Identity Threat Exposures (ITE) คือจุดอ่อนด้านความปลอดภัยที่ทำให้สภาพแวดล้อมเสี่ยงต่อภัยคุกคามด้านข้อมูลประจำตัว เช่น การขโมยข้อมูลประจำตัว การเพิ่มระดับสิทธิพิเศษ หรือการเคลื่อนย้ายด้านข้าง ITE อาจเป็นผลมาจากการกำหนดค่าที่ไม่ถูกต้อง ซึ่งเป็นแบบเดิม โครงสร้างพื้นฐานด้านข้อมูลประจำตัวหรือแม้แต่คุณสมบัติในตัว
ผู้โจมตีใช้ ITE เหล่านี้เป็นผู้สมคบคิดร่วมในการขโมยข้อมูลประจำตัว ยกระดับสิทธิ์ และ การเคลื่อนไหวด้านข้าง- ยิ่งไปกว่านั้น เนื่องจากแนวทางปฏิบัติทั่วไปในการซิงค์ AD บัญชีผู้ใช้ ไปยัง cloud IdP สิ่งนี้ การสัมผัสใต้ดิน ยังสามารถให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อม SaaS ของคุณได้โดยตรง
เหตุใดการเปิดเผยภัยคุกคามข้อมูลประจำตัวจึงเป็นอันตราย
องค์กรส่วนใหญ่ในปัจจุบันใช้โครงสร้างพื้นฐานข้อมูลประจำตัวแบบไฮบริด โดยมี Active Directory (AD) สำหรับทรัพยากรภายในองค์กร และ IdP บนคลาวด์สำหรับ SaaS
แนวทางปฏิบัติทั่วไปคือให้ AD ซิงค์แฮชของผู้ใช้กับ IdP บนคลาวด์ เพื่อให้ผู้ใช้สามารถเข้าถึงแอป SaaS ด้วยข้อมูลประจำตัวเดียวกันกับทรัพยากรภายในองค์กร สิ่งนี้เพิ่มศักยภาพของสภาพแวดล้อม SaaS อย่างมีนัยสำคัญ พื้นผิวการโจมตีเนื่องจากการโจมตีใดๆ ที่ส่งผลให้ฝ่ายตรงข้ามได้รับรหัสผ่านแบบเคลียร์เท็กซ์จะปูทางไปสู่สินทรัพย์บนคลาวด์
ITE ที่เปิดเผยแฮชรหัสผ่านที่ถอดรหัสอย่างไม่รัดกุม (NTLM, NTLMv1, ผู้ดูแลระบบที่มี SPN) หรือทำให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านผู้ใช้ (ผู้ดูแลระบบเงา) ถูกศัตรูใช้ประโยชน์อย่างกว้างขวางแล้ว
Identity Threat Exposures มีประเภทใดบ้าง?
เราแบ่ง ITE ออกเป็นสี่กลุ่ม ตามการกระทำที่เป็นอันตรายที่ทำให้ผู้โจมตีสามารถบรรลุผลได้:
- ผู้เปิดเผยรหัสผ่าน: ITE ที่อนุญาตให้ฝ่ายตรงข้ามเข้าถึงรหัสผ่านเคลียร์เท็กซ์ของบัญชีผู้ใช้
- สิทธิพิเศษบันไดเลื่อน: ITE ที่ช่วยให้ฝ่ายตรงข้ามเพิ่มสิทธิ์การเข้าถึงที่พวกเขามีอยู่แล้ว
- ตัวย้ายด้านข้าง: ITE ที่ทำให้ฝ่ายตรงข้ามสามารถใช้งานได้ บัญชีที่ถูกบุกรุก เพื่อทำการเคลื่อนไหวด้านข้างที่ตรวจไม่พบ
- การป้องกันดอดเจอร์ส: ITE ที่ทำให้การควบคุมความปลอดภัยมีประสิทธิภาพน้อยลงในการตรวจสอบและปกป้องบัญชีผู้ใช้
ตัวอย่างการเปิดเผยข้อมูลภัยคุกคาม
