라이프사이클 관리를 잘하면 ID 및 액세스를 보다 효율적으로 관리하고, 규정 준수 프로세스를 간소화하며, 직원이 필요한 리소스에 액세스할 수 있도록 보장하고, 조직이 다음과 같은 목표를 향해 나아갈 수 있습니다. 제로 트러스트.
우수한 수명 주기 관리의 이점만큼이나 다음과 같은 위험도 존재합니다. 나쁜 수명 주기 관리의 중요성은 더욱 커지고 있습니다. 올바른 수명 주기 관리 관행을 도입하지 않는 조직은 잠재적으로 치명적인 결과를 초래할 수 있는 자격증명 기반 공격에 노출될 위험이 있습니다.
그 어느 때보다 많은 직원이 조직에서 이직, 입사 또는 보직 변경을 하는 상황에서 대규모 퇴직은 이러한 결과를 악화시킬 가능성이 높으며, 라이프사이클 관리의 시급한 필요성을 강조합니다. 조직이 우려해야 할 위험과 거버넌스 및 라이프사이클 리스크를 최소화하기 위해 할 수 있는 일을 살펴보세요:
수명 주기 관리가 제대로 이루어지지 않으면 보안팀이 모니터링하지 않거나 심지어 인지하지 못하는 관리되지 않는 계정(서비스 계정, 비활성 계정, 고아 계정, 과도한 권한이 있는 계정 등)이 발생할 수 있습니다. 이렇게 계정에 대한 가시성이 부족하면 위협 행위자가 사용할 수 있는 공격 표면이 확대되어 위험이 증가합니다.
수명 주기 관리를 개선하면 사용자가 누구인지, 무엇을 액세스할 수 있는지, 해당 액세스 권한으로 무엇을 하는지, 왜 필요한지, 그리고 가장 중요한 것은 언제 액세스가 종료되거나 변경되는지에 대한 지속적인 가시성을 제공함으로써 위험을 줄일 수 있습니다. 이를 통해 보안팀은 무엇을 보호해야 하는지, 합법적인 기본 활동은 어떤 모습인지, 합법적인 사용자는 누구인지(또는 그렇지 않은지), 더 이상 사용하지 않는 계정을 제거해야 할 시기는 언제인지 파악할 수 있습니다.
아무도 사용하지 않는 계정을 모니터링하지 않기 때문에 잠재적인 침입자는 이러한 계정을 찾고 해킹 방법을 알아내는 데 무한한 시간을 할애할 수 있습니다. 일단 그렇게 되면 해커가 얼마나 오랫동안 해커의 눈에 띄지 않고 활동할 수 있는지, 그리고 침해된 계정이 얼마나 많은 액세스 권한을 제공하는지에 따라 피해는 제한 없이 계속될 수 있습니다.
대부분의 경우 이러한 침해는 사이버 범죄자에게 충분한 시간과 기회를 제공합니다. 그리고 그 시간 동안 위협 행위자가 할 수 있는 최악의 사례를 찾고 있다면 다음과 같은 사실을 기억하세요. 식민지 파이프라인 랜섬웨어는 해커가 더 이상 사용하지 않는 VPN 계정을 통해 회사 네트워크에 침입하면서 시작되었습니다. 다단계 인증.
비활성 계정이 위협이 되는 것은 외부인뿐만이 아닙니다. 예를 들어, 좋지 않은 조건으로 조직을 떠난 사용자는 자신의 자격 증명을 사용하여 민감한 정보나 리소스에 무기한 또는 적어도 보안팀이 문제를 인지할 때까지 계속 액세스함으로써 큰 혼란을 야기할 수 있습니다. 그리고 계정을 정기적으로 모니터링하거나 다른 방식으로 관리하지 않는다면 그 기간이 길어질 수 있습니다.
사람들은 그 어느 때보다 더 많은 리소스에 액세스할 수 있고 액세스 권한은 끊임없이 변화하기 때문에 정기적이고 체계적인 수명주기 관리를 구현하는 것이 그 어느 때보다 어렵습니다. 몇 년 전 갑자기 100%로 원격 근무를 하게 된 인력의 액세스를 관리해야 하는 추가 과제와 같은 광범위한 변화를 고려하기 전의 이야기입니다. 대량 이탈 이런 상황은 우리가 경험해 보지 못한 것입니다. 이러한 상황에서는 액세스 권한 검토, 권한 할당 및 관리, 액세스 활동 추적, 퇴사 또는 역할 변경 시 적시에 액세스 종료와 같은 활동을 따라잡기가 어렵습니다.
오늘날의 액세스 변화 속도에 발맞추기 위해서는 수명 주기 관리를 도입하는 것뿐만 아니라 액세스 검토 및 기타 수명 주기 관리 활동과 관련된 프로세스를 자동화하는 솔루션을 찾는 것도 중요합니다. 자동화된 수명 주기 관리 활동이 제로 트러스트 사용자의 신원 및 액세스 권한에 대한 신뢰가 전제되지 않는 보안 접근 방식입니다. 우수한 수명 주기 관리가 제공하는 액세스에 대한 가시성은 조직이 제로 트러스트를 향해 나아가는 데 필수적입니다.
잘못된 수명 주기 관리는 재앙적인 결과를 초래할 수 있지만, 효과적인 수명 주기 관리는 조직이 최악의 결과를 피하고 새로운 이점을 실현하는 데 도움이 될 수 있습니다.
솔루션에서 찾아야 할 사항과 방법 알아보기 SecurID 거버넌스 및 수명 주기 가 도움이 될 수 있습니다.
