การลดความเสี่ยงด้านอัตลักษณ์ของบัญชีของพนักงานเก่า
กุมภาพันธ์ 21st, 2024 เซฟ บรอดสกี้
จุดอ่อนด้านความปลอดภัยที่ใหญ่ที่สุดประการหนึ่งที่องค์กรต้องเผชิญคือพนักงานของตนเอง สิ่งนี้ไม่น่าพอใจ แต่มันคือความจริงที่เราต้องยอมรับ เมื่อพวกเขาทำผิดพลาด พวกเขาจะเปิดประตูให้ผู้โจมตี นี่เป็นเรื่องจริงมากยิ่งขึ้นเมื่อต้องรับมือกับ บัญชีผู้ใช้ ของพนักงานคนก่อน
เป็นความเข้าใจผิดที่พบบ่อยว่าความเสี่ยงหลักที่เกี่ยวข้องกับบัญชีของอดีตพนักงานอยู่ที่โอกาสที่อดีตพนักงานที่ไม่พอใจจะใช้ข้อมูลประจำตัวของตนในทางที่ผิด แม้ว่าภัยคุกคามภายในจะก่อให้เกิดความเสี่ยงที่สำคัญ แต่ก็มีอันตรายอีกประการหนึ่งที่มักไม่มีใครสังเกตเห็น นั่นก็คือ ผู้โจมตีภายนอกที่ประนีประนอมกับบัญชีที่ไม่ได้รับการตรวจสอบ
ในหลายกรณี เรื่องราวเหล่านี้กลายเป็นมรดกตกทอดของการจ้างงานในอดีตที่ถูกลืม ถูกละเลยและไม่ถูกตรวจสอบในขณะที่พนักงานก้าวไปสู่โอกาสใหม่ๆ การละเลยนี้เองที่ทำให้พวกเขาตกเป็นเป้าหมายที่น่าดึงดูดสำหรับอาชญากรไซเบอร์
สารบัญ
ความท้าทายและความเสี่ยงทั่วไปของบัญชีอดีตพนักงาน
ผู้โจมตีตระหนักดีว่าบัญชีที่ไม่ได้ใช้งานหรือบัญชีผู้ใช้เก่าหรือที่เรียกกันทั่วไปว่า 'leavers' มักถูกมองข้ามโดยมาตรการรักษาความปลอดภัยขององค์กร ทีมไอทีส่วนใหญ่จะลบสิทธิ์การใช้งานบัญชีและการเข้าถึงทรัพยากรที่สำคัญเหล่านี้ออก แต่ก็ไม่ได้เป็นเช่นนั้นเสมอไป
แม้ว่าเราจะไม่อยากจินตนาการว่าพนักงานของเราสามารถกระทำการที่เป็นอันตรายได้ แต่การไม่เพิกถอนการเข้าถึงของผู้ละทิ้งอาจทำให้ข้อมูลสำคัญของบริษัทถูกนำไปใช้ในทางที่ผิดและรั่วไหลได้ สิ่งสำคัญที่ควรทราบคือบัญชีที่ค้างอยู่ก่อให้เกิดความเสี่ยงในแง่ของการใช้รหัสผ่าน หากบัญชีของผู้ออกจากบัญชีที่ใช้งานอยู่ใช้รหัสผ่านที่ซ้ำกันหรือไม่ปลอดภัย บุคคลที่สามอาจสามารถเข้าถึงองค์กรของคุณได้อย่างง่ายดาย
เนื่องจากอดีตพนักงานอาจยังคงมีสิทธิ์ในการเข้าถึงและการอนุญาตระดับสูงตามอายุงาน ผู้โจมตีจึงมีเป้าหมายที่น่าดึงดูดเพื่อช่วยให้พวกเขาได้ตั้งหลักในสภาพแวดล้อม ไม่ว่าจะเป็นการเข้าถึงข้อมูลที่ละเอียดอ่อน แทรกซึมระบบที่สำคัญ หรือการเริ่มต้น การเคลื่อนไหวด้านข้าง ภายในเครือข่าย การประนีประนอมบัญชีที่ถูกมองข้ามเหล่านี้มีโอกาสที่จะสร้างความเสียหายอย่างมาก
ตัวอย่างที่พบบ่อยที่สุดคือกรณีของผู้ดูแลระบบระดับสูงที่ถูกไล่ออก บัญชีผู้ใช้ของพวกเขาสามารถเข้าถึงทรัพยากรที่สำคัญที่สุด แต่ฝ่ายไอทีจะไม่ยกเลิกการเชื่อมต่อบัญชีหรือลบการเข้าถึงที่มีสิทธิพิเศษ
ตัวอย่างในชีวิตจริง: ผู้คุกคามใช้ประโยชน์จากบัญชีอดีตพนักงานเพื่อละเมิดระบบของรัฐบาล