| Category | ที่เกี่ยวข้อง MITER ATT&CK | ตัวอย่าง |
| ผู้เปิดเผยรหัสผ่าน | การเข้าถึงข้อมูลรับรอง | NTLM การรับรองความถูกต้องการรับรองความถูกต้อง NTLMv1ผู้ดูแลระบบที่มี SPN |
| สิทธิพิเศษบันไดเลื่อน | การเพิ่มระดับสิทธิ์ | ผู้ดูแลระบบเงาการมอบหมายที่ไม่มีข้อจำกัด |
| ตัวย้ายด้านข้าง | การเคลื่อนไหวด้านข้าง | บัญชีบริการ ผู้ใช้ที่อุดมสมบูรณ์ |
| การป้องกันดอดเจอร์ส | ไม่มีเทคนิค MITER ATT&CK ที่ตรงกับหมวดหมู่นี้ ช่วยให้ผู้โจมตีไม่ถูกตรวจพบเป็นเวลานาน | บัญชีผู้ใช้ใหม่บัญชีที่ใช้ร่วมกันผู้ใช้เก่า |
จะป้องกันการเปิดเผยภัยคุกคามข้อมูลประจำตัวได้อย่างไร
- รู้ว่าคุณถูกเปิดเผยที่ไหน
ตรวจสอบให้แน่ใจว่าคุณสามารถมองเห็น ITE ประเภทต่างๆ ทั้งหมดในสภาพแวดล้อมของคุณได้ หากคุณกำลังซิงค์ผู้ใช้ AD กับ Cloud IdP ของคุณ โปรดตรวจสอบให้แน่ใจว่าเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดของ Microsoft และไม่สร้างผู้ใช้ที่ไม่ได้ใช้งานจำนวนมาก - ขจัดความเสี่ยงในส่วนที่คุณสามารถทำได้
ตรวจสอบให้แน่ใจว่าคุณสามารถมองเห็น ITE ประเภทต่างๆ ทั้งหมดในสภาพแวดล้อมของคุณได้ หากคุณกำลังซิงค์ผู้ใช้ AD กับ Cloud IdP ของคุณ โปรดตรวจสอบให้แน่ใจว่าเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดของ Microsoft และไม่สร้างผู้ใช้ที่ไม่ได้ใช้งานจำนวนมาก - ควบคุมและติดตามความเสี่ยงที่มีอยู่
สำหรับ ITE ที่ไม่สามารถกำจัดได้ เช่น บัญชีบริการ หรือการใช้ NTLM ตรวจสอบให้แน่ใจว่าทีม SecOps มีกระบวนการในการติดตามบัญชีเหล่านี้อย่างใกล้ชิดเพื่อหาสัญญาณของการประนีประนอม - ใช้มาตรการป้องกัน
สมัครสมาชิก การแบ่งส่วนข้อมูลประจำตัว หรือใช้นโยบาย MFA เพื่อป้องกันไม่ให้บัญชีผู้ใช้ตกเป็นเหยื่อของ ITE ที่โดดเด่นหากเป็นไปได้ ใช้นโยบายการเข้าถึงบน บัญชีบริการ ซึ่งจะปิดกั้นไม่ให้พวกเขาเข้าถึงจุดหมายปลายทางใดๆ นอกเหนือจากทรัพยากรที่ได้กำหนดไว้ล่วงหน้า - เชื่อมต่อทีมข้อมูลประจำตัวและความปลอดภัย
ความรับผิดชอบสำหรับ การป้องกันตัว มีการกระจายระหว่างข้อมูลประจำตัวและทีมรักษาความปลอดภัย โดยที่ความรู้ของฝ่ายหลังช่วยให้พวกเขาจัดลำดับความสำคัญว่า ITE ใดที่จะแก้ไข ในขณะที่ทีมแรกสามารถนำการแก้ไขเหล่านี้ไปใช้จริง ส่งผลให้เกิดการสร้างบูรณาการ ความปลอดภัยของข้อมูลประจำตัว ท่าทาง