چگونه پروتکل دسکتاپ از راه دور (RDP) را ایمن کنیم؟
پروتکل دسکتاپ از راه دور (RDP) یک پروتکل اختصاصی مایکروسافت است که در دو دهه گذشته با محصولات ویندوز عرضه شده است. این پروتکل به کاربران اجازه میدهد تا به یک کامپیوتر دیگر، که مثلاً در یک شبکه سازمانی قرار دارد، متصل شوند و از دستگاه به صورت از راه دور استفاده کنند. این کار، این امکان را برای کاربران فراهم میکند تا بدون استفاده از VPN به شبکهها دسترسی داشته باشند. با این حال، دسترسی که RDP به کاربران میدهد، میتواند توسط مهاجمان نیز برای نفوذ به شبکهها مورد استفاده قرار گیرد. افزایش چشمگیر استفاده از پروتکل دسکتاپ از راه دور توسط کارکنان در طول قرنطینههای کووید-19 و ادامه کار از راه دور، به هکرها نقاط پایانی آسیبپذیر بیشتری برای تلاش برای نفوذ ارائه کرد.
در سال ۲۰۲۰، محققان امنیتی در ESET بیش از ۲۹ میلیارد تلاش حمله به RDP را پیدا کردند، که افزایش ۷۶۸ درصدی را نسبت به سال قبلتر نشان داد. مرکز امنیت سایبری ملی بریتانیا اعلام کرد که پروتکل دسکتاپ از راه دور همچنان “رایجترین روش حمله مورد استفاده توسط تهدیدات برای دسترسی به شبکهها” است. دسترسی به نقاط پایانی RDP همچنین یکی از محبوبترین اشکال موارد هک شده است، و هزاران نقطه دسترسی در هر زمان در بازارهای سیاه وب برای فروش وجود دارد. اگر یک مهاجم بخواهد به یک سازمان خاص حمله کند، میتواند به سادگی دسترسی RDP را که قبلاً به خطر افتاده است، خریداری کند. از آنجایی که RDP یک ابزار حیاتی برای کسبوکارها است، اما در صورت به خطر افتادن، میتواند دسترسی کامل به شبکه را به مهاجمان بدهد، تیمهای امنیتی سازمانی باید راههایی برای ایمنسازی RDP برای شبکههای خود پیدا کنند.
چگونه RDP را ایمن کنیم: بردارهای حمله
قبل از اینکه به بررسی نحوه ایمنسازی RDP بپردازیم، مهم است که درک کنیم مهاجمان چگونه در وهله اول به آن دسترسی پیدا میکنند.
1. دسترسی
اولین قدم در هر حمله RDP، دسترسی به یک نقطه پایانی قابل اعتماد است. از آنجایی که هر کاربر شبکه یک هدف است، مهاجمان گزینههای متعددی دارند، زیرا معمولاً تنها به یک نام کاربری و رمز عبور برای عبور از فرآیند احراز هویت نیاز دارند. در حملات RDP، مسیرهای اصلی برای مهاجمان برای نقض احراز هویت عبارتند از:
- حمله با تکنیک جستجوی فراگیر: اگر مهاجمی نام کاربری داشته باشد، تلاشهای متعددی برای ورود به سیستم با رمزهای عبور مختلف انجام میدهد، مانند حملات دیکشنری یا لیست رمزهای عبور رایج.
- فیشینگ: به کاربر ایمیلی ارسال میشود که ظاهراً از طرف مدیر سیستم است و از او میخواهد برای انجام عملی مانند تغییر رمز عبور وارد سیستم شود. با این حال، لینک به یک پروکسی کنترلشده توسط مهاجم هدایت میشود که جزئیات ورود کاربر را فاش میکند.
- مهندسی اجتماعی: این روش از تمایلات اجتماعی کاربر برای فریب دادن او برای تحویل رمز عبور خود سوء استفاده میکند. به عنوان مثال، دسترسی به حساب ایمیل یک همکار و ارسال ایمیل به قربانی برای درخواست جزئیات ورود به سیستم برای پوشش یک مورد اضطراری. رابطه اعتماد و احساس فوریت میتواند کاربران را به پاسخ سریع بدون فکر کردن سوق دهد.
2. شناسایی
پس از اینکه مهاجم احراز هویت را دور زده و به شبکه دسترسی پیدا کرد، اقدام به شناسایی امتیازات حساب کاربری و نحوه تشدید حمله میکند.
3. آمادهسازی
همانطور که در حملاتی مانند SolarWinds دیده میشود، برخی از مهاجمان ماهها قبل از انجام هر کاری، فقط به مشاهده ترافیک و سیستمها میپردازند. یکی از مشکلات اصلی برای مدیرانی که به دنبال نحوه ایمنسازی RDP هستند، این است که تشخیص نفوذ بسیار دشوارتر است، زیرا یک شبکه RDP به طور طبیعی تعداد زیادی اتصال از مکانها و کاربران مختلف دریافت میکند.
