ความรู้คือพลัง: ความสำคัญของการประเมินความเสี่ยงด้านอัตลักษณ์

Silverfort ภาพ
Risk-Identity-Blog_1234x402 Blog – No Text – Option3
สารบัญ

แบ่งปันโพสต์นี้:

องค์กรมากกว่า 80% ประสบปัญหาการละเมิดข้อมูลประจำตัวที่เกี่ยวข้องกับข้อมูลประจำตัวที่ถูกบุกรุก ข้อมูลประจำตัวที่ถูกบุกรุก เป็นหนึ่งในจุดอ่อนที่เป็นที่ต้องการมากที่สุดสำหรับผู้โจมตีเพื่ออำนวยความสะดวกในการละเมิดข้อมูลประจำตัว เช่น การเคลื่อนไหวด้านข้างและการแพร่กระจายของแรนซัมแวร์

เพื่อระบุและแก้ไขจุดอ่อนและการเปิดเผยข้อมูลประจำตัว องค์กรจำเป็นต้องดำเนินการประเมินความเสี่ยงด้านข้อมูลประจำตัว

ในบทความนี้ เราจะตรวจสอบองค์ประกอบสำคัญของการประเมินความเสี่ยงด้านข้อมูลประจำตัวที่มีประสิทธิผล และหารือเกี่ยวกับวิธีรับการมองเห็นและข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับ ความปลอดภัยของข้อมูลประจำตัว ท่าทางด้วย Silverfort.

ความเสี่ยงด้านอัตลักษณ์เริ่มต้นด้วยจุดอ่อนของอัตลักษณ์

องค์กรต่างๆ กำลังดิ้นรนกับภัยคุกคามด้านข้อมูลประจำตัว เช่น การยึดบัญชี การเคลื่อนไหวด้านข้าง และแรนซัมแวร์ ตามรายงานล่าสุดโดย Silverfort และการวิจัยออสเตอร์แมน องค์กรมากกว่า 80% ประสบปัญหาการละเมิดข้อมูลประจำตัว ที่เกี่ยวข้องกับข้อมูลรับรองที่ถูกบุกรุก โดยมากกว่าครึ่งหนึ่งของการละเมิดเหล่านี้ในปีที่ผ่านมาเพียงปีเดียว

ความสำเร็จอย่างต่อเนื่องของการโจมตีเหล่านี้บ่งชี้ว่ามีลิงก์ที่อ่อนแอหรือช่องโหว่ด้านความปลอดภัยที่ผู้โจมตีมุ่งเป้าไปที่การเจาะข้อมูลประจำตัว เพิ่มระดับสิทธิพิเศษ และย้ายออกไปในแนวขวาง วัตถุประสงค์ของการประเมินความเสี่ยงด้านอัตลักษณ์คือการเปิดเผยช่องว่างเหล่านี้ ตัวอย่างเช่น, รายงานล่าสุด ชื่อ “The Identity Underground” เปิดเผยจุดอ่อนที่สำคัญและแพร่หลายที่สุดเหล่านี้ และเปิดเผยการค้นพบที่น่าตกใจบางประการ ได้แก่:

  • การซิงค์รหัสผ่านภายในองค์กรที่ไม่ปลอดภัยเป็นปัจจัยที่มีส่วนทำให้เกิดการโจมตีแอป SaaS ใน 67% ขององค์กร
  • 37% ของผู้ดูแลระบบใช้ NTLM ในการตรวจสอบสิทธิ์ และอีก 7% ใช้ NTLMv1
  • 31% ของผู้ใช้ทั้งหมดในองค์กรคือ บัญชีบริการ.
  • 7% ของผู้ใช้ทั่วไปมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบโดยไม่ต้องอยู่ในกลุ่มผู้ดูแลระบบใดๆ

ข้อมูลข้างต้นเป็นเพียงตัวอย่างเล็กๆ น้อยๆ ที่แสดงให้เห็นขนาดของ การเปิดเผยภัยคุกคามตัวตน ความท้าทาย

