حملات سایبری احراز هویت چند عاملی را دور می زند | دانش مرکز داده

اخیراً حملات سایبری افزایش یافته است که از اقدامات امنیتی تأیید هویت چند عاملی (MFA) عبور کرده و سیستم‌های مرکز داده را در معرض خطر قرار می‌دهند. چالش مراکز داده در نیاز به همسویی با یک استراتژی امنیتی کلی سازمانی است که ممکن است پروتکل‌های MFA قدیمی را حفظ کند و نیاز به پیشرفت از MFA سنتی برای برآوردن نیازهای امنیتی منحصر به فرد مراکز داده است.

در ماه آگوست، مهاجمان یک کارمند سیسکو را فریب دادند تا درخواست MFA را بپذیرد و توانستند این کار را انجام دهند دسترسی به سیستم های داخلی حیاتی.

در ماه سپتامبر، مهاجمان رمز عبور یک پیمانکار اوبر را در وب تاریک خریداری کردند و بارها سعی کردند اطلاعات کاربری سرقت شده را وارد کنند. اوبر گزارش داد. در ابتدا، تلاش برای ورود توسط MFA مسدود شد، اما در نهایت پیمانکار این درخواست را پذیرفت و مهاجمان وارد شدند. آنها توانستند به تعدادی از ابزارهای شرکت از جمله G-Suite و Slack دسترسی پیدا کنند.

شرم آورتر اینکه در ماه اوت، مهاجمان توانستند سرویس MFA پرکاربرد Twilio را به خطر بیاندازید. آنها این کار را با فریب دادن چندین کارمند Twilio برای به اشتراک گذاشتن اعتبارنامه و مجوزهای MFA انجام دادند. بیش از صد مشتری Twilio از جمله Okta و Signal در معرض خطر قرار گرفتند.

تغییرات در حفاظت از شبکه MFA چه معنایی برای شما دارد

مهاجمان علاوه بر به خطر انداختن پلتفرم‌های MFA و فریب کارمندان برای تأیید درخواست‌های دسترسی غیرقانونی، از حملات دشمن در وسط برای دور زدن تأیید اعتبار MFA نیز استفاده می‌کنند. طبق گزارشی که در تابستان امسال توسط مرکز اطلاعات تهدیدات مایکروسافت منتشر شد. بیش از 10000 سازمان در طول سال گذشته هدف این حملات قرار گرفته‌اند، که با انتظار برای ورود موفقیت‌آمیز کاربر به سیستم و سپس ربودن جلسه جاری کار می‌کنند.

“موفق ترین حملات سایبری وزارت امور خارجه در این کشور مستقر هستند مهندسی اجتماعیوالت گرین، موسس و مدیر عامل شرکت مشاوره QDEx Labs، گفت: همه انواع فیشینگ بیشترین استفاده را دارد. “این حملات، زمانی که به درستی انجام شوند، احتمال موفقیت نسبتاً بالایی برای کاربر ناآگاه دارند.”

واضح است که MFA به تنهایی دیگر کافی نیست و مدیران امنیت سایبری مراکز داده باید از قبل برای یک الگوی امنیتی پس از رمز عبور برنامه ریزی کنند. تا آن زمان، باید تدابیر امنیتی بیشتری برای تقویت کنترل‌های دسترسی و محدود کردن حرکت جانبی در محیط‌های مرکز داده اعمال شود.

و مراکز داده نه تنها باید از نحوه استفاده از احراز هویت چند عاملی برای ایمن سازی عملیات مرکز داده و نحوه کار با واحدهای تجاری یا سایر مشتریان در حمایت از تلاش های MFA خود آگاه باشند.

پیشرفت فراتر از MFA میراث

بهار گذشته، اپل، گوگل و مایکروسافت همه متعهد به استاندارد ورود بدون رمز عبور مشترک است.