4. اجرای حمله
دلیل اینکه یک مهاجم به دنبال دسترسی به شبکه است، به سه چیز خلاصه میشود: سرقت داده، استقرار بدافزار یا تشدید حمله. پس از اینکه مهاجم شناسایی و آمادهسازی خود را انجام داد، از دسترسی پروتکل دسکتاپ از راه دور برای انجام یکی از این سه کار استفاده میکند.
چگونه RDP را ایمن کنیم: دفاعها
خوشبختانه برای هر تیمی که به دنبال نحوه ایمنسازی RDP برای سازمان خود است، چندین اقدام مقابلهای وجود دارد که میتوانند پیادهسازی کنند.
· احراز هویت چند عاملی (MFA)
از آنجایی که اصلیترین مسیر دسترسی برای مهاجمان، احراز هویت است، این مورد باید تمرکز اصلی برای پیشگیری باشد. احراز هویتی که فقط به یک نام کاربری و رمز عبور نیاز دارد، اساساً هیچ محافظتی ارائه نمیدهد و مهاجمان به طور فعال به دنبال سیستمهایی هستند که به این نوع احراز هویت متکی هستند. برای کاهش این آسیبپذیری، هر سازمانی که به دنبال نحوه ایمنسازی RDP است، باید حداقل احراز هویت چند عاملی را پیادهسازی کند. MFA از کاربران میخواهد چیزی که در اختیار دارند (OTP، دستگاه، کلید امنیتی) یا چیزی که هستند (اسکن چهره، اثر انگشت) را علاوه بر یا به جای چیزی که میدانند (رمز عبور، پین) ارائه دهند.
· احراز هویت بدون رمز عبور کامل
MFA سنتی حاشیهای از امنیت را به استقرارهای RDP اضافه میکند، اما در برابر تکنیکهای مختلف دور زدن آسیبپذیر است. برای ایمنسازی کامل RDP با MFA، باید رمزهای عبور مشترک را کاملاً از فرآیند احراز هویت حذف کنید. این کار باعث میشود مهاجمان نتوانند عوامل احراز هویت را حدس بزنند یا سرقت کنند و جعل هویت بسیار سختتر شود. بهطور خاص، احراز هویت بدون رمز عبور مبتنی بر استانداردهای FIDO در برابر فیشینگ، حملات مرد میانی و تلاشهای هک مقاوم است زیرا از عوامل ناامن مانند SMS یا OTP استفاده نمیکند. علاوه بر این، از آنجایی که بر اساس رمزنگاری کلید عمومی است، هیچ راز مشترکی سمت سرور برای سرقت وجود ندارد تا یک نقض موفق را تشدید کند.
· کنترل دسترسی مبتنی بر نقش (RBAC)
این شیوه دسترسی به دادهها را برای کاربران تنها بر اساس اصل نیاز به دانستن مجاز مینماید و از نظر تئوری از دسترسی گسترده یک مهاجم به شبکه پس از یک نقض احراز هویت جلوگیری میکند. با این حال، ممکن است چالشهای قابل توجهی در اجرا و نظارت بر کنترل دسترسی وجود داشته باشد، زیرا نقشها و نیازهای کاربران تغییر میکنند و نیاز به اختصاص و لغو مداوم امتیازات دارند.
· مدیریت وصلهها
نسخههای متعددی از RDP وجود دارد که قدمت آنها به دو دهه گذشته بازمیگردد و چندین نقص عمده در آنها یافت شده است. برای ایمنسازی RDP، سازمانها باید نسخههای خود را وصله کرده و بهروز نگه دارند، زیرا مهاجمان میتوانند به راحتی سیستمهایی را که هنوز از نسخههای آسیبپذیر استفاده میکنند، شناسایی کنند.
· اطمینان از پیکربندی صحیح پورت
اگرچه RDP به طور پیشفرض از TCP 3389 و UDP 3389 استفاده میکند، اما پیکربندیهای سفارشی میتوانند منجر به باز بودن پورتهای غیرمجاز شوند. بنابراین، نظارت و تقویت امنیت بر روی استفاده از پورت برای ایمنسازی شبکههای پروتکل دسکتاپ از راه دور ضروری است.
نشانه به شما در این زمینه کمک مینماید
پروتکل دسکتاپ از راه دور (RDP) که در سیستمهای مایکروسافت عرضه میشود و استفاده از آن در سه سال گذشته به طور قابل توجهی افزایش یافته است، به کاربران اجازه میدهد تا از مکانهای دور به رایانههای خود دسترسی کامل داشته باشند. متأسفانه، این پروتکل همچنین اصلیترین روش حمله برای مهاجمان است که به دنبال دسترسی به شبکه با سوء استفاده از مسائل احراز هویت هستند. سیستمهایی که فقط به یک نام کاربری و رمز عبور نیاز دارند، آسیبپذیرترین هستند، زیرا به مهاجمان اجازه میدهد از حملات جستجوی فراگیر، فیشینگ و مهندسی اجتماعی برای به دست آوردن دسترسی RDP استفاده کنند.
