ค้นหา

ภาษา

MFA และการป้องกันการเข้าถึงระดับผู้ดูแลระบบเป็นวิธีการ แต่จะจบลงอย่างไร?

มีนาคม 2nd, 2023

หน้าแรก » บล็อก » MFA และการป้องกันการเข้าถึงระดับผู้ดูแลระบบเป็นวิธีการ แต่จะจบลงอย่างไร?

บ่อยครั้งในโลกไซเบอร์ การไตร่ตรองถึงสิ่งต่างๆ ที่ถูกมองข้ามและตัวเลือกต่างๆ ที่เกิดขึ้นนั้นมีประโยชน์ โดยเฉพาะอย่างยิ่ง ว่าทำไมจึงถูกสร้างขึ้นมา และสิ่งเหล่านี้บรรลุวัตถุประสงค์หรือไม่ ตัวอย่างเช่น เรามาตรวจสอบการใช้ MFA และการป้องกันการเข้าถึงของผู้ดูแลระบบ เรารู้ว่าสิ่งเหล่านี้มีความสำคัญ แต่ทำไม? นอกจากนี้ การไม่มีมาตรการรักษาความปลอดภัยเหล่านี้หมายความว่าอย่างไร

ในบทความนี้ เราจะตรวจสอบความจริงบางประการที่เป็นที่ยอมรับโดยทั่วไป (แต่ก็ละเลยพอๆ กัน) เกี่ยวกับวัตถุประสงค์เบื้องหลัง MFA และ การควบคุมการเข้าถึงแบบพิเศษความเสี่ยงที่พวกเขาบรรเทาลง และอุปสรรคในการทำให้ใช้งานได้อย่างสมบูรณ์ทั่วทั้งสภาพแวดล้อม

เราจะสรุปด้วยการสาธิตวิธีการ Silverfortแพลตฟอร์ม Unified Identity Protection ของช่วยให้ทีมข้อมูลประจำตัวและความปลอดภัยสามารถปิดช่องว่างเหล่านี้ได้ และรับประกันว่าสภาพแวดล้อมของพวกเขาได้รับการปกป้องจากการครอบครองบัญชี การเคลื่อนไหวด้านข้างและการแพร่กระจายของแรนซัมแวร์

สารบัญ

  • สรุป: MFA และการควบคุมการเข้าถึงระดับผู้ดูแลระบบคืออะไร
  • วัตถุประสงค์ที่ผิด: ความคิดของช่องทำเครื่องหมายที่นำไปสู่ช่องว่างด้านความปลอดภัยอย่างหลีกเลี่ยงไม่ได้
  • วัตถุประสงค์ที่แท้จริง: ป้องกันภัยคุกคามข้อมูลส่วนบุคคล เช่น การครอบครองบัญชี การเคลื่อนไหวด้านข้าง และการแพร่กระจายของแรนซัมแวร์
  • ความคิดของช่องทำเครื่องหมายทำให้สภาพแวดล้อมตกอยู่ในความเสี่ยงได้อย่างไร
  • อะไรคืออุปสรรคทางเทคโนโลยีที่ขัดขวางไม่ให้ MFA และการควบคุมการเข้าถึงแบบสิทธิพิเศษถูกปรับใช้ทั่วทั้งสภาพแวดล้อม?
  • Silverfort การป้องกันข้อมูลประจำตัวแบบรวม: MFA ทุกที่และการค้นหา การตรวจสอบ และการป้องกันอัตโนมัติสำหรับบัญชีบริการ

