从未使用的特权用户

从未使用的用户是指在 Okta 中创建后，自创建之日起的特定天数内（默认为 90 天，可自定义）从未成功在 Okta 仪表盘上进行过身份验证的用户帐户。

此类帐户由于各种原因会增加攻击面，例如：

• 后门程序帐户允许不再需要访问权限的人员（如前员工或从未使用过该帐户的实习生）继续访问。
• 继续使用默认密码会增加帐户遭到入侵的风险。例如，CISA 警报指出：

  攻击活动还针对那些不再在受害组织工作但其帐户仍保留在系统中的用户的休眠帐户

，警报还提到：

在某次事件中，所有用户被迫重置密码后，发现 SVR 攻击者登录了处于非活动状态的帐户，并按照指示完成了密码重置。这造成攻击者在事件响应驱逐活动后重新获得访问权限。

• 造成诸如许可证等资源的浪费。通过定期识别、停用或移除不必要的用户，组织可以优化资源分配并节省不必要的成本。

此外，请考虑相关的“休眠用户”IoE，该指标可识别所有以前处于活动状态但现在处于非活动状态的用户。 特权用户面临的风险更高。对于非特权用户，另请参阅相关 IOE“从未使用的非特权用户”。

注意：IOE 依赖 lastLogin 属性，该属性存在已知限制：Okta 仅在用户访问 Okta 仪表盘时才会更新此值。因此，由 SP 发起的身份验证（例如用户直接访问某个应用程序，并被临时重定向到 Okta 进行身份验证的情况）不会更新此属性。由于这一点，对于那些从未访问过 Okta 仪表盘、但已成功在应用程序上完成身份验证的用户，IOE 可能会产生误报。虽然 Okta 已记录了一种变通解决方案，但该方案目前与 Tenable Identity Exposure 不兼容。因此，您必须手动排除这些误报。

Tenable 建议定期审查，并禁用或删除从未使用的用户，尤其是特权用户。识别出这些用户后，请执行以下操作：

1. 禁用这些帐户。
2. 等待足够长的时间，例如几个月，以确保不会产生意外影响。
3. 经过这段等待期后，如果未报告任何问题，并且组织的信息安全策略允许，则可以删除这些帐户。

名称: 从未使用的特权用户

代码名称: NEVER-USED-PRIVILEGED-USER-OKTA

严重性: Medium

类型: Okta Indicator of Exposure