ทุกองค์กรย่อมมีภาระ ในด้านอัตลักษณ์ ภาระนั้นมักเป็นหัวใจสำคัญของการดำเนินงาน: Active Directoryบัญชีบริการที่ล้าสมัยและไม่ปลอดภัย การรับรอง โปรโตคอล (ใครกังวลเกี่ยวกับ NTLM บ้างไหม?) และแอปพลิเคชันภายในองค์กรที่มีความสำคัญอย่างยิ่งต่อความต่อเนื่องทางธุรกิจ ระบบเหล่านี้มีมานานหลายทศวรรษและเชื่อมโยงอย่างลึกซึ้งกับระบบนิเวศไอที ระบบเหล่านี้จะไม่หายไปในเร็วๆ นี้ แม้จะมีโครงการริเริ่มการเปลี่ยนแปลงสู่ระบบคลาวด์ก็ตาม
ข้อมูลประจำตัวที่ถูกบุกรุกการเคลื่อนไหวด้านข้าง และแคมเปญแรนซัมแวร์ มักเริ่มต้นด้วยบัญชี AD หรือบัญชีบริการที่ไม่ได้รับการจัดการ เนื่องจากเป็นเส้นทางที่มีอุปสรรคน้อยที่สุด อันที่จริง การวิจัยล่าสุดเผยให้เห็นว่า 94.3% ขององค์กร ไม่มีสิทธิ์เข้าถึงบัญชีบริการของตนได้อย่างเต็มที่ แม้แต่จะเข้าใจกิจกรรมของพวกเขาก็ตาม ผู้โจมตีรู้ดีว่าระบบเหล่านี้ไม่ได้ถูกสร้างมาเพื่อรับมือกับภัยคุกคามสมัยใหม่ เช่นเดียวกับ AMI และทีมงานด้านความปลอดภัยก็รู้ว่าพวกเขาไม่ได้ถูกสร้างมาเพื่อการควบคุมแบบสมัยใหม่
ผมเคยเจอสถานการณ์แบบนี้มาแล้ว และมันง่ายที่จะรู้สึกเหมือนติดกับดักภายใต้ภาระความเสี่ยงด้านอัตลักษณ์ที่เหลืออยู่ทั้งหมด เมื่อทางเลือกเดียวที่จะจัดการกับมันได้คือสองทางเลือกที่ไม่น่าพอใจที่สุด นั่นคือ การจัดการมันโดยการออนบอร์ดเข้ากับเครื่องมือ IAM แบบดั้งเดิม หรือการย้ายระบบออกไป ทั้งสองวิธีนี้ใช้เวลานานและมีค่าใช้จ่ายสูงในการนำไปใช้ และความเสี่ยงของคุณก็จะยังคงเท่าเดิมจนกว่างานจะเสร็จสิ้น
ในช่วงเวลาที่ฉันดำรงตำแหน่งหัวหน้า IAM ของผู้ค้าปลีกรายใหญ่ ฉันพบว่ามีวิธีที่สามคำถามสำคัญสำหรับองค์กรส่วนใหญ่ก็คือ "ฉันจะปลอดภัยเพียงพอได้อย่างไร แม้จะมีมรดกที่หลงเหลืออยู่ก็ตาม" ธรรมชาติของภัยคุกคามในปัจจุบันหมายความว่าบัญชีทุกบัญชีมีความเสี่ยงและต้องได้รับการปกป้อง ดังนั้นเราจึงไม่สามารถละทิ้งมรดกของเราไว้เบื้องหลังหรือรอการเปลี่ยนแปลงทีละระบบได้
ตัวเลือกแบบดั้งเดิม 1: จัดการความเสี่ยงด้านตัวตนของคุณ
ตัวเลือกแรกที่องค์กรส่วนใหญ่พิจารณาคือ "การจัดการ" ความเสี่ยงด้านตัวตน โดยทั่วไปจะทำโดยการเพิ่มการควบคุมแบบชดเชย เช่น สิทธิ์การเข้าถึงการจัดการ (ปัม) ในทางทฤษฎี การทำเช่นนี้จะช่วยให้สามารถกำกับดูแลบัญชีที่มีความเสี่ยงสูงได้เข้มงวดยิ่งขึ้น
ในทางปฏิบัติ และคนส่วนใหญ่ที่เคยเป็นส่วนหนึ่งของโครงการต้อนรับ PAM จะทราบดีว่า แนวทางดังกล่าวเต็มไปด้วยอุปสรรค:
- การออนบอร์ดนั้นช้าและยากลำบาก โดยความคืบหน้าจะแตกต่างกันไปในแต่ละบัญชี