    • สรุป: MFA และการควบคุมการเข้าถึงระดับผู้ดูแลระบบคืออะไร

    ไอ้เวรตะไล และการควบคุมการเข้าถึงของผู้ดูแลระบบจะช่วยเพิ่มกระบวนการตรวจสอบผู้ใช้โดยการเพิ่มชั้นการป้องกันที่ด้านบนของการจับคู่ชื่อผู้ใช้และรหัสผ่านพื้นฐาน เหตุผลก็คือข้อมูลประจำตัวอาจถูกบุกรุกได้ ซึ่งหมายความว่าฝ่ายตรงข้ามจะสามารถเข้าสู่ระบบโดยใช้ชื่อผู้ใช้และรหัสผ่านที่ถูกต้องได้ MFA บรรเทาสถานการณ์นี้ โดยทำให้แน่ใจว่าผู้ใช้จริงถูกท้าทายให้ยืนยันตัวตนของตนโดยระบุตัวระบุที่แท้จริงซึ่งไม่น่าจะเป็นไปได้ที่ฝ่ายตรงข้ามจะมี ก การจัดการสิทธิ์การเข้าถึง (PAM) โซลูชันสามารถบรรลุสิ่งเดียวกันโดยทำให้การดำเนินการประนีประนอมข้อมูลประจำตัวทำได้ยากขึ้นอย่างมาก ผ่านการรักษาความปลอดภัยและการหมุนเวียนรหัสผ่านเป็นประจำ

    วัตถุประสงค์ที่ผิด: ความคิดของช่องทำเครื่องหมายที่นำไปสู่ช่องว่างด้านความปลอดภัยอย่างหลีกเลี่ยงไม่ได้

    ข้อผิดพลาดที่พบบ่อยที่สุดที่ทีมข้อมูลประจำตัวหรือฝ่ายรักษาความปลอดภัยทำกับ MFA คือการเข้าใจผิดถึงวิธีการยุติ ตัวอย่างเช่น กระบวนการคิดเช่น “เราจำเป็นต้องใช้ MFA เพื่อให้เป็นไปตามกฎระเบียบ X” หรือ “เราจำเป็นต้องเพิ่มความครอบคลุมของ MFA เพื่อให้เราสามารถแสดงให้ฝ่ายบริหารเห็นว่าเรากำลังดำเนินการอยู่” การคิดประเภทนี้มีข้อบกพร่องโดยพื้นฐาน เนื่องจากจะทำให้มั่นใจได้ว่าเมื่อใดก็ตามที่มีอุปสรรคทางเทคโนโลยีในการปรับใช้ MFA หรือ บัญชีสิทธิพิเศษ การควบคุมการเข้าถึงปรากฏขึ้น (เราจะแสดงตัวอย่างเหล่านี้ในบทความนี้) การปรับใช้จะไม่เกิดขึ้น ข้อกำหนดด้านการปฏิบัติตามข้อกำหนดอาจสามารถตอบสนองได้ด้วยการควบคุมการชดเชยที่คลุมเครือ โดยความคุ้มครองด้านการป้องกันจะดำเนินไปทีละน้อยเท่านั้น โดยการปกป้องสิ่งที่ปกป้องได้ง่าย แทนที่จะเป็นสิ่งที่จะปรับปรุงความยืดหยุ่นของสภาพแวดล้อมได้อย่างมาก

    ความจริงก็คือวิธีเดียวที่จะได้รับการป้องกันที่ดีขึ้นคือต้องคำนึงถึงสิ่งที่เรากำลังมองหาเพื่อให้บรรลุอยู่เสมอ ดังนั้น เรามาดูกันว่าการป้องกันที่เราต้องการบรรลุด้วย MFA และการควบคุมการเข้าถึงของผู้ดูแลระบบคืออะไร และสิ่งที่เรากำลังพยายามบรรเทาคือภัยคุกคามใดบ้าง

    วัตถุประสงค์ที่แท้จริง: ป้องกันภัยคุกคามข้อมูลส่วนบุคคล เช่น การครอบครองบัญชี การเคลื่อนไหวด้านข้าง และการแพร่กระจายของแรนซัมแวร์


    เมื่อเจาะลึกถึงจุดประสงค์ที่แท้จริงของการป้องกันเหล่านี้ สิ่งที่ชัดเจนก็คือการป้องกันภัยคุกคามด้านข้อมูลประจำตัว (เช่น การโจมตีหรือส่วนประกอบการโจมตีทุกประเภท) ที่เกี่ยวข้องกับการใช้ข้อมูลประจำตัวที่ถูกบุกรุกสำหรับการเข้าถึงที่เป็นอันตราย ตัวอย่างที่โดดเด่นที่สุดของสิ่งเหล่านี้คือการครอบครองบัญชี การเคลื่อนไหวด้านข้าง และ ransomware การแพร่กระจาย. และนี่ถือเป็นเรื่องใหญ่เพราะสิ่งเหล่านี้เป็นภัยคุกคามที่ทำให้เกิดความเสี่ยงในการปฏิบัติงานสูงสุดแก่องค์กรในปัจจุบัน เรามาทำความเข้าใจว่าทำไม