จากการวิเคราะห์เพื่อบรรลุเป้าหมายของ สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA)ซึ่งเป็นผู้คุกคามสามารถเข้าถึงเครือข่ายขององค์กรรัฐบาลสหรัฐฯ โดยใช้ข้อมูลรับรองการเข้าสู่ระบบผู้ดูแลระบบของอดีตพนักงาน ด้วยการใช้ข้อมูลประจำตัวที่ถูกบุกรุก ผู้โจมตีสามารถเข้าถึง VPN ภายในและสภาพแวดล้อมภายในองค์กร และดำเนินการสืบค้น LDAP บนตัวควบคุมโดเมนได้
องค์กรซึ่ง CISA ไม่ได้ระบุชื่อ ไม่สามารถลบบัญชีของอดีตพนักงานได้ ซึ่งทำให้ผู้คุกคามสามารถวิเคราะห์สภาพแวดล้อมและทรัพยากรได้ ข้อมูลประจำตัวอนุญาตให้เข้าถึงเซิร์ฟเวอร์เสมือนสองเครื่อง ได้แก่ SharePoint และเวิร์กสเตชันของพนักงาน ข้อมูลประจำตัวของพนักงานคนที่สองถูกดึงมาจากเซิร์ฟเวอร์ SharePoint และใช้เพื่อตรวจสอบสิทธิ์ภายในองค์กร Active Directory และ Entra ID (Azure AD) จึงได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ
เซิร์ฟเวอร์เสมือนจริงทั้งสองถูกใช้งานแบบออฟไลน์ และบัญชีผู้ใช้ถูกปิดใช้งาน นอกเหนือจากการเปลี่ยนแปลงข้อมูลรับรองสำหรับบัญชีที่สองที่ถูกบุกรุกแล้ว องค์กรที่เป็นเหยื่อยังได้ลบสิทธิ์ของผู้ดูแลระบบออกด้วย นอกจากนี้ CISA ยังตั้งข้อสังเกตอีกว่าไม่มีบัญชีผู้ดูแลระบบเลย ไอ้เวรตะไล เปิดการใช้งาน
ตามตัวอย่างนี้ แม้แต่การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในกลยุทธ์ความปลอดภัยด้านไอทีของคุณก็ยังไม่เพียงพอเมื่อต้องรับมือกับผู้โจมตี แทนที่จะสมมติว่าคุณได้ดำเนินการเพียงพอที่จะรักษาความปลอดภัยให้กับบัญชีของอดีตพนักงานแล้ว วิธีที่ดีที่สุดคือเพิ่มการควบคุมการรักษาความปลอดภัยของข้อมูลระบุตัวตนที่เป็นรูปธรรมมากขึ้น ซึ่งปฏิเสธการเข้าถึง ซึ่งเป็นวิธีการหนึ่งในการรับรองความปลอดภัยของบัญชีเหล่านี้
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort รักษาความปลอดภัยบัญชีพนักงานเก่า
Silverfort ช่วยให้ทีมข้อมูลระบุตัวตนสามารถค้นพบบัญชีพนักงานเก่าในสภาพแวดล้อมของพวกเขาได้อย่างง่ายดาย และลบออกหรือลบสิทธิ์ของพวกเขา Silverfort จัดประเภทบัญชีที่ไม่ได้ใช้งานเป็นเวลาหนึ่งปีหรือมากกว่านั้นเป็น "ผู้ใช้เก่า" กับ Silverfort คุณสามารถมองเห็นผู้ใช้เก่าได้อย่างสมบูรณ์และต่อเนื่อง และใช้มาตรการรักษาความปลอดภัยที่เหมาะสม เช่น การบังคับใช้นโยบายการเข้าถึงแบบบล็อกกับบัญชีผู้ใช้เหล่านี้
มาดูกันว่าสิ่งนี้ทำได้อย่างไร Silverfortคอนโซลของ:
การมองเห็นผู้ใช้เก่า
Silverfort ค้นหาบัญชีทั้งหมดในสภาพแวดล้อมของคุณโดยอัตโนมัติ รวมถึงบัญชีผู้ใช้เก่า และให้การมองเห็นกิจกรรมของผู้ใช้ทั้งหมดแบบเรียลไทม์ สิ่งนี้ช่วยให้คุณสามารถตรวจจับและตอบสนองต่อภัยคุกคามความปลอดภัยที่อาจเกิดขึ้น — รวมถึงการบล็อกการเข้าถึงบัญชีใดๆ ที่แสดงพฤติกรรมที่ผิดปกติ
