MFA가 필수가 아님	MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라, 특히 권한이 있는 역할이 할당된 권한이 있는 계정에는 MFA를 사용 설정하는 것이 좋습니다.
  위험한 로그인에 MFA가 필수가 아님	MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라, 예를 들어 인증 요청을 정상 ID 소유자가 보낸 것이 아닌 경우와 같은 위험한 로그인에는 MFA를 필수로 설정하는 것이 좋습니다.
  사용한 적 없는 장치	미리 생성되어 사용한 적 없는 장치 계정은 보안 하이진이 불량하다는 사실을 나타내며 보안 위험을 발생시킬 가능성이 있으므로 사용하지 말아야 합니다.
  사용된 적 없는 권한이 없는 사용자	사용된 적 없는 권한이 없는 사용자 계정은 방어 수단의 탐지를 피할 때가 많아 침해에 취약합니다. 또한 해당 계정의 기본 비밀번호는 공격자의 주요 표적입니다.
  사용된 적 없는 권한이 있는 사용자	사용된 적 없는 권한이 있는 사용자 계정은 방어 수단의 탐지를 피할 때가 많아 침해에 취약합니다. 또한 해당 계정의 기본 비밀번호는 공격자의 주요 표적입니다.
  온프레미스 환경에 비밀번호 보호가 사용되지 않음	Microsoft Entra 비밀번호 보호는 사용자가 쉽게 추측할 수 있는 비밀번호를 설정하지 못하도록 하여 조직의 전반적인 비밀번호 보안을 강화하는 보안 기능입니다.
  권한이 있는 계정 명명 규칙	Entra ID에서 권한이 있는 사용자에 대하여 명명 규칙을 적용하는 것은 보안, 표준화, 감사 규정 준수 및 관리 간소화에 중요합니다.
  Active Directory와 동기화되고 권한이 있는 Entra 계정(하이브리드)	하이브리드 계정, 즉 Active Directory와 동기화되어 있고 권한이 있는 역할을 포함하는 Entra ID는 AD를 침해한 공격자가 Entra ID로 전환하도록 허용하기 때문에 보안 위험 요소입니다. Entra ID의 권한 있는 계정은 클라우드 전용 계정이어야 합니다.
  Microsoft 365 서비스에 액세스할 수 있는 권한이 있는 Entra 계정	관리 작업용으로 별도의 Entra 계정을 유지하십시오. 하나는 일상적으로 사용할 표준 계정으로, 다른 하나는 관리 활동 전용으로 권한이 있는 계정으로 설정합니다. 이 접근 방식은 권한 있는 계정의 공격 표면을 최소화하여 보안을 강화합니다.
  공개 Microsoft 365 그룹	Entra ID에 저장된 Microsoft 365 그룹은 공개이거나 비공개입니다. 공개 그룹은 테넌트 내 모든 사용자가 참가할 수 있고 데이터(Teams 채팅/파일, 이메일 등)에 대한 액세스 권한을 얻을 수 있으므로 보안 위험을 초래합니다.
  Microsoft Authenticator 알림에 추가적인 컨텍스트 표시	가시성을 개선하려면 Microsoft Authenticator 알림에서 애플리케이션 이름 및 지리적 위치와 같은 추가적인 컨텍스트를 표시하도록 하십시오. 이렇게 하면 사용자가 잠재적으로 악성일 수 있는 MFA 또는 패스워드리스 인증 요청을 식별하고 거부할 수 있어 MFA 피로 공격의 위험을 효과적으로 완화할 수 있습니다.
  멤버가 한 명인 Entra 그룹	멤버가 한 명뿐인 그룹을 만들면 불필요한 중복과 복잡성을 초래하므로 바람직하지 않습니다. 이렇게 하면 관리 계층이 추가되어 그룹에서 간소화된 액세스 제어와 관리를 위해 제공하려는 효율성이 감소할 수 있습니다.
  의심스러운 디렉터리 동기화 계정 역할 할당	"디렉터리 동기화 계정"은 Azure 및 Entra ID 포털 내부에 숨겨진 권한 있는 Entra 역할이며 보통 Microsoft Entra Connect(이전의 Azure AD Connect) 서비스 계정용으로 지정되어 있습니다. 하지만 악성 행위자가 비밀 공격 목적으로 이 역할을 악용할 수 있습니다.
  임시 액세스 패스 기능 사용 설정됨	임시 액세스 패스(TAP) 기능은 시간 제한 또는 사용 제한이 적용된 암호를 사용하는 일시적인 인증 방법입니다. TAP 기능은 정상 기능이지만, 조직에 필요하지 않다면 사용 중지하여 공격 표면을 줄이는 것이 더 안전합니다.
  제한되지 않은 게스트 계정	기본적으로 Entra ID는 게스트 사용자의 액세스를 제한하여 테넌트 내에서의 가시성을 줄입니다. 이러한 제한을 강화하면 보안과 개인정보 보호를 향상할 수 있습니다.
  애플리케이션에 대한 제한 없는 사용자 동의	Entra ID에서는 사용자가 외부 애플리케이션의 조직 데이터 액세스에 자율적으로 동의하도록 허용하며, 공격자가 "불법적인 동의 부여" 공격을 통해 이를 악용할 수 있습니다. 이 문제를 방지하려면 확인된 게시자로 액세스를 제한하거나 관리자 승인을 필수로 설정합니다.
  비정상적 페더레이션 서명 인증서 유효 기간	페더레이션 서명 인증서의 유효 기간이 비정상적으로 길면 의심스러운 사례입니다. 공격자가 Entra ID에서 상승된 권한을 얻어 페더레이션 트러스트 메커니즘을 통해 백도어를 만들었다는 의미일 수 있기 때문입니다.
  확인되지 않은 도메인	Entra ID에서 모든 사용자 지정 도메인의 소유권을 확인하십시오. 확인되지 않은 도메인은 임시로만 유지합니다. 해당 도메인을 확인하거나 제거하여 도메인 목록을 잘 관리된 상태로 유지하고 효율적인 검토를 지원하는 것이 좋습니다.