- “ความกลัวในการทำลายสิ่งของ” ชนะ: การไม่รู้ว่าตัวตนต่างๆ นั้นมีไว้ทำอะไรนั้นนำมาซึ่งความเสี่ยง ซึ่งถือเป็นเรื่องแย่โดยเฉพาะอย่างยิ่งสำหรับระบบที่ไม่ได้รับการพัฒนาอย่างต่อเนื่องอีกต่อไป
- มันเปราะบาง: การโยกย้ายโครงสร้างพื้นฐานและการเปลี่ยนแปลงระบบทำให้การควบคุมที่ได้มาอย่างยากลำบากกลายเป็นสิ่งล้าสมัย
- การจะมีความสมบูรณ์นั้นหมายถึงการทำการเปลี่ยนแปลงเกี่ยวกับการควบคุมเพื่อป้องกันไม่ให้มีการหลีกเลี่ยง (เช่น การตรวจสอบข้อมูลประจำตัวที่จัดการโดย PAM)
และที่สำคัญที่สุดความเสี่ยงจะยังคงไม่เปลี่ยนแปลงจนกว่าโครงการจะเสร็จสมบูรณ์
สำหรับองค์กรหลายแห่ง นั่นหมายถึงความเสี่ยงที่ไม่ได้รับการจัดการเป็นเวลาหลายปี ขณะที่ทีมของคุณต้องทำงานที่ซับซ้อน ซับซ้อน และซับซ้อน ซึ่งแทบจะไม่ส่งผลต่อระดับความเสี่ยงที่แท้จริงของคุณเลย ซึ่งนำไปสู่ มาก บทสนทนาที่ยากลำบากของผู้บริหาร: “งานจะเสร็จเมื่อใด” “ความเสี่ยงที่เหลืออยู่ของเราคืออะไร”
โดยการจัดการความเสี่ยงอย่างเลือกสรรตาม บัญชีสิทธิพิเศษ ด้วยแนวคิดที่ว่ามันสามารถรักษาภูมิทัศน์อัตลักษณ์ทั้งหมดของคุณให้ปลอดภัยได้ เป็นเพียงความหวังมากกว่ากลยุทธ์ที่ปรับขนาดได้ แนวทางนี้เพียงแค่ชะลอสิ่งที่หลีกเลี่ยงไม่ได้ไว้จนกว่าคุณจะไม่สามารถเพิกเฉยต่อมันได้อีกต่อไป
ในขณะที่ 'ระดับ 0' ซึ่งเป็นกุญแจของคุณสู่อาณาจักรของตัวควบคุมโดเมน PKI ไฮเปอร์ไวเซอร์ คือ จำเป็น เพื่อปกป้อง คุณหยุดไม่ได้หรอก ระบบที่ดำเนินธุรกิจต้องได้รับการปกป้องอย่างดีเท่าเทียมกัน เพื่อป้องกันการหยุดชะงักทางธุรกิจ การหยุดทำงาน และความเสียหายต่อชื่อเสียงของลูกค้า
การสัมมนาผ่านเว็บแบบออนดีมานด์
การเปิดเผยและแก้ไขจุดบอดใน PAM
ร่วมเป็นผู้ขายกับเราที่ Silverfort's Ron Rasinหัวหน้าฝ่ายกลยุทธ์ และ Kev Smith วิศวกรหลัก ขณะที่พวกเขาหารือถึงจุดบอดในแบบดั้งเดิม โซลูชั่น PAM และเจาะลึกถึงพื้นฐานของ Privileged Access Security (PAS)
ทางเลือกแบบดั้งเดิมที่ 2: ย้ายออกจากความเสี่ยงของคุณ
ตัวเลือกที่สองที่ผมเห็นองค์กรหลายแห่งพิจารณาคือการ "ย้าย" หรือปรับปรุงให้ทันสมัย ซึ่งมักหมายถึงการเปลี่ยนข้อมูลประจำตัวแบบคงที่เป็นแบบไดนามิก การเปลี่ยนมาใช้ระบบไร้รหัสผ่าน หรือการย้ายเวิร์กโหลดไปยังสภาพแวดล้อมคลาวด์ที่มีระบบจัดการแบบในตัว การป้องกันตัวสิ่งเหล่านี้ล้วนเป็นสิ่งที่ดีในหลักการ แต่ความท้าทายนั้นก็คุ้นเคยกันดี:
- จำเป็นต้องมีการเปลี่ยนแปลงระบบ ซึ่งมีความเสี่ยงที่จะทำให้แอปเก่าที่เปราะบางเสียหายได้
- การย้ายข้อมูลเป็นไปอย่างช้าและไม่สมบูรณ์ โดยย้ายทีละแอป
- ต้นทุนเพิ่มขึ้นอย่างรวดเร็วทั้งในด้านเวลาและทรัพยากร
และความเสี่ยงก็ยังคงไม่เปลี่ยนแปลงจนกว่างานจะเสร็จสิ้น ซึ่งอาจใช้เวลานานหลายปี
