חשיבות ההגנה על מערכת ניהול זהויות

מה היא מערכת זהויות?

הזהות הארגונית שלנו מהווה את אפיון המשתמש שלנו בכלל הרכיבים הנוגעים לרשת הארגונית, תיבת המייל שלנו, שיוך כרטיס העובד, מספר טלפון סלולרי ועוד. כלל הנתונים על כלל העובדים במערכות הארגון נשמרים במערכת ניהול זהויות (IDP), הנפוצה שבהן הינה מערכת מבית Microsoft בשם Active Directory.

מערכות אלו מהוות ציר תקיפה מרכזי בהתקפות סייבר, הן לשימוש בהסלמת הרשאות או על ידי הצפנת המערכת ומניעת גישת כלל המשתמשים לארגון, כ-90% מתקיפות הסייבר המתרחשות בעולם משתמשות במידה מסוימת במערכות ניהול הישויות.

עם המעבר לעולמות ענן והצורך להגר את נתוני מערכת הזהות הארגונית למערכות ענניות או מכשירים ניידים הגנה על תחום זה נעשית מורכבת מבעבר. הנתונים האישיים של כלל העובדים בחברה נגישים יותר לתוקף ומאפשרים ציר תקיפה מהיר ופשוט יותר ללא צורך בחדירת הגנות הפרימטר הארגוני. מאמר זה יציג את חשיבות ההגנה על תשתית הזהויות הן בענן והן בפרימטר המקומי וייתן דוגמאות לתקיפות אשר ניצלו פרצות אלו ואחרות על מנת לפגוע בתשתית הזהות הארגונית.

שמירה על הזהות הארגונית

בעבר הפרדת מערכות ניהול הזהויות לאיזורים מאובטחים הנמצאים מאחורי רכיבי Firewall או רכיבי אבטחה דומים, כמו גם התקנת מנגנוני הגנה דוגמת אנטי וירוס על שרתי מערכות הישויות היוו הגנה מספקת על השרתים אשר ניהלו ישויות ברשת הארגונית בלבד.

כיום, כאשר יש צורך בשימוש בישויות לשירותים חיצוניים דוגמת SAAS או שירותי Mobile אין אפשרות לסגור את השרתים בסביבה נפרדת המאפשרת גישה מוגבלת לישויות, לכן נדרשות דרכי הגנה חדשות על מנת להגן על הישויות עצמן ולא על שרתי המערכות, הן בסביבת פנימיות והן בסביבות ענן. הגנה על מערכות הישויות יכולה להתבצע על ידי גיבויים תכופים, ניטור נכון של הגדרות המערכת וכמובן שמירה על נתונים עדכניים ומסודרים במערכות על מנת להמנע משימוש בישויות ישנות אשר אינן מנוטרות יותר.

כרטיס הזהב לארגון שלך

אחת מדרכי ניצול מערכות הישויות הארגוניות לטובת תקיפות סייבר הינה הסלמת הרשאות המשתמש, מונח זה מתייחס לשימוש בהרשאות משתמש פשוטות, כמו שיש לכל עובד בחברה, על מנת לגשת לנתוני מערכות הישויות ומהן לבצע הגברת הרשאות כך שהתוקף יוכל להשיג הרשאות מנהל.

אחד מנתיבי ההתקפה הנפוצים ביותר הינו שימוש בהתקפת Golden Ticket, תקיפה זו משתמשת בחולשה ביכולת ההזדהות Kerberos בה משתמש חברת Microsoft מאז גרסת Window2000, ההתקפה מזייפת טיקטים מסוג TGT אשר מאפשרים גישה ליישומים ברשת הארגונית עם פרטי משתמש ללא צורך באימות נוסף. בכדי להגן מפני תקיפה מסוג זה יש להחליף את סיסמאות ה-KRBTGT באופן תדיר, לצמצם את מספר החשבונות אשר מורשים להפיק טקטים מסוג TGT ומילת הקסם בהגנה על ישויות הינה גם כאן ניטור, ניטור ניטור.

נעולים על המטרה

נתיב פעולה נוסף אותו נוהגים האקרים לממש הינו נתיב הכופרה (Ransomware) אשר מהווה התקפה ישירה על מערכות הארגון ומערכות הישויות והצפנת הנתונים המאוכלסים בהן. מטרת תקיפה זו הינה להחזיק בנתוני הארגון כבני ארובה במשא ומתן על כופר לטובת שחרורם, מקרה דומה נצפה לאחרונה בבית החולים "הלל יפה" בחדרה.

