مدیریت دسترسی ممتاز (PAM) در عصر احراز هویت بدون رمز عبور

شیوه کار افراد و سازمان‌ها همه روزه در حال تکامل است. در نتیجه، روش‌های احراز هویت آن‌ها در منابع و سیستم‌ها نیز در حال تغییر است. زمانی تنها اتصال به شبکه محلی دفتر کار برای انجام تمامی موارد کافی بود. اکنون محیط سازمان‌ها گسترش پیدا کرده و شامل نیروی کار دورکاری و ترکیبی است. عوامل دیگر همچون فضای ابری نیز باید در نظر گرفته شود زیرا بر نحوه دسترسی تأثیرگذار است. مدیریت دسترسی ممتاز (PAM) به معنای کنترل دسترسی‌های راهبران نیز نیازمند توجه ویژه همچون احراز هویت بدون رمزعبور است. 

 

مدیریت دسترسی ممتاز یا PAM چیست؟

مدیریت دسترسی ممتاز (PAM) یک راهکار امنیتی برای مدیریت هویت است. این راهکار با نظارت، شناسایی و جلوگیری از دسترسی‌های غیرمجاز، از سازمان در برابر تهدیدات حفاظت می‌کند. PAM از طریق ترکیبی از افراد، فرآیندها و فناوری کار می‌کند. این راهکار افراد دارای حساب‌های ممتاز را شناسایی و کارهای انجام شده توسط آنها را برای سازمان مشخص می‌نماید. با نظارت و محدود کردن کاربرانی که به عملکردهای مدیریتی و راهبری دسترسی دارند، امنیت سازمان افزایش خواهد یافت. به صورت کلی، PAM، سطح امنیت را افزایش و احتمال نقض داده‌ها توسط عوامل تهدید را کاهش می‌دهد. 

 

مشکل رمزهای عبور و اعتبارنامه‌ها

• همیشه فعال هستند: رمزهای عبور همیشه در دسترس هستند و می‌توان از آن‌ها سوءاستفاده کرد. 
• قابل سرقت هستند: هکرها می‌توانند رمزهای عبور را به روش‌های مختلفی سرقت کنند. 
• قابل حمله با روش آزمون و خطا هستند: هکرها می‌توانند با تلاش‌های مکرر برای حدس زدن رمز عبور، به حساب‌های کاربری دسترسی پیدا کنند. 
• قابل اشتراک‌گذاری هستند: افراد ممکن است رمزهای عبور خود را با دیگران به اشتراک بگذارند و امنیت را به خطر بیاندازند. 
• قابل فیشینگ هستند: مهاجمان می‌توانند با ارسال ایمیل‌های فیشینگ، کاربران را فریب دهند تا رمزهای عبور خود را وارد کنند. 
• در مکان‌های مختلف قابل استفاده هستند: یک رمزعبور می‌تواند متعلق به چندین حساب باشد، بنابراین یک حمله موفقیت‌آمیز می‌تواند به اطلاعات زیادی دسترسی پیدا کند. 
• ممکن است پشت حساب خود قفل شوید: اگر رمز عبور را اشتباه وارد کنید، ممکن است حساب کاربری شما قفل شود. 
• ممکن است رمز عبور خود را فراموش کنید: فراموشی رمز عبور می‌تواند دسترسی به حساب کاربری را دشوار کند. 
• نیاز به بازنشانی مرتب و مکرر دارند: رمزهای عبور باید به طور مرتب تغییر کنند تا امنیت آن‌ها افزایش یابد. 
• قابل یادداشت‌برداری هستند: افراد ممکن است رمزهای خود را روی کاغذ یا برچسب بنویسند، که این امر خطر سرقت را افزایش می‌دهد. 

 

آیا باید ادامه دهیم؟

یکی از بزرگترین دلایل خطر رمزهای عبور این است که آن‌ها “همیشه فعال” هستند. به عبارت دیگر، آن‌ها دائماً در معرض سرقت یا استفاده برای اهداف مخرب قرار دارند. اگر به این مورد در خصوص نقش‌های راهبری (ادمین) فکر کنیم، همیشه یک نقض امنیتی در کمین خواهد بود. راهبران دسترسی‌های بیشتری به داده‌ها و سامانه‌ها دارند و از این رو سرقت حساب آنها می‌تواند جبران‌ناپذیر باشد. 