اگر در حال بررسی نحوه ایمنسازی RDP برای سازمان خود هستید، اولین قدم دفاعی شما باید استقرار سیستمهای احراز هویت قوی باشد. ایمنترین شیوه، احراز هویت بدون رمز عبور است تا تمام رازهای مشترک را کاملاً از احراز هویت RDP شما حذف نماید.
راهکار احراز هویت بدون رمز عبور نشانه به کارکنان شما اجازه میدهد تا با یک تجربه کاربری ساده، به طور ایمن به سیستمهای دسترسی از راه دور، از جمله RDP، وارد شوند. برای اطلاع از اینکه چگونه نشانه میتواند راهحلی برای ایمنسازی پروتکل دسکتاپ از راه دور برای نیروی کار شما و محافظت از داراییهای سازمانی شما باشد، با تیم ما تماس بگیرید.
پنج گام برای حذف رمزهای عبور در سازمانها
گذرواژهها و اعتبارنامهها همچنان بزرگترین منبع تلاشهای حمله و حملات موفق هستند. این امر آنها را به بزرگترین تهدید امنیت سایبری برای سازمانها در تمام صنایع تبدیل نموده است. طبق گزارش Verizon، 62٪ از نقضهای موفق به سرقت اعتبارنامهها یا فیشینگ مرتبط است. حملات رمز عبور در شکلهای مختلفی وجود دارند و برای دور زدن اقدامات مقابلهای مانند MFA سنتی تکامل یافتهاند. رایجترین انواع حملات رمز عبور شامل موارد زیر هستند که احتمالا تنها میتوان با شیوههای احراز هویت بدون رمز عبور با آنها مقابله نمود:
- فیشینگ: یک ترفند مهندسی اجتماعی ساده. در این ترفند، مهاجم ایمیلی برای کاربر میفرستد و از او میخواهد وارد یک سایت تقلبی کنترلشده توسط مهاجم شود. هکرها همچنین از فیشینگ برای استخراج رمزهای یکبار مصرف (OTP) ارسالی به کاربران در جریان احراز هویت چندعاملی استفاده میکنند.
- حمله جستجوی فراگیر (Brute Force): با داشتن آدرس ایمیل یا نام حساب کاربری یک کاربر، مهاجم چندین نسخه از رمزعبور را امتحان میکند. این کار میتواند بسیار طولانی، در حد امتحان کردن تمامی ترکیبات ممکن از کلمات یک فرهنگ لغت باشد.
- نرمافزار مخرب (Malware): این حالت شامل نصب یک کیلاگر (Key Logger) روی دستگاه کاربر است. از این طریق همه چیزهایی که کاربر وارد میکند ضبط و مستقیماً به مهاجم ارسال میشود.
- حمله مرد میانی (Man-in-the-Middle): یک مهاجم خود را بین کاربر و سرور قرار میدهد و ترافیک ارسال شده را رهگیری میکند. حتی رمزهای عبور رمزگذاری شده که سرقت شدهاند میتوانند به صورت آفلاین شکسته شوند.
تهدید ناشی از حملات رمزهای عبور به حدی جدی است که آژانس امنیت ملی ایالات متحده (CISA) دستورالعمل خاصی برای آن صادر کرده است. در این دستورالعمل از همه سازمانها خواسته شده که رمزهای عبور را کاملاً حذف و MFA مقاوم در برابر فیشینگ را بر اساس استانداردهای FIDO مستقر کنند. در اینجا به مراحل و گامهای اساسی که سازمانها باید برای حذف رمزهای عبور از فرآیندهای مدیریت هویت و دسترسی (IAM) خود بردارند، خواهیم پرداخت.
- شروع با حذف گذرواژه از رایانههای محلی: بسیاری از سازمانها تمرکز خود را بر تلاشهای امنیتی بر روی فرآیندهای احراز هویت برای برنامههای سیستمی و ورود واحد (SSO) قرار میدهند و اولین ورود روز، یعنی رایانهها را نادیده میگیرند. این یک شکاف امنیتی جدی ایجاد میکند و دسترسی به ایستگاههای کاری را برای مهاجمان آسانتر مینماید که از آن میتوان به عنوان یک مسیر حمله استفاده نمود. اولین قدم برای حذف رمزهای عبور، استقرار یک راه حل MFA بدون رمز عبور برای ایستگاههای کاری است. این کار سطح تهدیدات را کاهش میدهد و همچنین به کاهش زمانی که کارمندان در طول روز صرف وارد کردن رمزهای عبور میکنند، کمک میکند.
