Π

By

Marizas Dimitris

On

Φεβ 8, 2024

Στο παρελθόν, πολλοί οργανισμοί επέλεγαν να εμπιστεύονται χρήστες και συσκευές εντός της ασφαλούς περιμέτρου τους. Αυτό δεν είναι πλέον δυνατό, καθώς οι εργαζόμενοι είναι κατανεμημένοι γεωγραφικά και χρειάζονται πρόσβαση από πολλές τοποθεσίες και συσκευές. Οι τελικοί χρήστες χρειάζονται πρόσβαση σε εταιρικά συστήματα και εφαρμογές cloud πέρα από τα παραδοσιακά όρια εργασίας και αναμένουν απρόσκοπτη, γρήγορη επαλήθευση ταυτότητας.

Αυτές οι πιέσεις έχουν οδηγήσει πολλούς οργανισμούς να στραφούν σε ένα μοντέλο μηδενικής εμπιστοσύνης για να επαληθεύσουν τους χρήστες

που

έχουν πρόσβαση στα δεδομένα τους. Ως η ραχοκοκαλιά του ελέγχου ταυτότητας δικτύου, το Active Directory αποτελεί βασικό στοιχείο σε κάθε στρατηγική ασφάλειας πρόσβασης.

Είναι ζωτικής σημασίας τα διαπιστευτήρια που είναι αποθηκευμένα μέσα να διατηρούνται ασφαλή – πώς μπορούμε λοιπόν να εφαρμόσουμε αρχές μηδενικής εμπιστοσύνης για να διατηρήσουμε την υπηρεσία καταλόγου Active Directory ασφαλή;

Εφαρμογή μοντέλου μηδενικής εμπιστοσύνης

Αναμφίβολα έχετε ακούσει για το μοντέλο μηδενικής εμπιστοσύνης: είναι

μι

α προσέγγιση κυβερνοασφάλειας που προϋποθέτει ότι δεν υπάρχει εμπιστοσύνη σε κανέναν χρήστη ή σύστημα, ανεξάρτητα από την τοποθεσία ή το δίκτυό τους. Λειτουργεί με την αρχή του «ποτέ μην εμπιστεύεσαι, πάντα επαληθεύεις».

Σε ένα μοντέλο μηδενικής αξιοπιστίας, κάθε χρήστης, συσκευή και στοιχείο δικτύου πρέπει να πιστοποιηθεί και να εξουσιοδοτηθεί πριν από την πρόσβαση σε οποιουσδήποτε πόρους ή δεδομένα.

Ακούγεται απλό, ωστόσο δεν υπάρχει οριστική λίστα ελέγχου για την επίτευξη μηδενικής εμπιστοσύνης. Η εφαρμογή οποιουδήποτε μοντέλου ασφαλείας υπερβαίνει την υιοθέτηση μερικών βέλτιστων πρακτικών ή την ανάπτυξη μιας ενιαίας λύσης λογισμικού. Περιλαμβάνει την κατασκευή ενός πολυεπίπεδου πλαισίου ασφαλείας που περιλαμβάνει διάφορες τεχνολογίες, διαδικασίες και πολιτικές.

Έχουμε προτείνει μερικές ιδέες για να ξεκινήσετε, αλλά έχετε κατά νου ότι η εφαρμογή των αρχών μηδενικής εμπιστοσύνης στην ασφάλεια της υπηρεσίας καταλόγου Active Directory είναι ένα συνεχές ταξίδι.

Επιβολή της αρχής του ελάχιστου προνομίου

Η ύπαρξη λογαριασμών με σημαντικά προνόμια ενέχει εγγενώς έναν κίνδυνο. Υπάρχει ο κίνδυνος οι διαχειριστές να κάνουν κατά λάθος ή κακόβουλη κατάχρηση των δικαιωμάτων τους με τρόπους που δεν θα μπορούσε ένας κανονικός τελικός χρήστης. Επιπλέον, εάν ένας κακόβουλος ηθοποιός παραβιάσει με επιτυχία έναν προνομιακό λογαριασμό, η πιθανότητα σοβαρής βλάβης πολλαπλασιάζεται.

Αυτό καθιστά την επιβολή της αρχής του ελάχιστου προνομίου ένα ουσιαστικό βήμα για την προστασία των περιβαλλόντων Active Directory.

Η αρχή του ελάχιστου προνομίου ορίζει ότι τα άτομα ή οι οντότητες πρέπει να έχουν μόνο το ελάχιστο επίπεδο πρόσβασης που απαιτείται για την εκτέλεση των καθηκόντων ή των λειτουργιών τους. Αυτό στοχεύει στον περιορισμό πιθανής ζημιάς ή μη εξουσιοδοτημένης πρόσβασης περιορίζοντας τα προνόμια μόνο σε ό,τι είναι απαραίτητο.

Εφαρμόζοντας την αρχή των ελάχιστων προνομίων, οι οργανισμοί διασφαλίζουν ότι κάθε χρήστης ή στοιχείο συστήματος έχει μόνο τις απαραίτητες άδειες, ελαχιστοποιώντας τον πιθανό αντίκτυπο μιας παραβίασης της ασφάλειας ή μιας εσωτερικής απειλής.

Η εφαρμογή ενός μοντέλου μηδενικής εμπιστοσύνης θα σήμαινε τη χορήγηση αυξημένων προνομίων ακόμη και σε διαχειριστές μόνο όταν είναι απαραίτητο και για περιορισμένη διάρκεια. Οι μέθοδοι για την επίτευξη της κλιμάκωσης των προνομίων “ακριβώς έγκαιρα” στην υπηρεσία καταλόγου Active Directory περιλαμβάνουν

Μοντέλο ESAE (Red Forest).

προσωρινή ιδιότητα μέλους ομάδας με συγχρονισμένη λήξη εισιτηρίου και προσωρινοί λογαριασμοί διαχειριστή με κατάσταση απενεργοποίησης μέχρι να χρειαστεί.

Ενδιαφέρεστε να μάθετε εάν έχετε μπαγιάτικους ή ανενεργούς λογαριασμούς διαχειριστή;

Εκτελέστε μια δωρεάν σάρωση μόνο για ανάγνωση της υπηρεσίας καταλόγου Active Directory

.

Χρησιμοποιήστε το MFA για επαναφορά κωδικού πρόσβασης

Οι διαδικασίες επαναφοράς κωδικού πρόσβασης αποτελούν συχνά ένα σημείο ευπάθειας στην ασφάλεια της υπηρεσίας καταλόγου Active Directory ενός οργανισμού, ειδικά όταν περιλαμβάνουν την αποστολή συνδέσμου επαναφοράς ή κωδικού στο email ή το τηλέφωνο του χρήστη.

Ωστόσο, εάν ένας εισβολέας αποκτήσει μη εξουσιοδοτημένη πρόσβαση στον λογαριασμό email του χρήστη ή υποκλέψει τον κωδικό επαναφοράς, μπορεί να επαναφέρει τον κωδικό πρόσβασης. Χωρίς κατάλληλες διαδικασίες ελέγχου ταυτότητας, μη εξουσιοδοτημένα άτομα ενδέχεται να μπορούν να τις χρησιμοποιήσουν για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα και συστήματα.

Οι χάκερ στοχεύουν γραφεία υποστήριξης με κοινωνική μηχανική για να προσπαθήσουν να επωφεληθούν από τις διαδικασίες επαναφοράς κωδικού πρόσβασης. Θα προσποιηθούν ότι έχασαν τη συσκευή τους και θα προσπαθήσουν να στείλουν έναν σύνδεσμο επαναφοράς σε μια συσκευή που ελέγχεται από τον εισβολέα. Αυτό είναι επικίνδυνο καθώς ένας εισβολέας μπορεί τώρα να αναλάβει έναν νόμιμο λογαριασμό και να εξαπολύσει περαιτέρω επιθέσεις.

Ο κίνδυνος τονίστηκε ξεκάθαρα στο πρόσφατο

Επίθεση ransomware της MGM Resorts

όπου οι χάκερ κάλεσαν το γραφείο εξυπηρέτησης και κατάφεραν να πάρουν τα διαπιστευτήρια σύνδεσης πριν αναπτύξουν

ransomware

.