نکته مهم آن است که سامانه‌های مدیریت دسترسی ممتاز (راهبران) امروزی، خود متکی به رمز عبور است. در نتیجه خود سامانه و تمامی مواردی که قرار است از آن حفاظت کند، همواره در خطر است. سامانه مدیریت دسترسی ممتاز غالبا مکانی برای ذخیره و مدیریت تمامی رمزهای عبور در سازمان است. از آنجا که دسترسی به این رمزها، خود با یک رمزعبور محقق می‌شود، لذا سطح حفاظتی سامانه بسیار ضعیف است. 

 

دوران پس از رمز عبور (احراز هویت بدون گذرواژه)

مقابله با مشکل رمزهای عبور و اعتبارنامه‌ها می‌تواند به طور قابل‌توجهی خطرات موجود در احراز هویت را کاهش دهد. به عبارت ساده، اگر رمزعبور وجود نداشته باشد، امکان تبدیل شدن آن به یک نقطه حمله وجود نخواهد داشت. اینجاست که احراز هویت بدون رمز عبور مزایای عمده‌ای ارائه خواهد داد. احراز هویت بدون رمز عبور دقیقاً همان چیزی است که به نظر می‌رسد، حذف کامل رمزهای عبور. 

این روش نیاز به نام کاربری و رمز عبور برای احراز هویت در منابع و سرویس‌ها را حذف می‌کند. به جای تکیه بر «چیزی که می‌دانید» (رمز عبور)، احراز هویت بدون گذرواژه بر «هویت شما» تمرکز دارد. این کار معمولاً از طریق عوامل بیومتریک یا توکن‌های سخت‌افزاری انجام می‌شود. احراز هویت بدون رمزعبور، نقطه آغاز فرآیند حذف خطرات ناشی از گذرواژه‌ها برای سازمان‌ها است. 

 

چرا سامانه‌های مدیریت دسترسی ممتاز باید به احراز هویت بدون رمزعبور توجه کنند؟

مدیریت دسترسی ممتاز (PAM) غالبا رویکردی مبتنی بر رمزهای عبور را برای مدیریت دسترسی به منابع اتخاذ می‌نماید. مشکل این رویکرد تضاد بنیادی اسرار (رمزها) و مخازن اسرار (Secret Vaults) با اصل امتیاز صفر (Zero Standing Privileges)  است. برای اسرار (رمزها)، صرف وجود آن‌ها به این معنی است که شما امتیازات دائمی دارید. این امر به معنای خطری دائمی برای سازمان است که باید خود را در برابر آن محافظت نماید. در نتیجه خود سامانه مدیریت دسترسی ممتاز نیز از مشکلات رمزعبور و تهدیدات آنها در امان نخواهد بود. 

مدیریت مخازن اسرار و خود اسرار نیز می‌تواند هزینه‌های قابل‌توجهی به همراه داشته باشد. در بسیاری موارد، مخازن اسرار ارائه شده توسط فروشندگان PAM تنها بخشی از زیرساخت فناوری سازمان را پوشش می‌دهند. در این شرایط، سازمان‌ها ممکن است مجبور به خرید چندین محصول شوند. این کار به طور قابل‌توجهی هزینه‌های عملیاتی، پیچیدگی و سربار مدیریت رمزها و حسابرسی دسترسی را افزایش می‌دهد. روش‌های مدرن احراز هویت، مانند احراز هویت بدون رمزعبور، در پلتفرم‌های متنوع قابل استفاده است. این محصولات برای تیم‌های IT، مشکلات گذرواژه‌ها و مدیریت آنها را کاملا حذف می‌کنند. 

 

مدیریت دسترسی ممتاز با راهکار احراز هویت بدون رمزعبور نشانه

راهکار احراز هویت بدون رمز عبور نشانه، محصول شرکت رهسا (ره‌آورد سامانه‌های امن) است. این راهکار دسترسی ساده و امن به زیرساخت‌های حیاتی را بدون نیاز به رمزعبور ارائه می‌دهد. این پلتفرم از ابتکارات احراز هویت بدون رمزعبور در راستای کمک به مدیریت دسترسی‌های ممتاز نیز استفاده می‌کند. موارد حداقلی زیر، از امکاناتی است که توسط نشانه در راستای مدیریت دسترسی‌های ممتاز به سازمان‌ها ارائه می‌شود. لازم به ذکر است که این موارد، فارغ از ویژگی‌های نشانه در ارائه خدمت احراز هویت بدون رمزعبور است. 

