ในข้อ 21คำสั่ง NIS2 กำหนดชุดมาตรการรักษาความปลอดภัยขั้นต่ำที่หน่วยงานที่ได้รับการควบคุมต้องดำเนินการเพื่อให้สอดคล้องกับข้อกำหนด ส่วนที่ 2 (ญ) เกี่ยวข้องโดยตรงกับ การรับรองความถูกต้องหลายปัจจัย (MFA) โดยระบุว่ามาตรการรักษาความปลอดภัยควรประกอบด้วย:
'Tเขาใช้ หลายปัจจัย การรับรอง หรือโซลูชันการตรวจสอบสิทธิ์อย่างต่อเนื่องการสื่อสารด้วยเสียง วิดีโอ และข้อความที่ปลอดภัย และระบบการสื่อสารฉุกเฉินที่ปลอดภัยภายในองค์กร ที่เหมาะสม.'
การตีความของ 'ที่เหมาะสม' หมายถึงทุกที่ที่มีความเป็นไปได้ที่การขาดการป้องกัน MFA อาจส่งผลให้เกิดการละเมิดทางไซเบอร์ กล่าวอีกนัยหนึ่ง หน่วยงานควรแสดงให้เห็นว่า ก) พวกเขาได้ประเมินอัตลักษณ์ของตนอย่างละเอียดถี่ถ้วน พื้นผิวการโจมตี เพื่อระบุว่าการเข้าถึงที่เป็นอันตรายซึ่งดำเนินการโดยผู้ก่อภัยคุกคามถือเป็นภัยคุกคามร้ายแรง และ b) ลดความเสี่ยงนี้ด้วยการบังคับใช้ MFA กับความพยายามในการเข้าถึงที่อาจเกิดขึ้นเหล่านี้
รายละเอียดข้อกำหนด MFA ของ NIS2
เราสามารถแมปจุดเชื่อมต่อที่ต้องการการป้องกันโดยพิจารณาจากสามประเด็นต่อไปนี้:
- บัญชีผู้ใช้ – ใครคือศัตรูที่มีแนวโน้มที่จะกำหนดเป้าหมาย?
- ทางเข้า วิธีการ – ฝ่ายตรงข้ามเข้าถึงข้อมูลที่เป็นอันตรายได้อย่างไร
- ทรัพยากรขององค์กร – ทรัพยากรใดที่ฝ่ายตรงข้ามมีแนวโน้มที่จะกำหนดเป้าหมาย?
เหล่านี้คือคำถามที่คุณเป็น ความปลอดภัยของข้อมูลประจำตัว ผู้มีส่วนได้ส่วนเสียจะต้องตอบก่อนเพื่อพิจารณาว่าจำเป็นต้องมีการคุ้มครอง MFA ในส่วนใดบ้าง เพื่อตอบคำถามเหล่านี้ได้ดีที่สุด เราจะต้องนำมุมมองของผู้โจมตีมาใช้ โดยพิจารณาจากการโจมตีจำนวนมากที่เราได้วิเคราะห์ ตรวจสอบ และป้องกัน
ดังนั้น ผู้ใช้ วิธีการเข้าถึง และทรัพยากรใดที่คุณควรปกป้องด้วย MFA มาตรวจสอบทีละรายการกัน
MFA สำหรับผู้ใช้ที่ได้รับสิทธิพิเศษซึ่งการประนีประนอมมีผลกระทบสูงสุด
การประนีประนอมของ ผู้ใช้สิทธิ์ เป็นเป้าหมายสำคัญของศัตรู เหล่านี้ บัญชีผู้ใช้ มีสิทธิ์ในการเข้าถึง รันโค้ด และโต้ตอบกับข้อมูลบนทรัพยากรต่างๆ ภายในสภาพแวดล้อม ในสภาพแวดล้อมทั่วไป ผู้ใช้เหล่านี้คือผู้ดูแลระบบ โปรแกรมช่วยเหลือ และทีม IT ของคุณ ดังนั้นการวางการป้องกัน MFA ให้กับผู้ใช้เหล่านี้จึงมีความสำคัญอย่างยิ่ง
MFA สำหรับการเข้าถึง PsExec และ PowerShell ระยะไกลที่ผู้โจมตีใช้เพื่อการเคลื่อนไหวด้านข้างและการแพร่กระจายของแรนซัมแวร์