    ภัยคุกคามด้านข้อมูลประจำตัวเป็นตัวเร่งความเสียหายขั้นสูงสุดในการโจมตีทางไซเบอร์ในปัจจุบัน

    เหตุใดการป้องกันภัยคุกคามข้อมูลประจำตัวจึงมีความจำเป็นอย่างยิ่ง ลองใช้ตัวอย่างแรนซัมแวร์เพื่อทำความเข้าใจสาเหตุให้ดียิ่งขึ้น การโจมตีด้วยแรนซัมแวร์มักจะเริ่มต้นด้วยการประนีประนอมครั้งแรกของเวิร์กสเตชันหรือเซิร์ฟเวอร์ จากนั้นจะทำให้ฝ่ายตรงข้ามสามารถตั้งหลักในสภาพแวดล้อมเป้าหมายได้ อย่างไรก็ตาม ณ จุดนี้ ความเสียหายจะจำกัดอยู่เพียงเครื่องเดียวเท่านั้น ปัจจัย X ที่นี่คือระยะการเคลื่อนไหวด้านข้าง ซึ่งฝ่ายตรงข้ามใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าสู่ระบบและเข้าถึงเครื่องเพิ่มเติมในสภาพแวดล้อมจนกว่าพวกเขาจะไปถึงตำแหน่งที่จะช่วยให้พวกเขาสามารถวางเพย์โหลดของแรนซัมแวร์บนเครื่องใดก็ได้มากที่สุดเท่าที่จะเป็นไปได้ ขณะนี้ การโจมตีได้พัฒนาจากเหตุการณ์เครื่องเดียวในพื้นที่ไปสู่เหตุการณ์ที่อาจหยุดการดำเนินธุรกิจได้จริง

    ความคิดของช่องทำเครื่องหมายทำให้สภาพแวดล้อมตกอยู่ในความเสี่ยงได้อย่างไร

    นี่คือสิ่งที่โซลูชัน MFA และ PAM ควรจะยุติโดยสิ้นเชิง ดังนั้นคุณจะเห็นได้ว่าแนวคิดเรื่องช่องทำเครื่องหมายการปฏิบัติตามข้อกำหนดนั้นสั้นเพียงใด เพื่อบล็อกภัยคุกคามด้านข้อมูลประจำตัว การป้องกัน MFA และ PAM จะต้องครอบคลุมผู้ใช้ ทรัพยากร และวิธีการเข้าถึงทั้งหมด อะไรก็ตามที่น้อยกว่านั้นจะทำให้ศัตรูเปิดประตูกว้าง อย่างไรก็ตาม ข้อจำกัดด้านเทคโนโลยี MFA และ PAM แบบดั้งเดิมทำให้การครอบคลุมประเภทนี้เป็นไปไม่ได้ในทางปฏิบัติ

    ความคิดของช่องทำเครื่องหมายเป็นอันตรายอย่างยิ่งเนื่องจากทั้งหน่วยงานกำกับดูแลและฝ่ายบริหารอาจพึงพอใจเนื่องจากได้แสดงความพยายามอย่างดีที่สุดแล้ว นอกจากนี้ ทีมระบุตัวตนอาจรู้สึกเหมือนได้ทำงานของตนอย่างเต็มความสามารถแล้ว อย่างไรก็ตาม จริงๆ แล้วศัตรูจะพึงพอใจมากที่สุด เนื่องจากปฏิบัติการของพวกเขาจะสามารถดำเนินต่อไปโดยไม่มีการตรวจจับ และส่วนใหญ่แล้วนี่คือสิ่งที่น่าเสียดาย การป้องกันตัว สภาพที่เป็นอยู่ในหลายองค์กรในปัจจุบัน

    อะไรคืออุปสรรคทางเทคโนโลยีที่ขัดขวางไม่ให้ MFA และการควบคุมการเข้าถึงแบบสิทธิพิเศษถูกปรับใช้ทั่วทั้งสภาพแวดล้อม?