องค์ประกอบสำคัญของการประเมินความเสี่ยงด้านอัตลักษณ์

องค์กรต่างๆ ดำเนินการประเมินความเสี่ยงด้านความปลอดภัยเพื่อรับข้อมูลเชิงลึกเกี่ยวกับจุดอ่อนและความเสี่ยงขององค์กร กระบวนการดำเนินการประเมินความเสี่ยงเกี่ยวข้องกับการรวบรวมและวิเคราะห์ข้อมูล บทความนี้เน้นที่ข้อมูลที่เกี่ยวข้องกับข้อมูลประจำตัว เช่น บัญชี การตรวจสอบสิทธิ์ และสิทธิ์การเข้าถึง โดยทั่วไปการประเมินความเสี่ยงด้านข้อมูลประจำตัวประกอบด้วยองค์ประกอบต่อไปนี้:

ข้อมูลที่เกี่ยวข้องกับตัวตน

สินค้าคงคลังบัญชีผู้ใช้

มองเห็นได้ทั่วถึง บัญชีผู้ใช้บัญชีบริการ และบัญชีผู้ดูแลระบบ โดยทั่วไปสินค้าคงคลังโดยละเอียดจะประกอบด้วยข้อมูล เช่น ชื่อ คำอธิบาย สมาชิกกลุ่ม และแอปพลิเคชันที่เกี่ยวข้องกับแต่ละรายการ

รุ่นเครื่องทดสอบ และรูปแบบการทำงาน

ภาพรวมที่ครอบคลุมของการกำหนดค่าผู้ใช้และไดเร็กทอรีทั้งภายในองค์กรและบนคลาวด์

รูปแบบการเข้าถึง

มองเห็นการตรวจสอบสิทธิ์และรูปแบบการเข้าถึงของผู้ใช้และทรัพยากรที่ใช้งานอยู่ทั้งหมด ทั้งในองค์กรและในระบบคลาวด์ รวมถึงบัญชีบริการและ การรับรอง บันทึก

การวิเคราะห์ความเสี่ยง

การเข้าถึงข้อมูลประจำตัว

กรอบการทำงานของ MITER ATT&CK กำหนดไว้ การเข้าถึงข้อมูลรับรอง เนื่องจากเทคนิคที่ผู้โจมตีใช้เพื่อขโมยข้อมูลประจำตัว เช่น ชื่อบัญชีและรหัสผ่าน เทคนิคการเข้าถึงข้อมูลรับรอง ได้แก่ การล็อกคีย์ การทิ้งข้อมูลรับรอง และการใช้กำลังดุร้าย และอื่นๆ อีกมากมาย

โปรโตคอลการตรวจสอบสิทธิ์ที่ใหม่กว่าได้รับการออกแบบมาเพื่อป้องกันการโจมตีดังกล่าว แต่โปรโตคอลรุ่นเก่าเช่น NTLMv1 มีการเข้ารหัสที่อ่อนแอ ซึ่งสามารถบังคับใช้แบบเดรัจฉานได้ง่าย การประเมินความเสี่ยงด้านข้อมูลประจำตัวมีจุดมุ่งหมายเพื่อค้นหาจุดอ่อนเหล่านี้ที่ทำให้ผู้โจมตีสามารถใช้เทคนิคการเข้าถึงข้อมูลประจำตัวได้

การเลื่อนระดับสิทธิ์

ตามที่ระบุไว้ใน MITER ATT&CK การเพิ่มระดับสิทธิ์ ประกอบด้วยเทคนิคที่ผู้โจมตีใช้เพื่อรับสิทธิ์ระดับสูงกว่าบนระบบหรือเครือข่าย แม้ว่าพวกเขาจะสามารถเข้าถึงสภาพแวดล้อมขององค์กรเป็นครั้งแรกแล้ว ผู้โจมตีอาจยังต้องการสิทธิ์ที่สูงกว่าเพื่อที่จะดำเนินการโจมตีได้ สำหรับเหตุผลนี้, บัญชีสิทธิพิเศษ มักถูกกำหนดเป้าหมาย