In Silverfortหน้าจอข้อมูลเชิงลึกของคุณจะเห็นรายการข้อมูลประจำตัวเชิงลึกที่แสดงประเภทผู้ใช้และทรัพยากรในสภาพแวดล้อมของคุณตลอดจนจุดอ่อนในการรักษาความปลอดภัยของคุณ ภายใต้ผู้ใช้และรหัสผ่าน คุณจะพบรายชื่อผู้ใช้เก่าทั้งหมดในสภาพแวดล้อมของคุณ Silverfort ตรวจจับและจัดหมวดหมู่บัญชีเหล่านี้ตามคุณลักษณะทั่วไปของบัญชีผู้ใช้เก่า
การคลิกที่พื้นที่ผู้ใช้เก่าจะเปิดหน้าต่างที่แสดงรายละเอียดทั้งหมดเกี่ยวกับบัญชีเหล่านี้ เมื่อคุณมีชื่อของผู้ใช้เก่าเหล่านี้แล้ว คุณสามารถค้นหาพวกเขาใน IdP และลบสิทธิ์ของพวกเขา ลบออกทั้งหมด หรือใช้นโยบายการปฏิเสธการเข้าถึงกับบัญชีผู้ใช้
พลังแห่งการปฏิเสธ
หากต้องการใช้แนวทางเชิงรุกมากขึ้นเพื่อป้องกันไม่ให้บัญชีผู้ใช้เก่าของพนักงานสร้างความเสี่ยงด้านความปลอดภัยเพิ่มเติม ขอแนะนำให้คุณสร้างนโยบายการปฏิเสธการเข้าถึง 'Leavers' สิ่งนี้จะช่วยให้แน่ใจว่าหากผู้ประสงค์ร้ายประกอบด้วยบัญชีเก่าเพื่อเข้าถึงสิ่งใด ๆ ในสภาพแวดล้อมของคุณ พวกเขาจะถูกปฏิเสธการเข้าถึงโดยอัตโนมัติ
In Silverfort's นโยบาย หน้าจอสร้างนโยบายใหม่ ตรวจสอบ IdP ของคุณเป็น ประเภทการรับรองความถูกต้องแล้วตรวจสอบอย่างใดอย่างหนึ่ง เคอร์เบรอส/NTLM or LDAPขึ้นอยู่กับความต้องการของคุณ เลือก แบบคงที่ สำหรับประเภทกรมธรรม์และสำหรับ ผู้ใช้และกลุ่ม ควรกำหนดให้กับกลุ่ม Leavers หรือชื่อที่คล้ายกันที่คุณมีสำหรับพนักงานที่จะลาออกหรือลาออก ถัดไปภายใต้ การกระทำ, เลือก ปฏิเสธ.
เมื่อเปิดใช้งานแล้ว นโยบายนี้จะปฏิเสธการเข้าถึงบัญชีใดๆ ที่ได้รับมอบหมายนโยบายนี้โดยอัตโนมัติ หากบัญชีนี้ถูกบุกรุก นโยบายนี้จะทำให้ฝ่ายตรงข้ามไม่สามารถใช้บัญชีนี้เพื่อการเข้าถึงที่เป็นอันตรายได้
การมองเห็นและการป้องกันแบบเรียลไทม์มีความสำคัญอย่างยิ่งต่อการลดความเสี่ยงของบัญชีพนักงานเก่า
ภัยคุกคามความปลอดภัยหลายประเภทสามารถเป็นอันตรายต่อองค์กรของคุณในสภาพแวดล้อมแบบไฮบริดในปัจจุบัน ดังนั้นการรักษาความปลอดภัยที่ครอบคลุมจึงจำเป็นต้องมีการมองเห็น การตรวจสอบ และการป้องกันที่สมบูรณ์ การมองเห็นผู้ใช้เก่าและการบล็อกคำขอเข้าถึงใดๆ เป็นสิ่งสำคัญสำหรับการทำให้แน่ใจว่าผู้โจมตีจะไม่ใช้บัญชีเหล่านี้เพื่อเข้าถึงส่วนอื่นๆ ของสภาพแวดล้อม
ด้วยการใช้การตรวจสอบอย่างต่อเนื่องและการบังคับใช้นโยบายเชิงรุกกับบัญชีพนักงานทุกรูปแบบ Silverfort สามารถทำการค้นหาผู้ใช้เก่าได้โดยอัตโนมัติ พร้อมทั้งให้การป้องกันการละเมิดแบบเรียลไทม์
กำลังหาทางแก้ครับ การป้องกันตัว ความท้าทายในสภาพแวดล้อมของคุณ? ติดต่อผู้เชี่ยวชาญของเรา โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
