休眠特權使用者

「休眠使用者」是指在指定時間 (預設為 90 天，可透過選項自訂) 內從未成功登入，因此一直保持閒置狀態的使用者帳戶。

休眠使用者可能會帶來下列安全風險，並導致營運流程複雜化:

• 如果這些帳戶使用脆弱或未更新的密碼，則可能成為攻擊者用於入侵的目標。舉例來說，CISA 警示 指出:

攻擊者也鎖定了受害組織中的休眠帳戶，這些帳戶屬於已離職員工，但仍留存在系統中

• 組織會因為潛在的弱點，導致攻擊破綻增加。例如，同一則 CISA 警示 也指出：

在資安事端期間強制要求所有使用者重設密碼後，也發現有 SVR 攻擊者登入非作用中帳戶，並按照說明重設密碼，這讓攻擊者在資安事端回應驅逐行動後，仍能重新取得存取權。

• 為不再有需要的個人提供存取權，例如從未使用過此帳戶的前員工或實習生。
• 浪費授權等資源。組織可以透過定期識別、停用或移除休眠使用者，改善資源分配並省下不必要的支出。

另請考慮相關的曝險指標 (IoE)「待啟用的特權使用者」，該指標會識別所有預先建立但從未啟用的使用者。 對於特權使用者而言，風險又會更高。針對非特權使用者，另請參閱相關的曝險指標 (IoE)「休眠非特權使用者」。

注意: 曝險指標 (IoE) 依賴 lastLogin 屬性，該屬性具有已知限制: Okta 僅在使用者存取 Okta 儀表板時才會更新此值。因此，透過服務供應商進行的驗證 (例如使用者直接存取應用程式，並短暫重新導向至 Okta 進行驗證) 不會更新此屬性。這會導致遇到從未存取 Okta 儀表板但已成功完成應用程式驗證的使用者時，曝險指標 (IoE) 可能會誤報。雖然 Okta 記錄了解決方法，但該做法目前不適用於 Tenable Identity Exposure。因此，您必須手動排除這些誤報。

Tenable 建議您定期檢查，並停用或刪除休眠使用者，尤其是特權使用者。找出這類使用者後，請採取以下動作:

1. 停用。
2. 請等待一段充足時間 (例如數個月)，確保沒有任何非預期的影響。
3. 在這段延遲期後，如果沒有回報任何問題，即可在貴組織資安政策允許的情況下繼續刪除。

名稱: 休眠特權使用者

代碼名稱: DORMANT-PRIVILEGED-USER-OKTA

嚴重性: Medium

類型: Okta Indicator of Exposure