อย่าเข้าใจฉันผิด: การปรับปรุงให้ทันสมัยเป็นสิ่งสำคัญสำหรับกลยุทธ์ไอทีระยะยาว หากทำอย่างถูกต้องและครบถ้วนสมบูรณ์ จะทำให้คุณมีโอกาสชนะในการต่อสู้เรื่องการบุกรุกบัญชี/ความปลอดภัยของข้อมูลประจำตัวในที่สุด
แต่มันไม่ใช่วิธีแก้ปัญหาที่สมจริงสำหรับ การลดความเสี่ยงทันที และมีความเสี่ยงที่จะทำให้ระบบและแอปเก่าของคุณเสี่ยงต่อการถูกโจมตี ท้ายที่สุดแล้ว ความเสี่ยงสูงที่จะทำลายกระบวนการสำคัญ ตอนนี้ น่าตกใจยิ่งกว่าความเสี่ยงของการบุกรุกบัญชี การละเมิด หรือ การเคลื่อนไหวด้านข้าง ในบางจุดในอนาคต
จากมุมมองของฉัน การปรับปรุงให้ทันสมัยจะต้องทำจากจุดที่มีความมั่นใจในปัจจุบัน นี่หมายถึงการควบคุมความเสี่ยงด้านตัวตนในขณะเดียวกันก็สร้างระบบสำหรับอนาคต นี่เป็นกลยุทธ์เดียวที่รับผิดชอบได้ เนื่องจากผู้โจมตีมุ่งเน้นไปที่ตัวตน
บทความ
NOTLogon: เครื่องที่มีสิทธิ์ต่ำสามารถ DoS โดเมนของคุณได้อย่างไร
Silverfort ค้นพบ Active Directory ช่องโหว่การปฏิเสธการให้บริการ (DoS) หรือที่เรียกว่า NOTLogon (CVE-2025-47978)
วิธีที่สาม: ควบคุมความเสี่ยงด้านตัวตนของคุณ
หากการจัดการและการย้ายข้อมูลไม่เพียงพอ แล้วอะไรล่ะ เหลืออีกไหม? คำตอบคือการควบคุมความเสี่ยงในการระบุตัวตนของคุณ
ฉันเคยคุยเรื่องนี้มาก่อน ความสำคัญของการซื้อเวลาและพื้นที่ให้กับตัวเองและทีมของคุณเพื่อปรับปรุงภูมิทัศน์ตัวตนของคุณให้ทันสมัย พร้อมทั้งสามารถควบคุมความเสี่ยงได้ทุกขั้นตอน
การใช้แนวทางนี้หมายถึงการเป็นเจ้าของการเปิดเผยตัวตนของคุณโดยไม่ต้องพึ่งพาการควบคุมที่เปราะบางหรือการโยกย้ายข้อมูลหลายปี ซึ่งหมายถึงการใช้วิธีการที่ทันสมัย ความปลอดภัยของข้อมูลประจำตัว ไปสู่ทุกส่วนของสภาพแวดล้อมของคุณ รวมถึงระบบเดิมโดยไม่มีข้อยกเว้น เพื่อให้คุณสามารถลดความเสี่ยงได้ทันที ไม่ใช่หลายปีข้างหน้า จากประสบการณ์ของผม วิธีที่ดีที่สุดในการทำเช่นนี้คือการใช้การป้องกันแบบกว้างสเปกตรัม ซึ่งจะช่วยยกระดับมาตรฐานความปลอดภัยของคุณและเสริมสร้างจุดอ่อนที่สุดของคุณ นี่คือสิ่งที่ผมหมายถึง การเรียนรู้ ความเสี่ยงต่อตัวตนของคุณ
ข้อกำหนดหลักสำหรับการควบคุมความเสี่ยงด้านตัวตน:
- สร้างความเข้าใจอย่างกว้างขวางในทุกอัตลักษณ์และระบบ พฤติกรรมของพวกเขา และกระบวนการที่พวกเขาสัมผัสหรือมีอิทธิพล
- ไม่มีการออนบอร์ด: การป้องกันไม่ควรขึ้นอยู่กับการลงทะเบียนบัญชีด้วยตนเอง
- ไม่มีการเปลี่ยนแปลงระบบ: ระบบเดิมยังคงอยู่และไม่จำเป็นต้องเข้าไปยุ่งเกี่ยว
- การควบคุมที่มั่นใจการรับประกันการปกป้องไม่ได้เกิดขึ้นด้วยการแลกกับระยะเวลาการทำงานหรือความกลัวว่าสิ่งของจะเสียหาย
สิ่งนี้มีลักษณะอย่างไรในทางปฏิบัติ?