• 위험 노출 지표 — 새로운 IoE인 하이브리드 Entra ID 정보는 온프레미스 Active Directory에 복제된 Microsoft Entra ID 데이터에 대한 인사이트를 제공하여 조직에서 잠재적 보안 위험을 파악하고 정책 불일치 문제를 해결할 수 있도록 합니다.

• 위험 노출 지표

  • 관리형 서비스 계정 위험한 구성 오류 — 이 IoE를 개선하여 그룹 지원을 포함하고 그룹 관리 서비스 계정(gMSA)에 대한 액세스 제어를 간소화했습니다.

  • SDProp 일관성 보장 — 권장 사항을 개선했습니다.

  • 섀도 자격 증명 — ROCA(Return of Coppersmith’s Attack) 수정을 위한 권장 사항을 개선했습니다.

  • 두 가지 새로운 옵션을 제공하여 그룹 멤버십 기준으로 개체 소유권과 권한에 대한 통제권을 강화했습니다.

  • 허용된 개체 소유자(그룹 멤버십 기준): 보안 주체가 그룹 멤버십을 통해 개체 소유자로 지정될 수 있도록 허용합니다.

  • 허용된 트러스티 목록(그룹 멤버십 기준): 보안 주체의 그룹 멤버십을 기반으로 보안 주체에게 특별한 권한을 할당할 수 있습니다.

• 공격 지표 — Golden Ticket IoA의 공격 벡터 텍스트를 개선했습니다.

• 디렉터리 서비스의 트러스트 특성 및 유형

  • 이제 trustType 특성이 TTAAD(TRUST_TYPE_AAD) 값을 지원합니다.

  • 이제 trustAttributes 특성이 TDAV(TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 값을 지원합니다.

• 내보내기 함수 — 사용자가 CSV 내보내기를 수행할 때 구분자(쉼표 또는 세미콜론)를 선택할 수 있으므로 다양한 사용 사례에 맞게 유연하게 사용할 수 있습니다. 추후 내보내기 작업을 위해 브라우저에 마지막으로 사용한 구분자가 저장됩니다.

Tenable Identity Exposure 버전 3.86에는 다음과 같은 버그 수정이 포함됩니다.

• Identity 360 — Tenable Identity Exposure의 새로운 ID 중심 기능은 조직의 ID 위험 전반의 모든 ID에 대한 자세하고 포괄적인 인벤토리를 제공합니다.

  이 기능을 사용하면 Active Directory 및 Entra ID 전체에서 ID를 통합하고 위험도에 따라 순위를 매길 수 있어, 조직 전반의 ID에 대해 가장 높은 위험부터 가장 낮은 위험까지 순위를 지정할 수 있습니다.

  또한, 사용자는 Identity 360을 통해 ID에 대한 전체적 시각을 얻기 위한 해당 ID에 연결된 계정, 약점 및 장치와 같은 다양한 컨텍스트를 바탕으로 각 ID에 대한 심층적으로 이해할 수 있습니다.

  자세한 내용은 Tenable Identity Exposure사용자 가이드의 Identity 360을 참조하십시오.

• 상태 검사 — 새로운 도메인 상태 검사가 도메인마다 알려진 오류를 식별하고 해결하여 공격 지표 배포에 대한 신뢰도를 강화합니다.

  자세한 내용은 Tenable Identity Exposure사용자 가이드의 상태 검사를 참조하십시오.

Tenable Identity Exposure 버전 3.85에는 다음과 같은 버그 수정이 포함됩니다.