ผู้โจมตีมักจะพยายามใช้ประโยชน์จากจุดอ่อนของระบบและการกำหนดค่าที่ไม่ถูกต้อง ตัวอย่างเช่น ผู้ดูแลระบบเงา ซึ่งเป็นผู้ใช้ทั่วไปที่ได้รับสิทธิ์ของผู้ดูแลระบบหรือการกำหนดค่า/รีเซ็ตสิทธิ์เหนือบัญชีผู้ดูแลระบบโดยไม่รู้ตัว ผู้ดูแลระบบ Shadow สามารถรีเซ็ตรหัสผ่านของผู้ดูแลระบบจริงได้ แต่เป็นผู้ใช้ทั่วไปในด้านอื่นๆ ทั้งหมด การไม่เปิดเผยตัวตนยังหมายความว่าพวกเขาไม่ได้อยู่ภายใต้การควบคุมความปลอดภัยแบบเดียวกัน

การเคลื่อนไหวด้านข้าง

การเคลื่อนไหวด้านข้างตามที่กำหนดไว้ในกรอบงาน MITER เป็นเทคนิคที่ผู้โจมตีใช้เพื่อเข้าสู่และควบคุมระบบระยะไกล ด้วยวิธีนี้ ผู้โจมตีสามารถเข้าสู่สภาพแวดล้อมและเคลื่อนที่โดยตรวจไม่พบจากจุดหนึ่งไปยังอีกจุดหนึ่งจนกว่าจะถึงเป้าหมาย ด้วยเหตุนี้ ผู้โจมตีจึงสนใจบัญชีที่ขาดการมองเห็นและการป้องกันจากโซลูชันความปลอดภัยที่มีอยู่

ตัวอย่างเช่น บัญชีบริการนั้นติดตามได้ยาก มักได้รับสิทธิพิเศษสูงและไม่สามารถป้องกันได้ด้วยการหมุนเวียนรหัสผ่าน ซึ่งหมายความว่าสามารถนำไปใช้ประโยชน์สำหรับการเคลื่อนไหวด้านข้างได้

ช่องว่างความคุ้มครองด้านความปลอดภัย

มีบัญชีและทรัพยากรหลายอย่างที่การควบคุมความปลอดภัยไม่สามารถครอบคลุมได้ และมีจุดอ่อนบางประการที่ไม่สามารถกำจัดได้

ตัวอย่างเช่น หลายองค์กรยังคงใช้ระบบเดิมซึ่งไม่รองรับโดยกำเนิด MFA ได้ทุกที่- แม้แต่การพยายามใช้โซลูชันการรักษาความปลอดภัยข้อมูลระบุตัวตนด้วยตนเองกับแอปพลิเคชันหรือเซิร์ฟเวอร์รุ่นเก่าแต่ละรายการก็ทำได้ยาก เนื่องจากการดัดแปลงแก้ไขอาจส่งผลให้เกิดการทำงานผิดพลาดหรือแม้แต่ยุติกระบวนการได้

ขั้นตอนถัดไป: การติดตามการประเมินความเสี่ยง

จัดลำดับความสำคัญ

ความเสี่ยงที่แตกต่างกันก่อให้เกิดภัยคุกคามที่แตกต่างกัน เพื่อแก้ไขความเสี่ยงที่ระบุได้อย่างมีประสิทธิภาพ องค์กรควรจัดลำดับความสำคัญของความเสี่ยงตามผลกระทบที่อาจเกิดขึ้นและความน่าจะเป็น เพื่อจัดสรรทรัพยากรอย่างมีประสิทธิภาพสูงสุด ตัวอย่างเช่น องค์กรอาจเริ่มต้นด้วยการจัดการความเสี่ยงอย่างเข้มข้น บัญชีสิทธิพิเศษแอปพลิเคชันที่สำคัญ และปัจจัยอื่น ๆ ที่ถือว่าจำเป็น

