حسابهای ممتاز ستون فقرات سیستمهای کامپیوتری هستند و دسترسی بالاتری به منابع حیاتی و دادههای حساس میدهند که اصطلاحا به آنها Privileged Access می گویند. قابلیت هایی مانند ذخیره رمز عبور، نظارت بر sessionها و دسترسی به موقع (JIT یا Privileged Identity Management) را ارائه می دهند. با این حال، تصورات غلطی وجود دارد که این ابزارها به تنهایی برای ایمن کردن کافی هستند.
ابزارهای دسترسی ممتاز برای ایمن سازی سیستم شما کافی نیستند
دسترسی ممتاز چیست؟
حسابهای ممتاز آنهایی هستند که مجوزهای بالایی دارند و به کاربران یا سیستمها اجازه میدهند پیکربندی سیستم ها را مدیریت کنند، به دادههای حساس دسترسی داشته باشند. قابلیت های قدرتمندشان آنها را به هدف اصلی هکرها تبدیل کرده است.
اهمیت دسترسی به حسابهای ممتاز
همانطور که تهدیدات سایبری پیچیده تر می شوند، حساب های دارای امتیاز یا سطح دسترسی بالا نیز بیشتر در حملات مورد سوء استفاده قرار می گیرند. روش های رایج این حملات عبارتند از:
سرقت اعتبار : استفاده از فیشینگ یا بدافزاری برای سرقت اطلاعات ورود به سیستم.
افزایش امتیاز : بهره برداری از آسیب پذیری های سیستم برای دستیابی به سطوح دسترسی بالاتر.
حرکت جانبی : استفاده از یک حساب کاربری در معرض خطر برای نفوذ به سیستم های دیگر.
داشتن دسترسی بالا صرفاً یک مسئله فناوری اطلاعات نیست. این یک ریسک سازمانی حیاتی با اثرات بالقوه از جمله نقض داده ها، اختلالات عملیاتی و مجازات های نظارتی است.
مدیریت ابزار دسترسی به حسابهای ممتاز
مدیریت رمز عبور : ذخیره سازی امن، چرخش و مدیریت اعتبارنامه های ممتاز.
کنترل دسترسی : سیاستهایی برای محدود کردن دسترسی بر اساس نقشها، وظایف و یا تأییدیهها.
نظارت بر session : نظارت در زمان واقعی از جمله ضبط موارد رخ داده و بررسی هشدارها.
دسترسی به موقع : افزایش موقت امتیازات برای به حداقل رساندن دسترسی.
این ابزارها ضروری هستند اما محدودیت هایی نیز دارند:
آسیبپذیریهای نقطه پایانی : این ابزارها نمیتوانند از دستگاههایی که برای دسترسی به حسابهای دارای امتیاز بالا استفاده میشوند محافظت کنند.
پیچیدگی پیکربندی : پیکربندی های نادرست می تواند منجر به شکاف های امنیتی شود.
خطرات مواجهه خارجی : اگر حسابها به سیستمهای خارجی مانند ایمیل مرتبط شوند، به اهدافی با ارزش برای هکرها تبدیل میشوند.
تهدیدهای پایدار پیشرفته (APT) : ابزارها به تنهایی نمی توانند از اعمال نفوذ تاکتیک های پیچیده توسط مهاجمان مصمم جلوگیری کنند. هکرها یا راهی پیدا میکنند یا راهی برای خود میسازند.
اصول کلیدی استراتژی های عملی برای کاهش خطرات دسترسی به حسابهای ممتاز
- تفکیک حساب ها
حسابهای دارای امتیاز نباید برای فعالیتهای روزمره مانند خواندن ایمیلها یا مرور وب استفاده شوند. حساب های جداگانه برای وظایف شخصی، احتمال خطر را کاهش می دهد.
- قرار گرفتن در معرض خارجی
حسابهای دارای امتیاز نباید به سرویسهای خارجی مانند ایمیل یا ارتباط از راه دور مرتبط باشند. این انزوا قرار گرفتن؛ حملات فیشینگ و مبتنی بر وب را کاهش می دهد.
- کنترل برنامه
برنامههای تأیید شده تنها باید روی دستگاههایی اجرا شوند که برای کارهای سطح دسترسی بالا استفاده میشوند. لیست سفید تضمین می کند که نرم افزارهای مخرب نمی توانند روی سیستم های حیاتی اجرا شوند.
- مدیریت پچ
بهطور منظم نرمافزار و سیستمعاملها را بهروزرسانی کنید تا آسیبپذیریهایی را که مهاجمان میتوانند از آنها برای افزایش امتیازات استفاده کنند، برطرف شود.