- ایجاد یک نقطه ورود یکپارچه: گام بعدی واضح، پیوستن MFA بدون رمز عبور شما از به ارائهدهنده یک سرویس هویت SSO (Single Sign On) است. ارائهدهنده SSO دسترسی به بسیاری از برنامههای سیستمی، VPN و دادهها را ارائه میدهد. به یاد داشته باشید، SSO بدون رمزعبور نباید از اعتبارنامههای ذخیره شده مرکزی یا اسرار مشترک در فرآیند تأیید استفاده کند. استفاده از SSO، یک تجربه ورود یکپارچه و بدون دردسر برای کاربران ایجاد میکند. این کار تعداد تماسهای جایگزینی رمز عبور برای تیم پشتیبانی IT را نیز کاهش میدهد که به معنی افزایش بهرهوری خواهد بود.
- حذف OTPها: یکی از اولین شیوههای MFA آن است که کاربر با ارائه یک شماره یا کد ارسال شده به یک ایمیل یا شماره تلفن همراه ثبت شده، هویت خود را ثابت کند. این شیوه اکنون میتواند به راحتی توسط مهاجمان از طریق انواع بدافزارها، شیوه سیمسوئیچینگ و یا کیتهای فیشینگ اختصاصی به خطر بیفتد. یک گام مهم در حذف رمزهای عبور، کاهش وابستگی به OTPهاست. برخی از برنامههایی که به SSO منتقل نشدهاند ممکن است هنوز به OTP قدیمی نیاز داشته باشند. OTPها نه تنها ناامن هستند، بلکه زمان قابل توجهی از کارمندان را برای شروع و تکمیل ورود به سامانهها میگیرند.
- حل موارد خاص احتمالی: پس از ادغام SSO و سایر سامانهها با MFA بدون رمز عبور، قدم بعدی در مسیر حذف رمزهای عبور، احتمالاً تمرکز بر برنامههای قدیمی خواهد بود که هنوز به رمز عبور نیاز دارند. میل به تغییر با فعال شدن احراز هویت بدون رمز عبور برای سایر داراییها قابل توجه خواهد شد و کارمندان از اینکه چرا دسترسی به این برنامهها بسیار کندتر است، سؤال خواهند کرد. چندین گزینه برای بهبود این وضعیت وجود دارد، مانند اضافه کردن برنامهها به SSO (در صورت امکان) یا استفاده از SDK راهکار بدون رمزعبور انتخاب شده در سازمان برای ادغام مستقیم احراز هویت بدون رمز عبور در برنامههای مربوطه.
- حفظ و امتداد روند و فرآیندهای مثبت: مبارزه برای حذف رمزهای عبور به این دلیل دشوارتر میشود که با وجود معرفی خطرات امنیتی عظیم برای سازمانها، بسیاری از فروشندگان و توسعهدهندگان همچنان رمزهای عبور را بهعنوان یک راهحل احراز هویت قابلقبول میدانند. این میتواند منجر به عقبگرد در پیشرفتها یا ایجاد استثنا برای شرایط یا کاربران خاص شود. هنگامی که در مسیر حذف رمزهای عبور هستید، نباید هیچ بازگشتی وجود داشته باشد.
همین امروز رمزهای عبور را حذف کنید
رمزهای عبور شاید بزرگترین تهدید برای امنیت سازمانی باشند. حذف آنها از فرآیندهای احراز هویت بسیار مهم است. سفر به دنیای بدون گذرواژه با یک راهکار MFA بدون رمزعبور مناسب آغاز میشود. این راهکار باید احراز هویت بدون رمز عبور را به ایستگاههای کاری، SSO و تمامی برنامههای سازمان ارائه دهد تا برای کاربران احراز هویت مستقیم و بدون دردسر را فراهم نماید. راهکار احراز هویت بدون گذرواژه نشانه، همه چیزهایی را که برای حذف رمزهای عبور نیاز دارید، در اختیار شما قرار میدهد. استفاده از شناسههای بیومتریک روی کلیدهای امنیتی و یا سایر دستگاههای کاربران برای باز کردن یک کلید خصوصی منحصر به فرد، به معنای عدم وجود رمزعبور یا راز مشترک خواهد بود. نشانه یک راهکار گواهی شده توسط FIDO است که تمام دستورالعملهای احراز هویت مقاوم در برابر فیشینگ سازمانهای امنیتی همچون CISA را برآورده میکند. برای اطلاع از چگونگی حذف کامل رمزهای عبور با استفاده از راهکار نشانه، همین امروز با یکی از کارشناسان ما تماس بگیرید.
بهبود امنیت احراز هویت در بانکها و موسسات مالی
بانکها و موسسات مالی، همواره یکی از اهداف اصلی حملات سایبری بوده و هستند. با این حال، در سالهای اخیر، سطح تهدیدات سایبری به طور قابل توجهی افزایش نیز یافته است. با وجود سرمایهگذاریهای عظیم در حوزه امنیت، صنعت مالی همچنان در معرض خطر است. بهویژه در زمینه آسیبپذیریهای مدیریت احراز هویت و دسترسی (IAM). آمار و روندهای اخیر جهانی نشان میدهد که این وضعیت چقدر وخیم شده است.