การบรรเทา

ความเสี่ยงสามารถแก้ไขได้โดยพิจารณาจากสาเหตุที่แท้จริง ได้แก่ การกำหนดค่าที่ไม่ถูกต้อง การประพฤติมิชอบ และช่องว่างด้านความปลอดภัย ขั้นตอนการบรรเทาผลกระทบสามารถดำเนินการตามนั้นเพื่อลดความเสี่ยงเหล่านี้และปรับปรุงมาตรการรักษาความปลอดภัยด้านข้อมูลประจำตัวขององค์กร ตัวอย่างเช่น:

  • การกำหนดค่าผิดพลาด: การกำหนดค่าที่ไม่ถูกต้องเกิดขึ้นเมื่อใช้การกำหนดค่าที่ไม่ถูกต้องหรือไม่เหมาะสมในระหว่างการสร้างผู้ใช้ ซึ่งอาจส่งผลให้เกิดจุดอ่อนด้านความปลอดภัย การกำหนดค่าที่ไม่ถูกต้องเป็นสิ่งที่หลีกเลี่ยงไม่ได้ และยิ่งกว่านั้นในสภาพแวดล้อมที่ใหญ่ขึ้น ตัวอย่างเช่น ผู้ดูแลระบบ Shadow มีการกำหนดค่าผิดพลาดทั่วไป การกำหนดค่าที่ไม่ถูกต้องสามารถแก้ไขได้โดยการคืนค่าการกำหนดค่าที่เหมาะสม เช่น โดยการเอาสิทธิ์ที่มากเกินไปที่มอบให้กับ ผู้ดูแลระบบเงา.
  • การทุจริตต่อหน้าที่: คำว่าการทุจริตต่อหน้าที่หมายถึงการกระทำที่กระทำโดยไม่ได้ตั้งใจหรือไม่เหมาะสมซึ่งอาจส่งผลให้เกิดจุดอ่อนที่สำคัญ เช่น บัญชีบริการไฮบริดหรือการกระทำที่มากเกินไป NTLM การรับรองความถูกต้อง บัญชีบริการแบบไฮบริดเกิดขึ้นเมื่อผู้ดูแลระบบใช้ บัญชีบริการ สำหรับการเข้าสู่ระบบแบบโต้ตอบหรือบัญชีส่วนตัวเพื่อทำให้งานอัตโนมัติ เพื่อแก้ไขการทุจริตต่อหน้าที่ดังกล่าว จำเป็นต้องตรวจสอบให้แน่ใจว่าฝ่ายไอทีและผู้ดูแลระบบปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย
  • ช่องว่างความคุ้มครองด้านความปลอดภัย: บัญชีและทรัพยากรที่ไม่รวมอยู่ในการควบคุมความปลอดภัยทำให้เกิดช่องว่างด้านความปลอดภัยขนาดใหญ่ ช่องว่างเหล่านี้นำไปสู่ความเสี่ยงด้านการระบุตัวตนที่แก้ไขได้ยากมาก ตัวอย่างเช่น MFA สำหรับแอปเดิมและการหมุนเวียนรหัสผ่านสำหรับ บัญชีบริการ- องค์กรจะต้องค้นหาวิธีแก้ปัญหาเพื่อเอาชนะความเสี่ยงเหล่านี้ หรือตรวจสอบให้แน่ใจว่าทีมรักษาความปลอดภัยจะติดตามผู้ใช้และทรัพยากรดังกล่าวอย่างใกล้ชิด

การประเมินความเสี่ยงด้านอัตลักษณ์ด้วย Silverfort

Silverfort มอบแพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวแบบครบวงจรที่ป้องกันการคุกคามข้อมูลประจำตัวแบบเรียลไทม์ ซึ่งช่วยให้องค์กรสามารถมองเห็นความพยายามในการเข้าถึงทั้งหมดได้อย่างสมบูรณ์ และปฏิเสธการเข้าถึงทรัพยากร โดยไม่คำนึงถึงโปรโตคอลการตรวจสอบสิทธิ์ สำหรับสภาพแวดล้อมข้อมูลประจำตัวภายในองค์กร ระบบคลาวด์ และแบบไฮบริดทั้งหมด