การรับมือกับความเสี่ยงด้านการระบุตัวตนหมายถึงการเปลี่ยนมุมมองของเราเกี่ยวกับการยืนยันตัวตน แทนที่จะมองว่ามันเป็นปัจจัยสำคัญทางธุรกิจที่ให้ความสำคัญกับเวลาทำงานสูงสุดโดยไม่คำนึงถึงต้นทุน เราต้องให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก
ในโมเดลที่เน้นความปลอดภัยเป็นอันดับแรก การยืนยันตัวตนจะกลายเป็นจุดควบคุมด่านหน้า บังคับใช้นโยบายตามความเสี่ยงเป็นค่าเริ่มต้น และควบคุมภัยคุกคามก่อนที่จะแพร่กระจาย ลองนึกภาพว่าสิ่งเหล่านี้เป็นกฎพื้นฐานทั่วทั้งสภาพแวดล้อมของคุณ:
- ต้องใช้ MFA เพื่อการเข้าถึงโครงสร้างพื้นฐานที่ละเอียดอ่อนทั้งหมด ผู้ดูแลระบบทุกคนที่เข้าสู่ระบบ Active Directoryนักพัฒนาซอฟต์แวร์ทุกคนเชื่อมต่อกับเซิร์ฟเวอร์การผลิต ทุกๆ บัญชีบริการ การดำเนินการกระบวนการแบทช์ที่สำคัญ การบังคับใช้การยืนยันตัวตนที่แข็งแกร่งในระดับสากลช่วยให้มั่นใจได้ว่าผู้โจมตีจะไม่สามารถเข้ามาโดยขโมยข้อมูลประจำตัวหรือข้อมูลประจำตัวที่บังคับใช้แบบ Brute Force ได้ เมื่อ MFA ได้ทุกที่ ถูกรวมเข้าโดยตรงในกระบวนการตรวจสอบสิทธิ์ แม้แต่ระบบเก่าที่ไม่เคยรองรับโดยตรงก็สามารถได้รับประโยชน์จากการป้องกันนี้ได้
- จำกัดรัศมีการระเบิด แม้ว่าการควบคุมการเข้าถึงของคุณจะครบกำหนดแล้วก็ตาม บัญชีที่ไม่ใช่มนุษย์ทุกบัญชีจะถูกจำกัดเฉพาะสิ่งที่ทำเป็นประจำและซ้ำๆ เท่านั้น อะไรก็ตามที่ผิดปกติจะถูกบล็อก ผู้ดูแลระบบได้รับอนุญาตให้เข้าถึงทรัพยากรในบันทึกการเปลี่ยนแปลงและเหตุการณ์ที่ได้รับมอบหมาย และจะถูกบล็อกจากผู้ใช้คนอื่นๆ ทั้งหมด แม้จะมีสิทธิ์พิเศษก็ตาม—นี่คือเรื่องจริง สิทธิพิเศษน้อยที่สุดตอนนี้คุณสามารถควบคุมราวกั้นที่กำหนดสิ่งที่สามารถเกิดขึ้นได้และตำแหน่งที่เกิดเหตุได้ ดังนั้นรัศมีการระเบิดของการละเมิดบัญชีใดๆ จึงมีจำกัด
- ปฏิเสธการเชื่อมต่อที่ไม่ได้มาจากแหล่งที่เชื่อถือได้
การพยายามเข้าสู่ระบบจากตำแหน่งที่ไม่คาดคิด เวิร์กสเตชันที่อยู่นอกเหนือการควบคุมขององค์กร หรือ IP ที่น่าสงสัย ไม่ควรได้รับการปฏิบัติเช่นเดียวกับคำขอเข้าถึงทั่วไป การบังคับใช้แบบอินไลน์ช่วยให้คุณสามารถท้าทาย จำกัด หรือบล็อกกิจกรรมดังกล่าวได้แบบเรียลไทม์ วิธีนี้ช่วยลดรัศมีการโจมตีลงอย่างมาก แม้ว่าข้อมูลประจำตัวจะถูกขโมยไป แต่ก็ไม่สามารถนำไปใช้นอกเหนือจากพารามิเตอร์ที่คุณกำหนดได้
