حسابهای کاربری با سطح دسترسی بالا (Privileged Account ) به ارزشمندترین اطلاعات سازمان دسترسی دارند و همین خاطر است که اغلب مورد هدف حملات مهاجمین قرار میگیرند. در نتیجه سازمانها باید دسترسی سطح بالا را به شیوهای ایمن و کارآمد مدیریت نمایند. بسیاری از مقررات تطبیقپذیری (Compliance Regulations) توصیهی اکید بر کنترل امنیت و مدیریت کاربر با دسترسی سطح بالا دارند. برای رفع این نیازمندیها و پیشگیری از آسیبپذیریهای مخرب امنیتی دادهها، سازمانها راهکارهای (Privileged Access Management (PAM مختلفی در روال امنیتی خود پیادهسازی میکنند. اما راهکار PAM مناسب را چگونه باید انتخاب کرد و به دنبال چه ویژگیهایی باید بود؟
بنا به مقالهی «Best Practices for Privileged Account Management» که در سال 2019 توسط Gartner منتشر گردید، یک راهکار PAM کیفی باید بر مبنای چهار رکن باشد:
- ارائهی قابلیت دید کامل از تمام حسابهای کاربری با دسترسی سطح بالا
- مدیریت و کنترل سطح دسترسیها
- مانیتور و ممیزی فعالیتهای انجام شده با دسترسی سطح بالا
- خودکارسازی و یکپارچهسازی ابزار PAM
در این بررسی، بنابه چهار رکن مذکور، مهمترین ویژگیهایی که به ایمنسازی دسترسی سطح بالا به دادههای حساس سازمان کمک میکنند، فهرست میگردند.
شناسایی مداوم حسابهای کاربری دارای دسترسی سطح بالا
کاربر نمیتواند از چیزی که نسبت به آن آگاه نیست محافظت نماید، بنابراین شناسایی تمامی حسابهای کاربری موجود در شبکه که دسترسی سطح بالا دارند، الزامی است. باید به دنبال راهکارهای مدیریت دسترسی سطح بالایی بود که شناسایی انواع حسابهای کاربری با این نوع دسترسی را، که توسط کاربران انسانی و یا برنامههای کاربردی مورد استفاده قرار میگیرند، میسر سازد.
زمانی که شخص قابلیت دید کاملی از حسابهای کاربری با دسترسی سطح بالا در شبکهی خود داشته باشد، میتواند به راحتی از حسابهای کاربری غیر ضروری با سطح دسترسی مدیر، رهایی یابد و تعیین نماید که کدام حسابهای کاربری یا کاربران خاص به کدام منابع حیاتی دسترسی داشته باشند. حتی اگر بخواهیم گامی فراتر نهیم، میتوان سیستم را با حذف تمام حسابهای کاربری مدیر پیشفرض امنتر نمود و سیاست حداقل سطح دسترسی یا رویکرد امنیتی Zero-Trust را پیادهسازی کرد. بزرگترین چالش در مورد پیادهسازی این قابلیتها، بهروز نگه داشتن دادههای حسابهای کاربری با دسترسی سطح بالا میباشد. اگر یکی از افزایش سطح دسترسیها نادرست باشد، امنیت سایبری سازمان در معرض خطر بزرگی قرار میگیرد.
احراز هویت چندمرحلهای
ویژگی احراز هویت چند مرحلهای (MFA) اقدامی است ضروری برای اطمینان حاصل نمودن از این که تنها افراد مجاز میتوانند به دادههای حیاتی دسترسی داشته باشند. همچنین راه بسیار مناسبی است برای پیشگیری از تهدیدات داخلی از طریق کاهش ریسک عوامل مخرب داخلی که رمزهای عبور را از همکاران خود قرض میگیرند.
اکثر ابزارهای راهاندازی MFA، ترکیبی از دو مرحله را ارائه میکنند:
- دانش (اطلاعات اعتباری کاربر)
- مالکیت (دادههای بیومتریک، رمز عبور One-Time که به دستگاه همراه تاییدشدهی کاربر ارسال میگردد و غیره)
مشخص نمودن اینکه کدام Endpoint یا منبع به بیشترین میزان محافظت نیاز دارد یکی از چالشهای اصلی در ارتباط با پیادهسازی این قابلیت میباشد. برای اجتناب از ایجاد دشواریهای مفرط برای کارکنان، مهم است که قابلیت عملکرد MFA تنها در زمان و در جای لازم پیادهسازی گردد.
مدیریت Session
بسیاری از شرکتهای امنیتی، مدیریت Session و دسترسی سطح بالا (PASM) را به عنوان راهکاری مستقل یا بخشی از نرمافزار مدیریت حساب کاربری با دسترسی سطح بالای خود ارائه میکنند. توانایی مانیتور و ثبت کردن Sessionهای با دسترسی سطح بالا، تمام اطلاعات لازم را برای ممیزی فعالیت با دسترسی سطح بالا و بررسی رخدادهای امنیت سایبری، به متخصصین امنیتی ارائه میکند.
چالش اصلی در اینجا همراه ساختن هر Session رکوردشده با یک کاربر مشخص میباشد. در بسیاری از سازمانها، کارکنان از حسابهای کاربری مشترک برای دسترسی به برنامههای کاربردی و سیستمهای مختلف استفاده میکنند. اگر از اطلاعات اعتباری یکسان استفاده کنند، Sessionهای آغازشده توسط کاربران مختلف با همان حساب کاربری مشترک همراه خواهد شد.