• در سال 2020، طبق گزارش VMware Carbon Black، حملات سایبری علیه بانکها 238 درصد افزایش یافت.
• طبق گزارش وضعیت احراز هویت صنعت مالی 2022، 80 درصد نقضهای امنیتی ناشی از صعفهای این حوزه بوده است.
• تقریباً 40 درصد از تمام URLهای فیشینگ، خدمات مالی را هدف قرار میدهند.
• 47 درصد تلاشهای کلاهبرداری، در کانالهای پرداخت بدون کارت صورت گرفته است. یعنی مهاجمان غالبا از کنترلهای مدیریت هویت ضعیف در پرداختهای آنلاین سوء استفاده میکنند.
چالشهای مهم امنیت سایبری در خدمات مالی
صنعت خدمات مالی، به ویژه سیستمهای احراز هویت آن، به دلایل مختلف با خطرات فزایندهای مواجه است. در سالهای اخیر، قوانین متعددی نیز در این زمینه وضع شده است. یا در قوانین متعددی به بهبود حوزه احراز و مدیریت هویت اشاره شده است. میتوان به استفاده از استاندارد FIDO در نسخه جدید PCI-DSS به عنوان نمونه یاد نمود. در ادامه به برخی از مشکلات این حوزه که غالبا بیشتر سازمانهای مالی با آن درگیر هستند اشاره مینماییم.
سهولت هک شیوههای سنتی
احراز هویت سنتی بسیار آسیبپذیر در برابر حملات مختلف از جمله فیشینگ است. شیوههای MFA سنتی بیشتر یک مزاحمت هستند تا یک مانع برای هکرها. اکثر روشها از نوعی راز مشترک به عنوان عامل احراز اصالت استفاده میکنند. غالبا میتوان همه این روشها را فریب داد یا راز مربوط را از آنها سرقت نمود. هنگامی که مهاجمان از مرحله احراز هویت عبور میکنند، میتوانند حمله را گسترش و سطح آسیب را افزایش دهند.
پیچیدگی حملات
هماکنون، فیشینگ به عنوان یک سرویس (PhaaS) با رابطهای پیچیده، به صورت آماده برای انجام حملات فراهم است. در نتیجه مهاجمان کممهارت نیز با هزینه کم، به ابزارهای لازم برای اجرای حملات علیه مشتریان بانکها دسترسی خواهند داشت. برخی از این سرویسها، شامل چندین لایه حمله، از جمله آپلود دادههای شخصی از پیش جمعآوریشده هستند. از این طریق شانس موفقیت و احتمال هدف قرار دادن کاربران آسیبپذیرتر بالا خواهد رفت. برخی از آنها خدمات بمباران MFA برای دور زدن برنامههای احراز هویت MFA را نیز ارائه میدهند.
چالشهای چندگانه و فرآیندهای متفاوت
بسیاری از سازمانهای خدمات مالی از چندین ارائه دهنده هویت (IdP) استفاده میکنند. به ویژه آنهایی که از طریق ادغام با یکدیگر رشد کرده یا ایجاد شدهاند. هر یک از اینها ممکن است فرآیند احراز هویت متفاوتی داشته باشد. این تفاوت ممکن است در سطوح امنیت و یا تجربیات مختلف برای کاربران باشد. از این رو ممکن است کاربران بیشتر در معرض فریب و حملات قرار بگیرند. همچنین ممکن است به استفاده از راهکارهای ناامن مانند یادداشت کردن رمزهای عبور روی بیاورند.
مقررات سختگیرانه
قوانین حفاظت از دادهها در جهان مانند GDPR، PCI-DSS و PSD2 به همه شرکتها اعمال میشود. هرچند، بار نظارتی آنها بر شرکتهای خدمات مالی بسیار سنگینتر از سایر صنایع است. احتمال جریمه و انتشار نقضها خطر قابل توجهی برای موسسات مالی ایجاد میکند. این موارد ممکن است بانکها و موسسات مالی را ملزم کند تا رویههای احراز هویت خود را تقویت کنند.
اعتماد مصرفکننده
موج فعلی فعالیتهای کلاهبرداری بهطور فعال بر روابط شرکتها با مشتریانشان تأثیر میگذارد. مطالعه امنیت احراز هویت در صنعت مالی، نشان میدهد که بانکها پس از نقض امنیتی، دچار کاهش مشتری میشوند. این مطالعه نشان میدهد 32 درصد بانکها پس از نقض امنیتی، مشتریان خود را به رقبا از دست میدهند. همچنین یک مانع بزرگ، انتقال مشتریان به بانکداری موبایل و خدمات الکترونیکی است. 74 درصد از مشتریانی که از این خدمات استفاده نمیکنند، امنیت را به عنوان نگرانی اصلی خود ذکر میکنند.