- บล็อกการใช้งานโปรโตคอลที่ล้าสมัยหรือไม่ปลอดภัย NTLM และโปรโตคอลที่ล้าสมัยอื่น ๆ ยังคงอยู่เพราะระบบเดิมที่สำคัญยังคงใช้งานได้ แต่ผู้โจมตียังคงใช้จุดอ่อนเหล่านี้ในการโจมตีแบบ Pass-the-Hash และ Relay ซึ่งมักจะเกิดขึ้นกับระบบที่ไม่จำเป็นต้องใช้จุดอ่อนเหล่านี้เลย ด้วยระบบควบคุมที่ทันสมัย ณ จุดตรวจสอบสิทธิ์ คุณสามารถจำกัดการใช้งานเฉพาะที่จำเป็นเท่านั้น ไม่ใช่แค่ตัวเลือกแบบไบนารีอีกต่อไป
การนำการควบคุมเช่นนี้ไปใช้โดยตรงในโครงสร้างพื้นฐาน IAM แบบอินไลน์และไม่จำเป็นต้องเปลี่ยนแปลงระบบที่ก่อให้เกิดผลกระทบใดๆ สภาพแวดล้อมจึงได้รับการออกแบบให้ลดความเสี่ยงด้านการระบุตัวตน นี่คือการรักษาความปลอดภัยด้านการระบุตัวตนในเชิงปฏิบัติ
เมื่อจัดการความเสี่ยงด้านข้อมูลประจำตัวได้ในลักษณะนี้แล้ว คุณจะมีอิสระในการปรับปรุงระบบตามจังหวะของคุณเอง ไม่ว่าจะเป็นการทดลองใช้ข้อมูลประจำตัวชั่วคราว การเปลี่ยนไปใช้สิทธิ์ไม่มีสถานะ หรือการพิจารณารูปแบบการเข้าถึงใหม่ โดยไม่ต้องปล่อยให้ระบบของคุณถูกเปิดเผยและไม่ต้องรับแรงกดดันจากระยะเวลาในการลดความเสี่ยง
ยิ่งความท้าทายที่สืบทอดกันมายาวนานเท่าไหร่ ก็ยิ่งบั่นทอนทั้งการป้องกันในปัจจุบันและความก้าวหน้าในอนาคตของคุณมากขึ้นเท่านั้น แต่ด้วย การสร้างความปลอดภัยให้กับโครงสร้างการยืนยันตัวตนและการควบคุมความเสี่ยงในการระบุตัวตนของคุณตั้งแต่วันนี้ แทนที่จะต้องรอหลายปีกว่าโครงการเปลี่ยนแปลงจะเสร็จสิ้น คุณกำลังเตรียมตัวเองให้พร้อมสำหรับความสำเร็จ ทำตอนนี้ แล้วการเปลี่ยนแปลงในอนาคตของคุณจะเร็วขึ้น แข็งแกร่งขึ้น และปลอดภัยขึ้น เพราะมาตรฐานทองคำในวันนี้จะเป็นมรดกของวันพรุ่งนี้
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับขั้นตอนปฏิบัติเพื่อนำแนวทางนี้ไปใช้ ดาวน์โหลด Identity Security Playbook
ทรัพยากรฟรี
คู่มือการรักษาความปลอดภัยข้อมูลประจำตัว
คู่มือนี้เป็นแหล่งข้อมูลสำคัญสำหรับการรักษาความปลอดภัยข้อมูลประจำตัวทุกประเภทในภูมิทัศน์ดิจิทัลที่กำลังขยายตัวขององค์กร คุณจะได้พบกับข้อมูลเชิงลึกที่นำไปใช้ได้จริงและแผนปฏิบัติการ 5 ขั้นตอนสู่การบรรลุกลยุทธ์การรักษาความปลอดภัยข้อมูลประจำตัวที่ยั่งยืนและมีประสิทธิภาพ