    ตอนนี้ เรามาทำความเข้าใจว่าอะไรคือความท้าทายในการรับประกันว่าผู้ใช้ ทรัพยากร และวิธีการเข้าถึงทั้งหมดได้รับการปกป้อง

    MFA แบบดั้งเดิม: ขึ้นอยู่กับตัวแทนโดยไม่มีความคุ้มครอง Active Directory โปรโตคอลการตรวจสอบสิทธิ์

    ผลิตภัณฑ์ MFA แบบดั้งเดิมจำเป็นต้องมีการติดตั้งตัวแทนบนเซิร์ฟเวอร์และเวิร์กสเตชันที่ได้รับการป้องกัน หรือวางพร็อกซีไว้ด้านหน้าส่วนเครือข่าย สิ่งนี้หมายความว่าในทางปฏิบัติก็คือว่า ว่าจะมีเครื่องจักรที่ไม่มีการป้องกันอยู่เสมอ — เนื่องจากไม่สามารถยอมรับตัวแทนเพิ่มเติมได้หรือเนื่องจากสถาปัตยกรรมเครือข่ายซับซ้อนเกินไป

    ข้อจำกัดที่สองนั้นเป็นปัญหามากยิ่งขึ้น Active Directoryโปรโตคอลการตรวจสอบความถูกต้องของ (AD) รวมถึง NTLM และ Kerberosถูกเขียนขึ้นนานก่อนที่เทคโนโลยี MFA จะเกิดขึ้น ซึ่งทำให้การป้องกัน MFA ไม่สามารถใช้ได้กับการรับรองความถูกต้อง AD ในส่วนที่กว้างกว่า ดังนั้นการตรวจสอบสิทธิ์ผ่านเครื่องมือการเข้าถึงบรรทัดคำสั่งที่สร้างขึ้นบนโปรโตคอลเหล่านี้ เช่น PsExec, Remote PowerShell และ WMI (ซึ่งผู้ดูแลระบบใช้กันอย่างแพร่หลายในการเชื่อมต่อกับเครื่องระยะไกล) – ไม่สามารถป้องกันได้ นี่คือเหตุผลว่าทำไมสิ่งเหล่านี้จึงเป็นตัวเลือกสำหรับการโจมตีด้วยการเคลื่อนที่ด้านข้าง การไม่สามารถปกป้องพวกเขาด้วย MFA หมายความว่าเมื่อฝ่ายตรงข้ามจัดการเพื่อรับข้อมูลประจำตัวที่ถูกบุกรุกแล้ว จะไม่มีทางหยุดพวกเขาจากการเข้าถึงทรัพยากรได้มากเท่าที่ต้องการ

    การป้องกันการเข้าถึงแบบสิทธิพิเศษ: กระบวนการปรับใช้ที่ยากลำบากโดยไม่มีการป้องกันสำหรับบัญชีบริการ

    แม้ว่า PAM จะถือเป็นวิธีที่ตรงไปตรงมาในการปกป้องบัญชีที่ได้รับสิทธิพิเศษ แต่ก็มีข้อจำกัดสำคัญสองประการที่จำกัดประสิทธิภาพของบัญชีอย่างมาก ประการแรกคือกระบวนการเริ่มต้นใช้งานที่ยาวและน่าเบื่อหน่าย ซึ่งต้องอาศัยการค้นหาบัญชีที่ได้รับสิทธิ์ทั้งหมดด้วยตนเอง ซึ่งจำเป็นต้องมีการป้องกัน รวมถึงการบูรณาการแบบแยกส่วนกับทุกองค์ประกอบของโครงสร้างพื้นฐานด้านไอที