• پشتیبانی از پروتکل‌های پرکاربرد همچون RDP
• احراز اصالت چند عاملی برای کاربران و راهبران سامانه
• انجام تنظیمات و اعمال محدودیت‌ها بر روی نشست‌های دسترسی
• تهیه و ارسال لاگ با فرمت Syslog
• امکان ارتباط با سامانه‌های احراز هویت و اصالت دیگر همچون Active Directory و LDAP
• امکان اعمال انواع محدودیت‌ها بر دسترسی کاربران بر اساسی عواملی همچون زمان دسترسی، مقصد دسترسی، IP مبدا، مکان جغرافیایی
• امکان تعریف سطوح مختلف دسترسی برای راهبران سامانه
• گزارش‌گیری کامل از فعالیت‌های راهبران سامانه
• امکان تعریف روال تایید (Approve) برای تایید دسترسی به سرورها و تجهیزات
• پشتیانی از مخزن رمز عبور (Password Vault) به منظور ذخیره‌سازی امن رمزهای عبور
• امکان تغییر خودکار رمزهای عبور بر اساس زمان‌بندی تعریف شده توسط راهبران

با نشانه، احراز هویت در سراسر زیرساخت سازمان (از جمله سیستم‌های قدیمی)، امن و بی‌نیاز از رمزعبور خواهد بود. همچنین فرآیند احراز هویت ساده‌تر و هزینه‌های سرباری آن کمتر خواهد شد. نشانه به تیم‌های IT و امنیت اجازه می‌دهد تا دسترسی را به روشی یکپارچه، امن و قابل حسابرسی ارائه کنند. همچنین قابلیت مدیریت تمامی موارد مربوط به هویت و فرآیند احراز آن نیز به صورت متمرکز فراهم خواهد بود. برای کسب اطلاعات بیشتر در مورد چگونگی کمک نشانه به شما در حل چالش‌های دسترسی، با ما تماس بگیرید. 

MFA مقاوم در برابر فیشینگ (احراز هویت بدون گذرواژه)

رمزهای عبور آسیب‌پذیرترین و مورد حمله‌ترین بخش هر سامانه احراز هویت هستند. آنها نه تنها برای امنیت احراز هویت، بلکه برای وضعیت امنیتی کل سازمان خطر ایجاد می‌کنند. گزارش Verizon  نشان می‌دهد که حدود 60 درصد از حملات موفق، به اعتبارنامه‌ها مرتبط است. این موارد شامل فیشینگ، اعتبارنامه‌های سرقت شده و حملات brute-force است. مشکل اصلی گذرواژه‌ها در امکان اشتراک آنها با چند نفر یا حتی بیشتر است. طبق گفته Darkreading، اکنون بیش از 24 میلیارد اعتبارنامه دزدی شده در بازارهای وب تاریک در گردش است. بسیاری از کارشناسان امنیت معتقدند که هکرها در واقع به سیستمها نفوذ نمی‌کنند، بلکه براحتی به آن وارد می‌شوند. تنها راه برای تغییر این الگو، حذف کامل رمزهای عبور از فرآیند احراز هویت است. اینجاست که رویکردهای احراز هویت بدون گذرواژه، به ویژه راه‌حل‌های MFA مقاوم در برابر فیشینگ، برجسته می‌شوند. اما احراز هویت بدون گذرواژه چیست؟

 

بررسی اجمالی MFA مقاوم در برابر فیشینگ

احراز هویت تک عاملی سنتی بر اثبات هویت با یک جفت نام کاربری و گذرواژه مبتنی است. احراز هویت چند عاملی (MFA) نیازمند یک یا چند عامل تأیید مستقل است. اینها می‌توانند شامل آنچه می‌دانید (گذرواژه)، آنچه دارید (کلید امنیتی) یا آنچه هستید (ویژگی بیومتریک مانند اثر انگشت) باشد. در شیوه‌های MFA سنتی، این موارد معمولاً شامل یک گذرواژه به علاوه یک عامل دیگر است. اما در MFA مقاوم در برابر فیشینگ یا احراز هویت بدون گذرواژه،عامل گذرواژه حذف و فقط از عوامل “دارایی” یا “ذاتی” استفاده می‌شود.