ตลอด Silverfortแพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวแบบครบวงจรขององค์กรต่างๆ สามารถทำการประเมินความเสี่ยงด้านข้อมูลประจำตัวที่ครอบคลุมเพื่อเปิดเผยและลดช่องว่างด้านความปลอดภัย การกำหนดค่าที่ไม่ถูกต้อง และการปฏิบัติที่ไม่เหมาะสมที่ผู้โจมตีสามารถใช้ประโยชน์จากการเข้าถึงข้อมูลรับรอง การเพิ่มระดับสิทธิพิเศษ และการเคลื่อนไหวด้านข้าง

การจัดการท่าทางการรักษาความปลอดภัยของข้อมูลประจำตัว (ISPM)

การมองเห็นที่ครอบคลุมเกี่ยวกับความเสี่ยงต่อภัยคุกคามข้อมูลประจำตัว เช่น บัญชีบริการ ผู้ดูแลระบบเงา และโปรโตคอลเดิม เช่น NTLMv1 และอื่นๆ ซึ่งรวมถึงการตรวจสอบและวิเคราะห์การรับรองความถูกต้อง รูปแบบการเข้าถึง และพฤติกรรมเพื่อรวบรวมข้อมูลเชิงลึกเกี่ยวกับมาตรการรักษาความปลอดภัยข้อมูลประจำตัวขององค์กร และให้คำแนะนำเกี่ยวกับวิธีการขจัดความเสี่ยง เช่น การใช้โซลูชันการตรวจสอบ และการลบสิทธิ์ที่มากเกินไปของบัญชีที่ได้รับสิทธิพิเศษ

ไฟร์วอลล์การตรวจสอบสิทธิ์

ไฟร์วอลล์การตรวจสอบความถูกต้องเป็นวิธีหนึ่งในการควบคุมการเข้าถึงทรัพยากรของผู้ใช้โดยการบังคับใช้การควบคุมการเข้าถึงและการตรวจสอบความถูกต้องที่เข้มงวด Silverfortไฟร์วอลล์การรับรองความถูกต้องของช่วยให้องค์กรสามารถบังคับใช้นโยบายตามความเสี่ยงและ การแบ่งส่วนข้อมูลประจำตัว เพื่อบล็อกความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตและรับรองว่าผู้ใช้จะเข้าถึงเฉพาะทรัพยากรที่ต้องการเท่านั้น ไม่จำเป็นต้องเปลี่ยนแปลงโครงสร้างพื้นฐานที่สำคัญ และนโยบายของไฟร์วอลล์การตรวจสอบความถูกต้องสามารถนำไปใช้ได้อย่างรวดเร็วและราบรื่น

MFA สำหรับทุกคน

Silverfort ทำงานร่วมกับ Active Directory เพื่อส่งต่อคำขอเข้าถึงทั้งหมดไปที่ Silverfortทำให้สามารถบังคับใช้การตรวจสอบ MFA ในทุกระบบในโครงสร้างพื้นฐานข้อมูลประจำตัวขององค์กร รวมถึงระบบเดิมด้วย

การปกป้องบัญชีบริการ

การค้นหาและการจัดการบัญชีบริการโดยอัตโนมัติ Silverfort สามารถตรวจจับบัญชีบริการโดยการวิเคราะห์รูปแบบพฤติกรรมและกำหนดค่านโยบายการเข้าถึงโดยอัตโนมัติในกรณีที่ตรวจพบบัญชีบริการที่ถูกบุกรุก

เพื่อหารือเกี่ยวกับวิธีการ Silverfort สามารถช่วยเหลือองค์กรของคุณในการประเมินความเสี่ยงด้านข้อมูลระบุตัวตนได้ โปรดกรอก แบบฟอร์มนี้ และนัดประชุมกับก Silverfort ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยของข้อมูลประจำตัว

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต