ระวังช่องว่าง! ใครเป็นผู้รับผิดชอบในการป้องกันภัยคุกคามจากข้อมูลประจำตัวในองค์กรของคุณ

ภัยคุกคามด้านข้อมูลประจำตัว (เช่น การใช้ข้อมูลประจำตัวที่ถูกบุกรุกสำหรับการเข้าถึงทรัพยากรเป้าหมายโดยประสงค์ร้าย) ได้กลายเป็นองค์ประกอบสำคัญของภาพรวมภัยคุกคามในปัจจุบัน ยิ่งไปกว่านั้น สิ่งเหล่านี้ยังเป็นภัยคุกคามที่องค์กรต่างๆ พบว่าป้องกันได้ยากที่สุด การเคลื่อนไหวด้านข้าง และการแพร่กระจายของแรนซัมแวร์ทำให้เกิดความเสียหายในวงกว้างในแต่ละวัน อย่างไรก็ตาม ภายในองค์กรส่วนใหญ่ ในความเป็นจริงแล้วยังมีช่องว่างในแง่ของผู้ที่รับผิดชอบในการป้องกันการโจมตีเหล่านี้ และช่องว่างนี้เป็นสาเหตุพื้นฐานประการหนึ่งที่ทำให้องค์กรต่าง ๆ พยายามที่จะได้เปรียบจากการคุกคามข้อมูลประจำตัว

ในโพสต์นี้ เราจะหารือเกี่ยวกับช่องว่างนี้โดยการตรวจสอบตัวอย่างการใช้งาน โดยมีจุดประสงค์เพื่อให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทุกคนไตร่ตรองว่าช่องว่างนี้อยู่ในองค์กรของตนอย่างไร และจะแก้ไขได้อย่างไร

ทีมระบุตัวตนไม่รับผิดชอบต่อการป้องกันการโจมตีทางไซเบอร์

พบกับแจ็ค แจ็คคือการจัดการข้อมูลประจำตัวและการเข้าถึง (AMI) วิศวกรของบริษัทของเขา ส่วนหนึ่งของบทบาทของแจ็คคือการใช้การรับรองความถูกต้องแบบหลายปัจจัย (ไอ้เวรตะไล) การป้องกันการเข้าถึงของผู้ใช้ ด้วยความเป็นมืออาชีพที่ยอดเยี่ยม Jack ประเมิน ซื้อ และปรับใช้ โซลูชัน MFA บน SaaS และเว็บแอปของบริษัททั้งหมด รวมถึงการเข้าถึง VPN ระยะไกลไปยังสภาพแวดล้อมภายในองค์กรและการเข้าถึง Remote Desktop Protocol (RDP) ภายในองค์กร

แต่เพราะว่า ก.ม.เพื่อรปช เกี่ยวข้องกับการติดตั้งเอเจนต์บนแต่ละเซิร์ฟเวอร์ในสภาพแวดล้อม โดยตัดสินใจว่าจะไม่ปรับใช้สิ่งนี้กับกลุ่มเซิร์ฟเวอร์รุ่นเก่าโดยเฉพาะที่รองรับแอปที่สำคัญต่อธุรกิจหลายตัว ข้อกังวลที่นี่คือภาระเพิ่มเติมของตัวแทน MFA จะทำให้เซิร์ฟเวอร์เหล่านี้เสียหาย ซึ่งนำไปสู่การหยุดทำงานที่ยอมรับไม่ได้ ดังนั้นโครงการนี้จึงถือว่าประสบความสำเร็จเมื่อคำนึงถึงสิ่งเหล่านี้

ทีมรักษาความปลอดภัยไม่มีหน้าที่รับผิดชอบในการประเมินและปรับใช้ผลิตภัณฑ์ป้องกันข้อมูลระบุตัวตน

ตอนนี้มาพบกับ Jill ซึ่งเป็นผู้จัดการศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ในทีมรักษาความปลอดภัยของบริษัทของเธอ KPI ของเธอคือการป้องกัน ตรวจจับ และตอบสนองต่อการโจมตีทางไซเบอร์ จิลตระหนักดีว่า ransomware การโจมตีที่แพร่กระจายไปทั่วสภาพแวดล้อมขององค์กรถือเป็นภัยคุกคามที่สำคัญ ฝ่ายตรงข้ามบรรลุการแพร่กระจายนี้โดยใช้ข้อมูลประจำตัวผู้ใช้ที่ถูกบุกรุกเพื่อเข้าสู่ระบบเครื่องให้ได้มากที่สุด เพื่อป้องกันสิ่งนี้ ทีมงานของ Jill ได้ทุ่มเทความพยายามอย่างมากในการตอบสนองต่อการแจ้งเตือนและค้นหาการเข้าถึงของผู้ใช้ที่ผิดปกติในเชิงรุก ซึ่งอาจบ่งชี้ว่าการแพร่กระจายดังกล่าวกำลังเกิดขึ้น

อย่างไรก็ตาม ทั้ง Jill และใครก็ตามในทีมของเธอไม่ได้มีส่วนร่วมในการประเมิน ทดสอบ และเปิดตัวโซลูชัน MFA ที่มีอยู่ในสภาพแวดล้อมขององค์กร เนื่องจากเธอมุ่งเน้นไปที่การโจมตีทางไซเบอร์เพียงอย่างเดียว ปฏิกิริยาเดียวของเธอคือดีใจที่ได้ทราบว่าโครงการ MFA เสร็จสมบูรณ์แล้ว

ผลลัพธ์: การโจมตีทางไซเบอร์ที่รวมถึงภัยคุกคามจากข้อมูลประจำตัวพบการป้องกันเพียงเล็กน้อย

วันหนึ่งแรนซัมแวร์โจมตี ฝ่ายตรงข้ามตระหนักดีว่าเซิร์ฟเวอร์แอปขององค์กรเป็นเป้าหมายที่ดีที่สุดในการจับตัวประกัน เพื่อเข้าควบคุมเซิร์ฟเวอร์เหล่านี้และเข้ารหัสข้อมูลบนเซิร์ฟเวอร์ พวกเขาพยายามเข้าสู่ระบบผ่าน RDP โดยใช้ข้อมูลประจำตัวของผู้ใช้ที่ถูกบุกรุก และเนื่องจากไม่มี MFA บนเซิร์ฟเวอร์เหล่านี้ ความพยายามจึงสำเร็จ ตอนนี้ฝ่ายตรงข้ามอยู่ในการควบคุมอย่างสมบูรณ์และสามารถกำหนดความต้องการแรนซัมแวร์ของพวกเขาในองค์กรได้

ทิ้งเรื่องราวของเราและสะท้อนสิ่งที่เกิดขึ้นที่นี่

บทเรียนที่ได้รับ: เมื่อไม่มีใครเป็นเจ้าของความเสี่ยง ความเสี่ยงจะเป็นของคุณ

แล้วอะไรทำให้การเจาะระบบนี้เกิดขึ้นได้ ทั้งๆ ที่มีทีมรักษาความปลอดภัยและเอกลักษณ์เฉพาะตัวที่มีความสามารถ คำตอบอยู่ที่แจ็คและจิลล์รับรู้บทบาทที่พวกเขาได้รับมอบหมายในองค์กรอย่างไร

ในส่วนของเขา แจ็คไม่ได้รับมอบหมายให้ป้องกันการแพร่กระจายของแรนซัมแวร์ แต่ให้ปรับใช้โซลูชัน MFA. จากมุมมองของเขา เซิร์ฟเวอร์ที่ไม่มีการป้องกัน MFA ไม่ได้ถูกมองว่าเป็นความเสี่ยงด้านความปลอดภัย แต่เป็นเปอร์เซ็นต์ที่ขาดหายไปในอัตราความครอบคลุมของ MFA โดยรวมของโครงการ และอัตราการครอบคลุมที่ 90% นั้นดีกว่าอัตราก่อนหน้าที่ 0% อย่างเห็นได้ชัด มีความพยายามอย่างดีที่สุดและแม้ว่าผลลัพธ์จะไม่สมบูรณ์แบบ แต่ก็ดีพออย่างแน่นอน

ในทางกลับกัน จิลล์ไม่ได้มีส่วนร่วมใดๆ ในโครงการ MFA ซึ่งแตกต่างจาก SIEM หรือ EDR MFA ไม่ถือว่าเป็นผลิตภัณฑ์รักษาความปลอดภัย แต่เป็นจุดสนใจของทีมข้อมูลประจำตัว หากจิลล์มีส่วนร่วมในการอภิปรายของ MFA เธออาจค้นพบว่าเซิร์ฟเวอร์แอปถูกเปิดเผยและผลักดันให้อัปเกรดเพื่อไม่ให้โครงการ MFA เสร็จสมบูรณ์ก่อนที่เซิร์ฟเวอร์เหล่านี้จะได้รับการปกป้องอย่างสมบูรณ์

แจ็คต้องโทษสำหรับการละเมิดหรือไม่? ไม่จริง เพราะสิ่งนี้ไม่เคยเป็นส่วนหนึ่งของความรับผิดชอบของเขา หมายความว่าจิลล์ต้องโทษสำหรับความคุ้มครอง MFA บางส่วนหรือไม่? ไม่จริง เพราะ MFA ไม่เคยเป็นส่วนหนึ่งของเขตอำนาจศาลของเธอ

และนี่คือช่องว่างความรับผิดชอบที่เรากำลังพูดถึง

ช่องว่างความรับผิดชอบอาจมีอยู่ในสภาพแวดล้อมของคุณหรือไม่?

เรื่องนี้เป็นตัวอย่างที่ดีของรัฐ การป้องกันตัว วันนี้. ช่องว่างความรับผิดชอบนี้พัฒนาขึ้นอย่างไร และเหตุใดจึงพบได้เฉพาะในการป้องกันข้อมูลประจำตัว (ไม่เหมือนกับการป้องกันปลายทางหรือเครือข่าย) คุ้มค่าที่จะพูดคุยแยกกัน สิ่งที่สำคัญกว่านั้นคือคุณต้องถามว่าสถานการณ์ที่คล้ายกันอาจเกิดขึ้นในสภาพแวดล้อมของคุณหรือไม่

ต่อไปนี้เป็นคำถามสำคัญที่ต้องถามตัวเอง:

• ทีม SecOps ของคุณเกี่ยวข้องกับการใช้การควบคุมการป้องกันข้อมูลประจำตัว เช่น MFA และ PAM?
• CISO ของคุณมีส่วนในการออกแบบและใช้งานโครงสร้างพื้นฐาน IAM หรือไม่
• ทีมข้อมูลระบุตัวตนของคุณทราบหรือไม่ว่าโซลูชันที่พวกเขาประเมินและปรับใช้จริง ๆ แล้วเป็นแนวป้องกันสุดท้ายจากการโจมตีที่อาจทำให้ทั้งองค์กรตกอยู่ในความเสี่ยง

และคำถามที่สำคัญที่สุด: มีผู้มีส่วนได้ส่วนเสียคนเดียวในองค์กรของคุณที่มีทั้งความรับผิดชอบในการป้องกันภัยคุกคามข้อมูลประจำตัว ตลอดจนมีอำนาจและความรู้ในการกำหนดมาตรการรักษาความปลอดภัยที่ควรนำมาใช้เพื่อให้บรรลุเป้าหมายนี้หรือไม่ นี่ไม่ได้หมายความว่าการปกป้องตัวตนจะสมบูรณ์หลังจากแก้ไขช่องว่างความรับผิดชอบ แน่นอนว่ามีความท้าทายอื่น ๆ ที่ต้องเอาชนะก่อนที่จะไปถึงที่นั่น แต่มันเป็นขั้นตอนแรกที่สำคัญในการดำเนินการเพื่อให้การป้องกันนี้เป็นไปได้ ท้ายที่สุด ไม่ว่าผู้รับผิดชอบจะมาจากฝ่ายระบุตัวตนหรือทีมรักษาความปลอดภัยก็ไม่สำคัญ ตราบใดที่มีเจ้าของที่ชัดเจนในองค์กรของคุณ ขั้นตอนเริ่มต้นในการเอาชนะภัยคุกคามจากข้อมูลประจำตัวก็จะสำเร็จ