Το MFA είναι βασικό μέρος μιας στρατηγικής μηδενικής εμπιστοσύνης, καθώς προσθέτει επιπλέον επίπεδα ελέγχου ταυτότητας πέρα από τον κωδικό πρόσβασης. Λύσεις όπως

Προδιαγραφές uReset

προσθέστε MFA στη διαδικασία επαναφοράς κωδικού πρόσβασης αυτοεξυπηρέτησης για να διασφαλίσετε ότι μόνο οι τελικοί χρήστες με έλεγχο ταυτότητας μπορούν να επαναφέρουν τους κωδικούς πρόσβασής τους.

Αυτό επιτρέπει στους οργανισμούς να επιλέξουν από μια ποικιλία μεθόδων ελέγχου ταυτότητας, όπως η βιομετρική επαλήθευση, ο έλεγχος ταυτότητας SMS, η επαλήθευση ηλεκτρονικού ταχυδρομείου και οι ελεγκτές τρίτων, όπως ο Επαληθευτής Google.

Σάρωση για παραβιασμένους κωδικούς πρόσβασης

Γιατί να μην απομακρυνθείτε εντελώς από τους κωδικούς πρόσβασης; Για τους περισσότερους οργανισμούς,

απλά δεν είναι εφικτό

. Ακόμα κι αν ο αριθμός τους μπορεί να μειωθεί, οι κωδικοί πρόσβασης θα αποτελούν στοιχείο των περισσότερων στρατηγικών ασφάλειας στον κυβερνοχώρο, επομένως πρέπει να τους κάνουμε όσο το δυνατόν ασφαλέστερους.

Η ύπαρξη αρχών μηδενικής εμπιστοσύνης σίγουρα βοηθάει, αλλά δεν είναι μια ασημένια κουκκίδα για την ασφάλεια του κωδικού πρόσβασης.

Είναι σύνηθες φαινόμενο ακόμη και ισχυροί κωδικοί πρόσβασης να παραβιάζονται μέσω επιθέσεων phishing, παραβιάσεων δεδομένων και

επαναχρησιμοποίηση κωδικού πρόσβασης

. Και δυστυχώς, οι χάκερ έχουν πολλά

μεθόδους παράκαμψης του MFA

.

Επομένως, είναι σημαντικό οι οργανισμοί να έχουν έναν τρόπο να ελέγχουν για κωδικούς πρόσβασης που έχουν παραβιαστεί – διαφορετικά ένας χάκερ μπορεί σχετικά απλά να παρακάμψει τις διαδικασίες μηδενικής εμπιστοσύνης που έχετε σε εφαρμογή.

Πολιτική κωδικού πρόσβασης Specops

σας επιτρέπει

συνεχής σάρωση για κωδικούς πρόσβασης

που έχουν παραβιαστεί. Τα συστήματα συλλογής δεδομένων παρακολούθησης επιθέσεων της ερευνητικής μας ομάδας ενημερώνουν καθημερινά την υπηρεσία και διασφαλίζουν ότι τα δίκτυα προστατεύονται από επιθέσεις κωδικών πρόσβασης στον πραγματικό κόσμο που συμβαίνουν αυτήν τη στιγμή.

Η υπηρεσία Προστασίας παραβιασμένου κωδικού πρόσβασης αποκλείει αυτούς τους παραβιασμένους κωδικούς πρόσβασης στην υπηρεσία καταλόγου Active Directory και ειδοποιεί τους τελικούς χρήστες να αλλάξουν αμέσως έναν

νέο

και ασφαλή κωδικό πρόσβασης.

Έχετε ερωτήσεις σχετικά με το πώς θα μπορούσατε να προσαρμόσετε την Πολιτική κωδικού πρόσβασης Specops για τις ανάγκες σας;

Επικοινωνήστε με το Specops Software για να δείτε πώς λειτουργεί με μια επίδειξη ή δωρεάν δοκιμή

.

Χορηγός και συγγραφή από

Λογισμικό Specops

.

VIA:

bleepingcomputer.com

security

κυβερνασφάλεια

Μηδενική εμπιστοσύνη

προδιαγραφές