خطرات استفاده از حسابهای استاندارد برای دسترسی بالا
برخی از سازمان ها به حساب های کاربری استاندارد اجازه می دهند تا به طور موقت امتیازات را افزایش دهند و خطرات قابل توجهی را ایجاد کنند:
- اگر یک حساب کاربری استاندارد هک شود یا در معرض خطر قرار گیرد، مهاجمان میتوانند از افزایش امتیاز برای به دست آوردن کنترل آن استفاده کنند.
- بدافزار یا نرمافزارهای مخرب روی دستگاه کاربر میتوانند اعتبار session را رهگیری و به مهاجمان دسترسی نامحدودی بدهند.
- sessionهای با دسترسی بالا اغلب کمتر مورد بررسی قرار می گیرند و به مهاجمان اجازه می دهد تا اقدامات مخرب را بدون شناسایی انجام دهند.
سناریوهای حمله
سناریو 1: حساب اختصاصی مرتبط با ایمیل
تهدید : یک مدیر از یک حساب کاربری برای ایمیل و کارهای اداری استفاده می کند.
بردار حمله : یک ایمیل فیشینگ اعتبار حساب را به خطر می اندازد.
تأثیر : مهاجمان از اعتبارنامه های سرقت شده برای افزایش امتیازات و استقرار باج افزار در سراسر شبکه استفاده می کنند.
روش کاهش تهدید : حسابها را برای کارهای ممتاز جدا کنید، MFA را اجرا کنید و حسابهای دارای امتیاز را از دسترسی به سیستمهای ایمیل مسدود کنید.
سناریوی 2: نقطه پایانی به خطر افتاده
تهدید : لپ تاپ یک کاربر استاندارد به بدافزار آلوده شده است.
بردار حمله : کاربر از طریق ابزار PAM امتیازات را افزایش میدهد و بدافزار دادهها را رهگیری میکند.
تأثیر : مهاجمان به سیستمهای حیاتی دسترسی مدیریتی پیدا میکنند.
کاهش : نظارت دقیقی بر روی سیستم نهایی کاربر اجرا کنید.
خطرات ناشی از فروشندگان خارجی
در بسیاری از سازمان ها، دسترسی ممتاز به فروشندگان خارجی برای مدیریت و پشتیبانی سیستم اعطا می شود. در حالی که کاربران داخلی ممکن است بدون حساب های ممتاز کار کنند، فروشندگان خارجی خطرات قابل توجهی دارند:
دستگاه های مدیریت نشده : فروشندگان خارجی اغلب از دستگاه های خود استفاده می کنند که ممکن است امنیت کافی نداشته باشند.
آسیب پذیری های دسترسی از راه دور : دسترسی از طریق VPN یا RDP قرار گرفتن در معرض تهدیدات را افزایش می دهد.
نظارت محدود : سازمان ها ممکن است کمترین دید امنیتی را نسبت به فعالیت های فروشنده داشته باشند.
توصیه هایی برای مدیریت دسترسی فروشنده
محیطهای مجازی امن : برای جداسازی دسترسی فروشنده، از میزبانهای امن یا دسکتاپ مجازی امن استفاده کنید.
دستگاه های مدیریت شده : از فروشندگان بخواهید تا در صورت امکان از دستگاه های امن شده توسط سازمان استفاده کنند.
نظارت و ممیزی : ثبت تمام فعالیت های فروشنده از کل تا جزء بدون اغماض.
دسترسی محدود به زمان : از امتیازات Just-In-Time برای به حداقل رساندن دسترسی استفاده کنید.
توصیه هایی برای ایمن کردن دسترسی به حسابهای ممتاز
- هر درخواست دسترسی را بدون در نظر گرفتن کاربر یا دستگاه بررسی کنید.
پیاده سازی MFA و تجزیه و تحلیل رفتاری برای تشخیص ناهنجاری ها.
- حداقل دسترسی لازم را به اشخاص اعطا کنید.
- از دستگاه های ایمن و ایزوله برای کارهای اداری استفاده کنید.
برای جلوگیری از تهدیدات خارجی، دسترسی به اینترنت و ایمیل را مسدود کنید.
- از راهکارهای تشخیص و پاسخ برای نظارت بر دستگاه ها استفاده کنید.
نصب نرم افزار را فقط به برنامه های مورد تایید محدود کنید.
- حساب های ممتاز را بررسی کنید و به گزارشات دسترسی داشته باشید.
اطمینان حاصل کنید که مجوزها با نقشها و مسئولیتهای شغلی فعلی همخوانی دارند.
- ارائه آموزش جامع به کارمندان و مدیران در مورد: خطرات فیشینگ و مهندسی اجتماعی و روش های ایمن برای مدیریت حساب ها.
7. از راه حل هایی ازقبیل پاسخهای خودکار به اقدامات مشکوک مانند قفل کردن حسابها استفاده کنید.