מתקפות הכופרה הפכו נפוצות יותר ויותר בעשור האחרון עם עליית מטבעות הקריפטו המהווים דרך נוחה לתשלום הכופר אותו דורשים ההאקרים, התכונה הייחודית למטבעות הקריפטו הינה שאינם ניתנים למעקב על ידי רשויות פיננסיות או רשויות חוק ולכן מקלים על העברת כספים ללא יכולת לאתר את התוקף. גיבוי מערכות הארגון כמו גם מערכות הישויות מהווה את הדרך הטובה ביותר להתגבר על מתקפות מסוג זה, אך יש לשים לב כי גיבוי אשר מכיל הגדרות אשר מהוות פירצה בארגון יאפשר את הפירצה שוב לאחר שחזור, או במילים אחרות, גיבוי תפעולי וגיבוי אבטחתי אינם שווים בערכם.

דוגמה נוספת למתקפת כופרה, מהמפורסמות שהתרחשו בעשור האחרון הינה מתקפת NotPetya אשר פגעה בארגונים רבים על ידי שימוש בפרצת EternalBlue אשר פותחה על ידי הסכנות האמריקאית לבטחון לאומי (NSA) בשנת 2017. אחד מהארגונים הנ"ל הינה חברת השילוח הדנית Maersk, בתגובה לתקיפה הזו יצא ה-CISO של החברה, אנדי פאוול, כי אם אינך יכול לשחזר את שרתי ה-Active Directory בארגון בתוך 24 שעות אין לך אפשרות לתקן אף פגע אחר בארגון.

אפס אמון בתוקפים

דרך נוספת להגנה מפני תקיפות המנצלות את מערכות הישויות הארגוניות הינה הפרדת המשתמשים לסביבות אפס אמון (Zero Trust), בתצורת עבודה זו המשתמשים מורחקים ואינם מזדהים לרשת מרכיבים חיצוניים, בכל גישה למשאב ארגוני מתבצעת הפרדה מלאה בין המשתמש המחובר למכשיר הקצה ובין משאבי הארגון.

שיטה זו מרחיקה את משטחי התקיפה הנוחים יותר כמו מכשירים ניידים או מחשבי לפטופ אשר משמשים את עובדי החברה גם בגישה למשאבים שאינם ארגוניים כמו גלישה באינטרנט.
הרחקה זו מאפשרת צמצום משטח התקיפה של הפצחנים השונים והגבלת התנועה לעומק בארגון, כלומר, גם אם תוקף הצליח לגשת למכשיר הנייד של עובד מסוים לא תתאפשר לו גישה למשאבי הארגון מן המשכיר ללא אימות מורכב. בליווי לשיטה זו נהוג לבצע הזדהות מרבת פרמטרים המחייבת משתמש להציג מספר פרטי מידע כגון סיסמת משתמש ארגונית, קוד חד פעמי או מזהה ביומטרי.
הקשחת הזדהות זו מקטינה את סיוכיי ההתחזות למשתמש לגיטימי על ידי תוקפים.

עומדים איתן

כנגד התקפות הפוגעות במערכות הישויות הארגוניות ישנן הגנות רבות, כלי גיבוי ושחזור, הרחקת משתמשים לסביבות אפס אמון, הזדהות מרובת פרמטרים, ומילת הקסם ניטור אך לא משנה באיזו דרך נבחר להגן על המשאבים הקריטיים הללו חשוב להבין כי נפילת המבצר המגן על ישויות העובדים בארגון מהווה כשל מלא לעבודת הארגון בין אם התקיפה מתבצעת באופן מיידי או לאחר חודשים. על צוותי אבטחת המידע בארגון לעמוד איתן אל מול נסיונות תקיפה חוזרים ונשנים לפרוץ את חומות המבצר ולהוביל לקריסה של משאבי הארגון לטובת רווחם האישי או ממניעים אחרים. אז בפעם הבאה שמנהל אבטחת המידע שלכם מבקש לבצע רישום של המכשיר הנייד לטובת הזדהות למערכות הארגון, זכרו שהדבר מגן עליכם גם מחוץ לעבודה.

מידע נוסף:

מידע על התקפות Golden Ticket – כאן 

תקיפה בהלל יפה – כאן 

מידע על NotPetya – כאן 

מידע על EternalBlue – כאן 

סיפור התקיפה נגד Maersk – כאן