رویکرد جدید، که بر اساس استاندارد امنیتی FIDO است، وعده می دهد که از امنیت چند عاملی سنتی، مانند رمزهای عبور یکبار مصرف از طریق پیام های متنی، ایمن تر باشد. انتظار می رود در سال آینده به طور گسترده در دسترس قرار گیرد.

در بیانیه ای که اوایل ماه جاری منتشر شدجن ایسترلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت، از هر سازمانی خواست تا FIDO را در نقشه راه اجرای MFA خود قرار دهد.

FIDO استاندارد طلایی است. “به دنبال طلا بروید.”

به ویژه، او از مدیران سیستم خواست تا استفاده از MFA را آغاز کنند و اشاره کرد که در حال حاضر کمتر از 50 درصد از آن استفاده می کنند.

او گفت: «مدیران سیستم به ویژه اهداف با ارزشی هستند و باید به درستی از آن حساب‌ها محافظت کنند.

او همچنین از ارائه دهندگان خدمات ابری خواست تا از احراز هویت 100٪ FIDO استفاده کنند. پس از به خطر افتادن موارد دور زدن MFA در سال جاری، واضح است که یک ارائه‌دهنده ابری «قابل اعتماد» بودن به این معنی است که «ما داده‌های شما را از دست نمی‌دهیم، حتی زمانی که کارکنان ما دچار یک کلاهبرداری فیشینگ اعتبار شوند».

کنترل‌ها را به Secure Legacy MFA اضافه کنید

حتی قبل از اینکه مراکز داده به یک پلتفرم احراز هویت بدون رمز عبور و مبتنی بر FIDO بروند، باید کنترل‌های امنیتی خود را افزایش دهند.

به علاوه، حتی زمانی که فناوری‌های جدید بدون رمز عبور به جریان اصلی تبدیل شوند، برخی از این کنترل‌های اضافی، مانند تجزیه و تحلیل رفتار کاربر، همچنان مفید خواهند بود.

به گفته آنت آلن، معاون و تحلیلگر گارتنر، برای اکثر تیم های امنیتی، این کنترل های جبرانی رویکرد استاندارد خواهد بود.

به عنوان مثال، بررسی برای تأیید اینکه ورود به سیستم از همان موقعیت جغرافیایی تلفن کاربر می‌آید، خطرات فیشینگ را کاهش می‌دهد.

او افزود: «و خفه کردن تعداد تأییدهای ناموفق فشار تلفن همراه می تواند بمباران سریع را کاهش دهد. بمباران سریع یک استراتژی مهاجم است که در آن مدام سعی می‌کنند وارد سیستم شوند و کاربران آنقدر درخواست‌های MFA دریافت می‌کنند که آزرده خاطر می‌شوند و درخواست‌ها را از سر ناامیدی مطلق می‌پذیرند.

همچنین اقدامات امنیتی مبتنی بر هوش مصنوعی وجود دارد که تیم‌های امنیتی می‌توانند برای شناسایی رفتارهای مشکوک کاربر که ممکن است نشان‌دهنده به خطر افتادن حساب باشد، استفاده کنند.

آلن گفت: “در حالی که MFA اولین گام ضروری است، سرمایه گذاری در تجزیه و تحلیل پیشرفته – از جمله یادگیری ماشین – انعطاف پذیری و انعطاف پذیری بیشتری را فراهم می کند.”

او گفت که مراکز داده همچنین باید در شناسایی تهدید هویت و قابلیت های پاسخ سرمایه گذاری بیشتری کنند. او افزود که این لزوماً به معنای خرید ابزارهای جدید نیست. مدیران امنیت مراکز داده می توانند با مدیریت دسترسی هویت و ابزارهای امنیتی زیرساختی که در حال حاضر دارند کارهای بیشتری انجام دهند.

یادداشت کاخ سفید M-22-09 که نیاز به MFA مقاوم در برابر فیشینگ دارد، احتمالاً زنگ خطری برای سایر الزامات نظارتی است.” اما مشخص نیست که آیا این به روش‌های کاملاً جدیدی نیاز دارد یا اینکه کنترل‌های جبرانی کافی است.