    ประการที่สองคือความไม่ตรงกันขั้นพื้นฐานระหว่างกลไกการรักษาความปลอดภัยแบบ vaulting และแบบหมุนเวียนของ PAM และลักษณะของเครื่องต่อเครื่อง บัญชีบริการ. การเริ่มต้นใช้งานบัญชีเหล่านี้กับ PAM นั้นเป็นไปไม่ได้เลย เนื่องจาก: 1) ไม่มียูทิลิตี้ใดที่สามารถมองเห็นบัญชีเหล่านี้ได้ทันที ทำให้การค้นพบบัญชีเหล่านี้ต้องใช้ความอุตสาหะและมักจะเป็นไปไม่ได้ และ 2) แม้ว่าหลังจากการค้นพบบัญชีบริการแล้วก็ตาม ยังคงไม่สามารถมองเห็นเครื่องต้นทางและเป้าหมายหรือแอปที่รันได้ หากไม่มีข้อมูลนี้ คุณจะไม่สามารถใช้การหมุนเวียนรหัสผ่านกับบัญชีได้ โดยไม่เสี่ยงต่อการทำลายกระบวนการใดๆ ที่บัญชีจัดการอยู่

    ผลลัพธ์ของช่องว่างใน MFA และการปกป้องบัญชีที่ได้รับสิทธิพิเศษคือเหตุผลที่ทำให้ช่องว่างเหล่านี้กลายเป็นกุญแจสำคัญ พื้นผิวการโจมตี ที่ศัตรูมุ่งเป้าสำเร็จอย่างยิ่งใหญ่

    Silverfort การป้องกันข้อมูลประจำตัวแบบรวม: MFA ทุกที่และการค้นหา การตรวจสอบ และการป้องกันอัตโนมัติสำหรับบัญชีบริการ

    Silverfort เป็นผู้บุกเบิกแพลตฟอร์ม Unified Identity Protection ที่สร้างขึ้นตามวัตถุประสงค์เป็นรายแรกที่สามารถทำได้ ขยาย MFA สำหรับผู้ใช้และทรัพยากรใด ๆ ดำเนินการค้นหา ตรวจสอบ และป้องกันบัญชีบริการโดยอัตโนมัติและป้องกันเชิงรุก การเคลื่อนไหวด้านข้าง และ แรนซัมแวร์แพร่กระจาย การโจมตี Silverfort เชื่อมต่อกับตัวควบคุมโดเมนทั้งหมดและผู้ให้บริการข้อมูลประจำตัวภายในองค์กรอื่นๆ (IdPs) ในสภาพแวดล้อม เพื่อการติดตาม การวิเคราะห์ความเสี่ยง และการบังคับใช้นโยบายการเข้าถึงอย่างต่อเนื่อง ในทุกความพยายามในการพิสูจน์ตัวตนและการเข้าถึงของผู้ใช้ ผู้ดูแลระบบ หรือบัญชีบริการกับผู้ใช้ ระบบ และสภาพแวดล้อมใดๆ

    ใช้ทีมข้อมูลประจำตัวและความปลอดภัย Silverfortแพลตฟอร์มของเพื่อใช้ความครอบคลุมแบบ 360 องศาที่จำเป็นได้อย่างง่ายดายในสภาพแวดล้อมที่พวกเขาต้องการ เพื่อป้องกันภัยคุกคามด้านข้อมูลประจำตัว คุณจำเป็นต้องเพิ่มความครอบคลุมของการป้องกัน MFA ให้กับผู้ใช้และระบบทั้งหมดของคุณ หรือต้องการมองเห็นและปกป้องบัญชีบริการของคุณหรือไม่? กำหนดเวลาการโทร กับหนึ่งในผู้เชี่ยวชาญของเรา

    พร้อมสำหรับการสาธิต?
    ลงทะเบียนวันนี้

    โพสต์ล่าสุด

    เมษายน 24th, 2024

    5 วิธีในการเพิ่มสุขอนามัย AD ของคุณด้วย Silverfort  

    มีนาคม 26th, 2024

    รายงาน Identity Underground: ข้อมูลเชิงลึกเกี่ยวกับช่องว่างด้านความปลอดภัยของข้อมูลประจำตัวที่สำคัญที่สุด  

    มีนาคม 2nd, 2024

    การป้องกัน MFA สำหรับเครือข่าย Air-Gapped

    กุมภาพันธ์ 21st, 2024

    การลดความเสี่ยงด้านอัตลักษณ์ของบัญชีของพนักงานเก่า
    ดูเพิ่มเติม

    ช่องทางการติดต่อ

    หยุดการคุกคามตัวตนเดี๋ยวนี้