Inaktiver privilegierter Benutzer

Ein inaktiver Benutzer ist ein Benutzerkonto, das über einen festgelegten Zeitraum (standardmäßig 90 Tage, anpassbar über eine Option) inaktiv geblieben ist, indem es keine erfolgreiche Anmeldung durchgeführt hat.

Inaktive Benutzer können folgende Sicherheitsrisiken und betriebliche Komplikationen mit sich bringen:

• Sie können ein potenzielles Ziel für Angreifer darstellen, insbesondere wenn diese Konten schwache oder unveränderte Passwörter haben, was einen Kompromittierungsversuch erleichtert. So meldete eine CISA-Warnung beispielsweise Folgendes:

Kampagnen haben auch gezielt inaktive Konten von Benutzern angegriffen, die nicht mehr für die betroffene Organisation arbeiten, deren Konten jedoch weiterhin im System bestehen.

• Sie vergrößern die Angriffsfläche der Organisation, indem sie potenzielle Schwachstellen schaffen. Beispielsweise meldete dieselbe CISA-Warnung Folgendes:

Nach einer erzwungenen Zurücksetzung des Passworts für alle Benutzer während eines Vorfalls wurden SVR-Akteure dabei beobachtet, wie sie sich in inaktive Konten einloggten und Anweisungen zum Zurücksetzen des Passworts ausführten. Dadurch war es dem Akteur möglich, sich im Anschluss an Incident Response-Behebungsmaßnahmen erneut Zugriff zu verschaffen.

• Ermöglicht Personen Zugriff, die ihn nicht mehr benötigen, wie z. B. ehemalige Mitarbeiter oder Praktikanten, die dieses Konto nie verwendet haben.
• Verschwendung von Ressourcen, wie z. B. Lizenzen. Durch regelmäßige Identifizierung, Deaktivierung oder Entfernung inaktiver Benutzer können Unternehmen die Ressourcenzuweisung optimieren und unnötige Kosten einsparen.

Beachten Sie auch den zugehörigen IoE „Nie verwendeter privilegierter Benutzer“, der alle Benutzer identifiziert, die vorab erstellt, aber nie verwendet wurden. Für privilegierte Benutzer ist das Risiko höher. Siehe auch den zugehörigen IoE „Inaktiver nicht privilegierter Benutzer“ für nicht privilegierte Benutzer.

Hinweis: Der IoE stützt sich auf die Eigenschaft lastLogin, die eine [bekannte Einschränkung] aufweist(https://support.okta.com/help/s/article/the-user-s-last-login-did-not-update?language=en_US): Okta aktualisiert diesen Wert nur, wenn ein Benutzer das Okta-Dashboard aufruft. Daher führen SP-initiierte Authentifizierungen – etwa wenn Benutzer direkt eine Anwendung aufrufen und dabei kurzzeitig zu Okta zur Authentifizierung weitergeleitet werden – nicht zu einer Aktualisierung dieser Eigenschaft. Aus diesem Grund meldet der IoE möglicherweise falsch positive Ergebnisse für Benutzer, die noch nie auf das Okta-Dashboard zugegriffen haben, sich aber erfolgreich bei Anwendungen authentifiziert haben. Okta hat zwar eine Problemumgehung dokumentiert, diese ist jedoch derzeit nicht mit Tenable Identity Exposure kompatibel. Daher müssen Sie diese falsch positiven Ergebnisse manuell ausschließen.

Tenable empfiehlt, regelmäßig auf inaktive Benutzer zu prüfen und diese zu deaktivieren oder zu löschen, insbesondere privilegierte Benutzer. Nachdem sie identifiziert wurden, führend Sie die folgenden Aktionen aus:

1. Deaktivieren Sie die Benutzer.
2. Warten Sie eine angemessene Zeit lang, etwa einige Monate, um unbeabsichtigte Auswirkungen auszuschließen.
3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Name: Inaktiver privilegierter Benutzer

Codename: DORMANT-PRIVILEGED-USER-OKTA

Schweregrad: Medium

Typ: Okta Indicator of Exposure