ฝ่ายตรงข้ามสามารถใช้ข้อมูลรับรองที่ถูกบุกรุกเพื่อดำเนินการได้ การเคลื่อนไหวด้านข้างปรับขนาดการเข้าถึงและการแพร่กระจายเบื้องต้นภายในสภาพแวดล้อมเป้าหมาย การแพร่กระจายนี้เป็นองค์ประกอบสำคัญเบื้องหลังมวล ransomware และการโจมตีด้วยการโจรกรรมข้อมูล เครื่องมือที่พวกเขาเลือกคือเครื่องมือการเข้าถึงบรรทัดคำสั่งเช่น PsExec และ PowerShell ระยะไกล การบังคับใช้ MFA กับผู้ใช้ที่เข้าถึงทรัพยากรผ่านเครื่องมือเหล่านี้เป็นการป้องกันขั้นสูงสุดต่อการโจมตีเหล่านี้
MFA สำหรับแอปพลิเคชันและเซิร์ฟเวอร์ทั้งหมดที่มีความสำคัญต่อการดำเนินงานขององค์กรของคุณ
ฝ่ายตรงข้ามกำหนดเป้าหมายทรัพยากรที่สำคัญเพื่อเพิ่มผลตอบแทนจากการลงทุนให้สูงสุด ไม่ว่าจะเป็นการโจมตีด้วยแรนซัมแวร์ที่ล็อคแอปพลิเคชันที่สำคัญต่อภารกิจ หรือการขโมยข้อมูลทางธุรกิจที่ละเอียดอ่อนหรือทรัพย์สินทางปัญญา การระบุทรัพยากรเหล่านี้และการวางการป้องกัน MFA ในการเข้าถึงของผู้ใช้จึงถือเป็นสิ่งสำคัญสูงสุด
Silverfort Unified Identity Protection Agentless MFA
Silverfort เป็นผู้ให้บริการ Unified รายแรก การป้องกันตัวตน แพลตฟอร์มที่ให้การป้องกันแบบเรียลไทม์ต่อภัยคุกคามข้อมูลประจำตัวที่ใช้ข้อมูลประจำตัวที่ถูกบุกรุกสำหรับการเข้าถึงที่เป็นอันตราย Silverfortผสมผสานอันเป็นเอกลักษณ์ด้วย Active Directory ช่วยให้สามารถขยาย MFA ไปที่ การตรวจสอบความถูกต้องภายในสภาพแวดล้อม AD สำหรับผู้ใช้ โปรโตคอลการตรวจสอบความถูกต้อง และทรัพยากร
บูรณาการพื้นเมืองด้วย Active Directory ให้ความคุ้มครอง MFA 100%
มันทำอย่างไร? AD ส่งต่อทุกคำขอเข้าถึงที่เข้ามาไปยัง Silverfort. Silverfort วิเคราะห์คำขอเข้าถึงกับนโยบายการเข้าถึงที่มีอยู่ รวมถึงรูปแบบการโจมตีที่ทราบหรือความผิดปกติที่อาจบ่งบอกถึงการประนีประนอมที่อาจเกิดขึ้น Silverfortการวิเคราะห์จะกำหนดว่าจะอนุญาตการเข้าถึง ปิดกั้น หรือยืนยันตัวตนของผู้ใช้กับ MFA หากจำเป็นต้องมีการตรวจสอบ Silverfort ติดต่อด้วยตนเองหรือใดๆ 3rd บริการ MFA ของบริษัทเพื่อตรวจสอบว่าผู้ใช้จริงได้เริ่มต้นคำขอเข้าถึงแล้ว หลังจากการตอบสนองของผู้ใช้ Silverfort บอก AD ว่าอนุญาตให้เข้าถึงหรือไม่ สถาปัตยกรรมนี้รับประกันความครอบคลุมเต็มรูปแบบของการรับรองความถูกต้องและความพยายามในการเข้าถึงทั้งหมดภายในสภาพแวดล้อมที่ได้รับการป้องกัน
Silverfort Proการตรวจสอบข้อกำหนด NIS2 MFA: บัญชีผู้ใช้ที่สำคัญ ทรัพยากร และวิธีการเข้าถึง
Silverfortการคุ้มครอง MFA ที่ครอบคลุมช่วยให้องค์กรสามารถนำ NIS2 มาใช้ ข้อกำหนดของ MFA. มาตรวจสอบรายละเอียดเพิ่มเติมกัน:
SilverfortMFA สำหรับผู้ใช้ที่ได้รับสิทธิพิเศษ
Silverfort ทำให้การค้นหาผู้ใช้ทั้งหมดที่อยู่ในกลุ่มผู้ดูแลระบบเป็นไปโดยอัตโนมัติ และเปิดใช้งานการกำหนดค่าและการบังคับใช้นโยบาย MFA กับผู้ใช้เหล่านี้ได้ในคลิกเดียว นอกจากนี้, Silverfort ยังค้นพบผู้ใช้ที่ได้รับมอบหมายสิทธิ์ของผู้ดูแลระบบโดยไม่ได้ตั้งใจ (หรือที่เรียกว่า 'ผู้ดูแลระบบเงา') และกำหนดค่านโยบายที่รวมผู้ใช้เหล่านี้ไว้ในการป้องกัน MFA ในลักษณะดังกล่าวความพยายามของฝ่ายตรงข้ามใด ๆ ที่จะใช้ประโยชน์จาก ข้อมูลประจำตัวที่ถูกบุกรุก ของผู้ใช้เหล่านี้สำหรับการเข้าถึงที่เป็นอันตรายจะถูกบล็อก
SilverfortMFA ของสำหรับการเข้าถึงบรรทัดคำสั่ง
ตามที่อธิบายไว้ก่อนหน้านี้ Silverfortการบูรณาการของ AD ช่วยให้สามารถขยาย MFA ไปสู่การตรวจสอบสิทธิ์ AD ทั้งหมดได้ จนถึงขณะนี้ เครื่องมือบรรทัดคำสั่งเช่น PsExec และ PowerShell อยู่นอกเหนือขอบเขตของโซลูชัน MFA แบบดั้งเดิม เนื่องจากโปรโตคอลการตรวจสอบสิทธิ์ NTLM และ NTLM ที่เป็นมรดกตกทอด Kerberosไม่สนับสนุนการรวม MFA เข้ากับกระบวนการตรวจสอบสิทธิ์ Silverfortสถาปัตยกรรมของขจัดปัญหาการสนับสนุนโปรโตคอล เนื่องจากสามารถวิเคราะห์และรับข้อมูลเชิงลึกเกี่ยวกับแพ็กเก็ตการรับรองความถูกต้องใดๆ ที่ส่งต่อโดย AD นี้จะทำให้ Silverfort โซลูชันเดียวที่สามารถปกป้อง PsExec และ PowerShell ด้วย MFA ซึ่งช่วยลดความเสี่ยงของการแพร่กระจายของแรนซัมแวร์ในสภาพแวดล้อมได้อย่างมีประสิทธิภาพ
SilverfortMFA ของแอปพลิเคชันรุ่นเก่า
องค์กรจำนวนมาก โดยเฉพาะในแนวตั้งที่อยู่ภายใต้มาตรฐานความปลอดภัยทางไซเบอร์เฉพาะ เช่น คำสั่ง NIS2 ยังคงพึ่งพาแอปพลิเคชันรุ่นเก่าสำหรับการดำเนินงานหลักของตน แบบดั้งเดิม โซลูชัน MFA ไม่เหมาะกับกรณีนี้ เนื่องจากการรวม MFA เข้ากับแอปเหล่านี้ต้องมีการเปลี่ยนแปลงโค้ดต้นฉบับของแอป ซึ่งเป็นความเสี่ยงด้านปฏิบัติการที่องค์กรส่วนใหญ่ไม่เต็มใจที่จะเผชิญ อย่างไรก็ตาม Silverfortการบูรณาการของ AD กับ AD ช่วยให้สามารถบังคับใช้การป้องกัน MFA บนแอปใดๆ ที่ตรวจสอบสิทธิ์กับ AD ได้อย่างราบรื่น ทำให้มั่นใจได้ว่าทรัพยากรที่สำคัญขององค์กรมีการป้องกันการเข้าถึงที่เป็นอันตรายแบบเรียลไทม์
ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการ Silverfort สามารถช่วยเหลือคุณในการปฏิบัติตามข้อกำหนด NIS2 MFA ได้หรือไม่ กำหนดเวลาการโทร กับผู้เชี่ยวชาญของเราหรือกรอกแบบฟอร์มนี้เพื่อ ใบเสนอราคา.