بهبود امنیت احراز هویت در امور مالی
یکی از مشکلات اصلی همه این مسائل، ضعف در امنیت فرآیند و شیوه مدیریت هویت است. مقررات خدمات مالی صراحتاMFA را به عنوان حداقل شیوه احراز هویت برای کارمندان و مشتریان مشخص کردهاند. برای بهبود امنیت فرآیند مدیریت هویت در موسسات مالی، باید به نکات مختلفی توجه نمود. از جمله این نکات، میتوان به به عنوان نمونه به موارد مهم زیر اشاره کرد:
1. احراز هویت چند عاملی قوی (MFA): همانطور که گفته شد،MFA بهترین روش برای پوشش حداقلهای مورد انتظار برای احراز و مدیریت هویت است. با این حال، برخی از فرآیندهای MFA مانند رمزهای یکبار مصرف (OTP)، قابل دور زدن هستند. از این رو باید به شیوههای مقاومتر از احراز هویت چند عاملی روی آورد. در ادامه به برخی از این شیوهها و استانداردها اشاره میگردد.
2. احراز هویت بدون رمز عبور برای موسسات مالی: یک راهحل حیاتی برای حذف آسیبپذیریهای ذاتی رازهای مشترک و تقویت مدیریت دسترسی و هویت، حذف کامل رمزهای عبور است. احراز و مدیریت هویت بدون رمز عبور برای امور مالی، یک فرآیند مقاوم در برابر فیشینگ ایجاد میکند. این امر از مشتریان و کارمندان در برابر اکثر تلاشهای حمله و تهدیدات محافظت خواهد نمود.
3. استاندارد Fast Identity Online (FIDO): ترس بسیاری از سازمانها در انتقال به احراز هویت بدون رمز عبور، عدم اطمینان به سطح امنیت آنهاست. استاندارد FIDO یک سیستم احراز هویت متن-باز است. این استاندارد توسط اتحادیهای از شرکتهای فناوری پیشرو، سازمانهای مالی و نهادهای نظارتی مانند NIST ایجاد شده است. استاندارد FIDO با در نظر گرفتن امنیت، تجربه کاربری و سازگاری توسعه یافته است. این کار با استفاده از دستگاههای کاربر همچون تلفن همراه یا کلیدهای آماده، با عوامل بیومتریک و مالکیت انجام میشود.
4. احراز هویت قوی برای رایانهها و همچنین برنامهها: اکثر سیستمهای احراز و مدیریت هویت بر کنترل دسترسی خدمات سازمانی تمرکز دارند. دسترسی به رایانهها که برای کار با داراییهای شرکت استفاده میشوند، اغلب فقط با رمز عبور محافظت میشود. سازمانهایی که MFA را برای رایانهها نادیده میگیرند، در واقع در را به روی منابع خود باز میگذارند. تیمهای امنیتی میتوانند با فعال کردن MFA برای ورود به رایانهها، میزان دفاع را تقویت کنند.
5. رمزنگاری کلید عمومی: در نهایت، رمزهای عبور آسیبپذیرند زیرا میتوان آنها را فیشینگ یا سرقت کرد. احراز هویت بدون رمزعبور ایمن برای امور مالی از رمزنگاری کلید عمومی بینیاز از رمزعبورها استفاده میکند. برای هر کاربر یک جفت کلید عمومی-خصوصی تولید میشود. کلید عمومی باید در ارائه دهنده خدمت مدیریت هویت ثبت شود. در فرآیند احراز و مدیریت هویت، کاربر کلید خصوصی را روی دستگاه خود باز و دادههای مرتبط را امضا/تأیید میکند. از آنجایی که کلید خصوصی به صورت محلی ذخیره میشود، احتمال سرقت آن به طور قابل توجهی کاهش مییابد.
احراز هویت بدون رمز عبور امن برای امور مالی با راهکار نشانه
پیچیدگی و تعدد تهدیدات، بهویژه در حوزه احراز و مدیریت هویت، چالشهای بزرگی برای صنعت خدمات مالی ایجاد نموده است. راهکار نشانه از مشکلات صنعت مالی در این زمینه و قوانین مرتبط آگاه است. با ارائه راهحلی مبتنی برFIDO، نشانه امکان احراز هویت بدون رمز عبور را برای سازمانهای مالی فراهم میکند. بهگونهای که امنیت بالاتر برای سازمان و راحتی بیشتر برای کارمندان و مشتریان فراهم گردد. نشانه امکان ورود سریع و بیدردسر به سامانههای سازمان را بصورت مقاوم در برابر فیشینگ مهیا مینماید. برای اطلاع بیشتر در این زمینه، با تیم نشانه تماس بگیرید.