برای حل این مشکل، باید به دنبال راهکار PAMی بود که قابلیت عملکرد احراز هویت ثانویه برای حسابهای کاربری پیشفرض و مشترک ارائه میکند. بنابراین اگر کاربری با یک حساب کاربری مشترک وارد سیستم شود، از وی درخواست میشود که اطلاعات اعتباری شخصی خود را نیز ارائه کند تا تایید شود که این Session بهخصوص توسط این کاربر آغاز شده است.
رمزهای عبور One-Time
یکی دیگر از بهترین راههای اطمینان حاصل نمودن از این که تنها شخص مجاز، به منابع حیاتی دسترسی دارد، پیادهسازی رمز عبور One-Time میباشد. این قابلیت بهترین گزینه برای ارائهی دسترسی به ارزشمندترین منابع سازمان در لحظه (JIT)، از جمله پیمانکارهای دیگر Third-Party، است. رمزهای عبورهای One-Time تنها برای مدت زمان کوتاهی معتبر بوده و قابل استفادهی مجدد نیستند، که این امر ریسک آسیب رسیدن به دادهها را به حداقل میرساند.
آنالیز رفتار سرور (Entity) و کاربر (UEBA)
ابزار آنالیز رفتار سرور و کاربر (UEBA) به مشخص شدن آسیبپذیریهای ناشی از حساب کاربری با دسترسی سطح بالا در مراحل اولیه، کمک میکنند. آنها دادههای Log شده توسط ابزار PAM دیگر را، شامل Logها و رکوردهای Session، آنالیز نموده و الگوهای رفتار کاربر معمول را شناسایی میکنند. اگر رفتار یک سرور یا کاربر خاص با الگوی معمول خود متفاوت باشد، سیستم آن را به عنوان مورد مشکوک علامتگذاری میکند. ابزار UEBA به قصد کمک به کاربر برای بستن شکافهای بهجا مانده از دیگر ابزارهای امنیتی و شناسایی نفوذ در کوتاهترین زمان ممکن، مورد استفاده قرار میگیرند.
در حال حاضر در بازار تعداد زیادی از راهکارهای مستقل UEBA و سایر راهکارهای امنیتی با قابلیت عملکرد UEBAی Built-In ارائه میگردد. زمانی که به حسابکاربری با دسترسی سطح بالا برمیخوریم، باید به دنبال یک راهکار مدیریت رویداد و اطلاعات امنیتی (SIEM) یا PAM باشیم که حداقل قابلیتهای UEBA را ارائه نماید.
هشدارهای Real-Time
هرچه سریعتر حمله متوقف گردد، عواقب آن کمتر خواهد بود، اما برای پاسخگو بودن به یک رخداد امنیتی احتمالی باید در نزدیکترین زمان ممکن، باید در حد توان به صورت Real-Time از آن رخداد با خبر شد. بنابراین در زمان انتخاب یک راهکار برای مدیریت دسترسی سطح بالا باید از وجود یک سیستم هشدار دهندهی خوب مطمئن شد.
اغلب راهکارهای PAM مجموعهای از هشدارها و قواعد استاندارد ارائه میکنند. به عنوان مثال، هربار که یک سیستم تلاش ناموفق Login را برای یک حساب کاربری با دسترسی سطح بالا ثبت میکند، به پرسنل امنیتی مسئول هشدار داده میشود. به علاوه، میتوان برای فعالیتها و رویدادهای خاص و یا حتی گروه خاصی از کاربران، هشدارهای دلخواه ایجاد کرد.
ممیزی و گزارش جامع
ابزار PAM معمولا مقادیر بسیار زیادی از دادهها را جمعآوری میکنند: Logهای فعالیت، Logهای ذخیره شده از تایپ (Keystroke)، Log رویدادها، رکوردهای Session و غیره. اما زمانی که نتوان گزارش جامعی ایجاد کرد، اهمیتی ندارد که راهکار PAM چقدر دادهی مفید جمعآوری کرده است. پس لازم است که بتوان انواع مختلف گزارشها را بنابه نیازمندیهای خود، ایجاد کرد.
باید به نوع دادهها و اطلاعاتی که ممکن است در گزارشها ذکر شوند، توجه ویژهای داشت. به عنوان مثال، خیلی خوب است که بتوان گزارش کاملی در مورد تمام فعالیتهای اجراشده در حسابهای کاربری با دسترسی سطح بالا یا Sessionهای با دسترسی سطح بالا که در ساعات غیر کاری آغاز شدهاند، به دست آورد.
در برخی موارد آنالیز جرمشناسی برای بررسی یک رخداد امنیتی یا ارزیابی وضعیت سیستم امنیتی کنونی لازم است. بنابراین لازم است که یک راهکار مدیریت برای دسترسی سطح بالا با قابلیت عملکرد استخراج جرائم (Forensic Export Functionality) انتخاب نمود. امکان یکپارچهسازی راهکار PAM با SIEM کنونی نکتهی مثبتی است، چراکه بدین طریق میتوان از تمام دادههای جمعآوریشده توسط ابزار PAM بیشترین بهره را برد و تهدیدات احتمالی را به صورت کارآمدتری مورد آنالیز قرار داد.
جمع بندی
سوء استفاده از دسترسیها ممکن است به عواقب مخربی ختم شود و این امکان را برای مهاجمین فراهم آورد که ارزشمندترین و مهمترین اطلاعات را با کمترین زحمت به دست آورند. دسترسی سطح بالا به صورت امن و مدیریت شده با توجه به مقررات تطبیقپذیری، گاه به صورت غیرمستقیم، لازم است. بدین خاطر است که پیادهسازی یک راهکار PAM با کیفیت برای هر سازمان مدرن ضروری میباشد. امیدواریم شاخصهایی که شرح داده شد به افراد کمک کند که بهترین راهکار را برای مدیریت دسترسی سطح بالا، راحتتر و سریعتر بیابند.