Nie verwendeter nicht privilegierter Benutzer

Ein nie verwendeter Benutzer ist ein in Okta erstelltes Benutzerkonto, das sich seit seiner Erstellung für eine bestimmte Anzahl von Tagen (standardmäßig 90 Tage, anpassbar) nicht erfolgreich beim Okta-Dashboard authentifiziert hat.

Diese Benutzerkonten vergrößern aus verschiedenen Gründen die Angriffsfläche, unter anderem:

• Ein Backdoor-Konto, das Personen Zugriff gewährt, die ihn nicht mehr benötigen, z. B. ehemalige Mitarbeiter oder Praktikanten, die dieses Konto nie verwendet haben.
• Weiterverwendung des Standardpassworts, wodurch das Konto einem höheren Kompromittierungsrisiko ausgesetzt wird. So wurde in einer CISA-Warnung Folgendes gemeldet:

  Kampagnen zielten auch auf inaktive Konten ab, die Benutzern gehören, die nicht mehr in der betroffenen Organisation arbeiten, deren Konten aber im System verbleiben

Außerdem:

Nach einer erzwungenen Passwortrücksetzung für alle Benutzer während eines Vorfalls wurden SVR-Akteure auch dabei beobachtet, wie sie sich in inaktive Konten einloggten und die Anweisungen zum Zurücksetzen des Passworts befolgten. Dies ermöglichte es dem Akteur, sich nach Incident Response-Behebungsmaßnahmen erneut Zugriff zu verschaffen.

• Verschwendung von Ressourcen wie Lizenzen. Durch regelmäßige Identifizierung, Deaktivierung oder Entfernung unnötiger Benutzer können Unternehmen die Ressourcenzuweisung optimieren und unnötige Kosten sparen.

Beachten Sie auch den zugehörigen IoE „Inaktiver Benutzer“, der alle zuvor aktiven Benutzer identifiziert, die seitdem inaktiv geworden sind. Siehe auch den zugehörigen IoE „Nie verwendeter privilegierter Benutzer“ für privilegierte Benutzer.

Hinweis: Der IoE stützt sich auf die Eigenschaft lastLogin, die eine [bekannte Einschränkung] aufweist(https://support.okta.com/help/s/article/the-user-s-last-login-did-not-update?language=en_US): Okta aktualisiert diesen Wert nur, wenn ein Benutzer das Okta-Dashboard aufruft. Daher führen SP-initiierte Authentifizierungen – etwa wenn Benutzer direkt eine Anwendung aufrufen und dabei kurzzeitig zu Okta zur Authentifizierung weitergeleitet werden – nicht zu einer Aktualisierung dieser Eigenschaft. Aus diesem Grund meldet der IoE möglicherweise falsch positive Ergebnisse für Benutzer, die noch nie auf das Okta-Dashboard zugegriffen haben, sich aber erfolgreich bei Anwendungen authentifiziert haben. Okta hat zwar eine Problemumgehung dokumentiert, diese ist jedoch derzeit nicht mit Tenable Identity Exposure kompatibel. Daher müssen Sie diese falsch positiven Ergebnisse manuell ausschließen.

Tenable empfiehlt, regelmäßig auf nie verwendete Benutzer zu prüfen und diese zu deaktivieren oder zu löschen. Nachdem sie identifiziert wurden, führend Sie die folgenden Aktionen aus:

1. Deaktivieren Sie die Benutzer.
2. Warten Sie eine angemessene Zeit lang, etwa einige Monate, um unbeabsichtigte Auswirkungen auszuschließen.
3. Wenn nach dieser Wartezeit keine Probleme gemeldet wurden und die Informationssicherheitsrichtlinie der Organisation dies zulässt, löschen Sie sie.

Name: Nie verwendeter nicht privilegierter Benutzer

Codename: NEVER-USED-NON-PRIVILEGED-USER-OKTA

Schweregrad: Low

Typ: Okta Indicator of Exposure