مدیریت دسترسی ممتاز (PAM) در عصر احراز هویت بدون رمز عبور
شیوه کار افراد و سازمانها همه روزه در حال تکامل است. در نتیجه، روشهای احراز هویت آنها در منابع و سیستمها نیز در حال تغییر است. زمانی تنها اتصال به شبکه محلی دفتر کار برای انجام تمامی موارد کافی بود. اکنون محیط سازمانها گسترش پیدا کرده و شامل نیروی کار دورکاری و ترکیبی است. عوامل دیگر همچون فضای ابری نیز باید در نظر گرفته شود زیرا بر نحوه دسترسی تأثیرگذار است. حتی مدیریت دسترسی ممتاز (PAM) که به معنای مدیریت دسترسیهای راهبران است نیز امروزه نیازمند توجه ویژه همچون احراز هویت بدون رمز عبور است.
مدیریت دسترسی ممتاز یا PAM چیست؟
مدیریت دسترسی ممتاز (PAM) یک راهکار امنیتی برای مدیریت هویت است. این راهکار با نظارت، شناسایی و جلوگیری از دسترسیهای غیرمجاز، از سازمان در برابر تهدیدات حفاظت میکند. PAM از طریق ترکیبی از افراد، فرآیندها و فناوری کار میکند. این راهکار افراد دارای حسابهای ممتاز را شناسایی و کارهای انجام شده توسط آنها را برای سازمان مشخص مینماید. با نظارت و محدود کردن کاربرانی که به عملکردهای مدیریتی و راهبری دسترسی دارند، امنیت سازمان افزایش خواهد یافت. به صورت کلی، PAM، سطح امنیت را افزایش و احتمال نقض دادهها توسط عوامل تهدید را کاهش میدهد.
مشکل رمزهای عبور و اعتبارنامهها
- همیشه فعال هستند: رمزهای عبور همیشه در دسترس هستند و میتوان از آنها سوءاستفاده کرد.
- قابل سرقت هستند: هکرها میتوانند رمزهای عبور را به روشهای مختلفی سرقت کنند.
- قابل حمله با روش آزمون و خطا هستند: هکرها میتوانند با تلاشهای مکرر برای حدس زدن رمز عبور، به حسابهای کاربری دسترسی پیدا کنند.
- قابل اشتراکگذاری هستند: افراد ممکن است رمزهای عبور خود را با دیگران به اشتراک بگذارند و امنیت را به خطر بیاندازند.
- قابل فیشینگ هستند: مهاجمان میتوانند با ارسال ایمیلهای فیشینگ، کاربران را فریب دهند تا رمزهای عبور خود را وارد کنند.
- در مکانهای مختلف قابل استفاده هستند: یک رمزعبور میتواند متعلق به چندین حساب باشد، بنابراین یک حمله موفقیتآمیز میتواند به اطلاعات زیادی دسترسی پیدا کند.
- ممکن است پشت حساب خود قفل شوید: اگر رمز عبور را اشتباه وارد کنید، ممکن است حساب کاربری شما قفل شود.
- ممکن است رمز عبور خود را فراموش کنید: فراموشی رمز عبور میتواند دسترسی به حساب کاربری را دشوار کند.
- نیاز به بازنشانی مرتب و مکرر دارند: رمزهای عبور باید به طور مرتب تغییر کنند تا امنیت آنها افزایش یابد.
- قابل یادداشتبرداری هستند: افراد ممکن است رمزهای خود را روی کاغذ یا برچسب بنویسند، که این امر خطر سرقت را افزایش میدهد.
آیا باید ادامه دهیم؟
یکی از بزرگترین دلایل خطر رمزهای عبور این است که آنها “همیشه فعال” هستند. به عبارت دیگر، آنها دائماً در معرض سرقت یا استفاده برای اهداف مخرب قرار دارند. اگر به این مورد در خصوص نقشهای راهبری (ادمین) فکر کنیم، همیشه یک نقض امنیتی در کمین خواهد بود. راهبران دسترسیهای بیشتری به دادهها و سامانهها دارند و از این رو سرقت حساب آنها میتواند جبرانناپذیر باشد.
نکته مهم آن است که سامانههای مدیریت دسترسی ممتاز (راهبران) امروزی، خود متکی به رمز عبور است. در نتیجه خود سامانه و تمامی مواردی که قرار است از آن حفاظت کند، همواره در خطر است. سامانه مدیریت دسترسی ممتاز غالبا مکانی برای ذخیره و مدیریت تمامی رمزهای عبور در سازمان است. از آنجا که دسترسی به این رمزها، خود با یک رمزعبور محقق میشود، لذا سطح حفاظتی سامانه بسیار ضعیف است.
دوران پس از رمز عبور (احراز هویت بدون گذرواژه)
مقابله با مشکل رمزهای عبور و اعتبارنامهها میتواند به طور قابلتوجهی خطرات موجود در احراز هویت را کاهش دهد. به عبارت ساده، اگر رمزعبور وجود نداشته باشد، امکان تبدیل شدن آن به یک نقطه حمله وجود نخواهد داشت. اینجاست که احراز هویت بدون رمز عبور مزایای عمدهای ارائه خواهد داد. احراز هویت بدون رمز عبور دقیقاً همان چیزی است که به نظر میرسد، حذف کامل رمزهای عبور.