جیسون رادر، افسر ارشد امنیت اطلاعات در شرکت مشاوره اینسایت، گفت و زیرساخت‌های موجود وزارت امور خارجه به هدف خود ادامه خواهند داد.

او گفت که عوامل تهدید معمولاً با تلاش برای نفوذ به حساب هایی که ضعیف ترین امنیت را دارند شروع می کنند. “اگر آنها به طور سیستماتیک لیستی از حساب ها را بررسی می کنند، تا زمانی که حسابی را پیدا کنند که نیاز به MFA نداشته باشد، تلاش خواهند کرد. به همین دلیل است که همه حساب‌ها باید آن را فعال کنند.»

متأسفانه، برخی از برنامه های کاربردی قدیمی که مراکز داده برای مدیریت عملیات استفاده می کنند ممکن است اصلاً از MFA پشتیبانی نکنند.

به گفته رادر، این به ویژه در مورد مراکز داده ای که بیش از یک دهه وجود داشته اند صادق است.

او گفت: “افراد بد از این سوء استفاده خواهند کرد و وزارت امور خارجه را به کلی دور خواهند زد.” “من می گویم که دشمنان در درصد بالایی از مواقع موفق خواهند شد اگر بتوانند یک حساب کاربری را بدون فعال کردن MFA پیدا کنند یا اگر احراز هویت قدیمی فعال باشد – زیرا تنها کاری که آنها باید انجام دهند این است که رمز عبور را حدس بزنند.”

همانطور که شرکت ها به انتقال مراکز داده خود به مدل های ترکیبی و ابری ادامه می دهند، MFA حیاتی تر می شود، زیرا سیستم های امنیتی سنتی مراکز داده اولیه کمتر مرتبط می شوند.

خوشبختانه، ارائه دهندگان ابر معمولا MFA را گزینه ای برای همه کاربران خود می کنند. متأسفانه، بسیاری از این فرصت استفاده نمی کنند. الکس واینرت، معاون امنیت هویت مایکروسافت، سخنرانی در کنفرانس ماه گذشته، گفت که تنها 26.64٪ از حساب های Azure AD از MFA استفاده می کنند. در واقع، حساب‌های مصرف‌کننده 50 برابر کمتر از حساب‌های سازمانی در معرض خطر هستند – زیرا مایکروسافت سیاست‌های امنیتی خودکار را برای کاربران مصرف‌کننده خود در نظر گرفته است. از شرکت ها انتظار می رود سیاست های امنیتی خود را مدیریت کنند.

مراکز داده سازمانی بخشی از یک استراتژی امنیتی گسترده تر وزارت امور خارجه باقی می مانند

به گفته آلن گارتنر، اگر یک ابزار MFA سازمانی در زیرساختی که آنها مدیریت می کنند میزبانی شود، یک مدیر مرکز داده نیز نقشی ایفا خواهد کرد.

او به Data Center Knowledge گفت: “MFA برای همه موارد استفاده از نیروی کار تحت نظارت مدیر امنیت سایبری یا افسر ارشد امنیت اطلاعات است.” ابزاری در زیرساختی که آنها مسئول آن هستند.”

در نتیجه، مدیران مراکز داده که مراکز داده اولیه، ترکیبی یا ابری را برای شرکت‌ها اجرا می‌کنند، سهمی در MFA در سطح سازمانی خواهند داشت که توسط کارکنان شرکت، پیمانکاران، شرکا و مشتریان استفاده می‌شود.

آلن گفت: «مدیر مرکز داده – در میان دیگران – باید در شورای امنیت یا کمیته ای که برنامه امنیتی سازمان را کنترل می کند، تصمیم گیری در مورد سیاست، انتخاب های فناوری و غیره داشته باشد.