این روش نیاز به نام کاربری و رمز عبور برای احراز هویت در منابع و سرویسها را حذف میکند. به جای تکیه بر «چیزی که میدانید» (رمز عبور)، احراز هویت بدون گذرواژه بر «هویت شما» تمرکز دارد. این کار معمولاً از طریق عوامل بیومتریک یا توکنهای سختافزاری انجام میشود. احراز هویت بدون رمزعبور، نقطه آغاز فرآیند حذف خطرات ناشی از گذرواژهها برای سازمانها است.
چرا سامانههای مدیریت دسترسی ممتاز باید به احراز هویت بدون رمزعبور توجه کنند؟
مدیریت دسترسی ممتاز (PAM) غالبا رویکردی مبتنی بر رمزهای عبور را برای مدیریت دسترسی به منابع اتخاذ مینماید. مشکل این رویکرد تضاد بنیادی اسرار (رمزها) و مخازن اسرار (Secret Vaults) با اصل امتیاز صفر (Zero Standing Privileges) است. برای اسرار (رمزها)، صرف وجود آنها به این معنی است که شما امتیازات دائمی دارید. این امر به معنای خطری دائمی برای سازمان است که باید خود را در برابر آن محافظت نماید. در نتیجه خود سامانه مدیریت دسترسی ممتاز نیز از مشکلات رمزعبور و تهدیدات آنها در امان نخواهد بود.
مدیریت مخازن اسرار و خود اسرار نیز میتواند هزینههای قابلتوجهی به همراه داشته باشد. در بسیاری موارد، مخازن اسرار ارائه شده توسط فروشندگان PAM تنها بخشی از زیرساخت فناوری سازمان را پوشش میدهند. در این شرایط، سازمانها ممکن است مجبور به خرید چندین محصول شوند. این کار به طور قابلتوجهی هزینههای عملیاتی، پیچیدگی و سربار مدیریت رمزها و حسابرسی دسترسی را افزایش میدهد. روشهای مدرن احراز هویت، مانند احراز هویت بدون رمزعبور، در پلتفرمهای متنوع قابل استفاده است. این محصولات برای تیمهای IT، مشکلات گذرواژهها و مدیریت آنها را کاملا حذف میکنند.
مدیریت دسترسی ممتاز با راهکار احراز هویت بدون رمزعبور نشانه
راهکار احراز هویت بدون رمز عبور نشانه، محصول شرکت رهسا (رهآورد سامانههای امن)، دسترسی ساده و امن به زیرساختهای حیاتی را بدون نیاز به رمزعبور ارائه میدهد. این پلتفرم از ابتکارات احراز هویت بدون رمزعبور در راستای کمک به مدیریت دسترسیهای ممتاز نیز استفاده میکند. موارد حداقلی زیر، از امکاناتی است که توسط نشانه در راستای مدیریت دسترسیهای ممتاز به سازمانها ارائه میشود. لازم به ذکر است که این موارد، فارغ از ویژگیهای نشانه در ارائه خدمت احراز هویت بدون رمزعبور است.
- پشتیبانی از پروتکلهای پرکاربرد همچون RDP
- احراز اصالت چند عاملی برای کاربران و راهبران سامانه
- انجام تنظیمات و اعمال محدودیتها بر روی نشستهای دسترسی
- تهیه و ارسال لاگ با فرمت Syslog
- امکان ارتباط با سامانههای احراز هویت و اصالت دیگر همچون Active Directory و LDAP
- امکان اعمال انواع محدودیتها بر دسترسی کاربران بر اساسی عواملی همچون زمان دسترسی، مقصد دسترسی، IP مبدا، مکان جغرافیایی.
- امکان تعریف سطوح مختلف دسترسی برای راهبران سامانه
- گزارشگیری کامل از فعالیتهای راهبران سامانه
- امکان تعریف روال تایید (Approve) برای تایید دسترسی به سرورها و تجهیزات
- پشتیانی از مخزن رمز عبور (Password Vault) به منظور ذخیرهسازی امن رمزهای عبور
- امکان تغییر خودکار رمزهای عبور بر اساس زمانبندی تعریف شده توسط راهبران
با نشانه، احراز هویت در سراسر زیرساخت سازمان (از جمله سیستمهای قدیمی)، امن و بینیاز از رمزعبور خواهد بود. همچنین فرآیند احراز هویت سادهتر و هزینههای سرباری آن کمتر خواهد شد. نشانه به تیمهای IT و امنیت اجازه میدهد تا دسترسی را به روشی یکپارچه، امن و قابل حسابرسی ارائه کنند. همچنین قابلیت مدیریت تمامی موارد مربوط به هویت و فرآیند احراز آن نیز به صورت متمرکز فراهم خواهد بود. برای کسب اطلاعات بیشتر در مورد چگونگی کمک نشانه به شما در حل چالشهای دسترسی، با ما تماس بگیرید.