 

چرا احراز هویت بدون گذرواژه از MFA سنتی امن‌تر است؟

در حالی که MFA سنتی نسبت به گذرواژه ایمن‌تر است، مواردی متکی به SMS OTP به راحتی دور زده می‌شوند. احراز هویت بدون گذرواژه، اسرار مشترک را از فرآیند احراز هویت حذف می‌کند و بسیار ایمن‌تر از MFA سنتی است. شیوه MFA مقاوم در برابر فیشینگ یا بدون گذرواژه مبتنی بر FIDO، استاندارد طلایی احراز هویت چندعاملی مقاوم در برابر فیشینگ است. نحوه عملکرد چنین شیوه‌ای با استفاده از رمزنگاری کلید عمومی و برنامه کاربردی تلفن همراه، شامل مراحل زیر خواهد بود.

1. کاربر فرآیند ورود را آغاز می‌کند.
2. سیستم احراز هویت بدون گذرواژه عوامل شناسایی را از کاربر درخواست می‌کند.
3. کاربر کلید خصوصی را با عامل مرتبط با احراز هویت بدون گذرواژه خود (مثلا اثر انگشت) باز می‌کند.
4. در انتها سرور، از کلید عمومی مرتبط با کلید خصوصی کاربر، برای تأیید هویت امن او استفاده می‌شود.
5. در صورت طی شدن درست مراحل، به کاربر اجازه ورود داده می‌شود.

همانطور که از فرآیند تشریح شده مشخص است، کاربر نیازی به ارائه چیزی جز کلید امنیتی یا  اثرانگشت خود ندارد. کاربر بدون به خاطر سپردن یا به اشتراک گذاشتن یک رمز عبور، امکان احراز هویت خواهد داشت. به دلیل پیچیدگی رمزنگاری کلید عمومی، هیچ راز یا اعتبارنامه‌ای با شنود یا در حملات man-in-the-middle سرقت نمی‌شود. و البته، یک هکر نمی‌تواند با حدس زدن یا فیشینگ یک رمز عبور به یک حساب دسترسی پیدا کند. فراوانی حسگرهای بیومتریک نیز به معنی فراهم بودن این راهکار به راحتی برای همه افراد و سازمان‌ها خواهد بود.

 

تغییر پارادایم امنیتی: آیا MFA مقاوم در برابر فیشینگ ایمن است؟

با وجود تایید متخصصان امنیت و موسساتی همچون NIST، راهکارهای بدون رمزعبور همچنان سرعت پذیرش بالایی ندارند. سازمان‌ها اغلب می‌پرسند، احراز هویت بدون گذرواژه چه چیزی را می‌تواند ارائه دهد که سایر شیوه‌های MFA نمی‌توانند. حذف گذرواژه، مشکل اصلی سیستمهای احراز هویت را رفع و تأثیر مثبت بر امنیت و عملیات سازمان می‌گذارد. اول و مهم‌تر از همه، با حذف بزرگترین عامل حمله، به طور خودکار امنیت سازمانی را بهبود می‌بخشد.

مایکروسافت بیش از 300 میلیون تلاش ناموفق ورود به سامانه‌ها را در روز به محصولات مختلف خود گزارش می‌دهد. این شرکت بیان می‌کند که شیوه‌های بدون رمز عبور مبتنی بر بیومتریک، 99 درصد حملات حساب‌های کاربری را مسدود می‌کند. با افزایش مقررات ایمنی داده‌ها در جهان، استقرار MFA بدون گذرواژه همچنین به سازمان‌ها برای انطباق با قوانین کمک می‌کند. مزایای دیگر شامل کاهش هزینه‌های بازنشانی رمز عبور است. طبق گزارش Forrester، هزینه هر بازنشانی رمز عبور، در میانگین جهانی حدود 45 دلار است. احراز هویت بدون گذرواژه همچنین می‌تواند تجربه کاربر را ساده‌تر کرده و بهره‌وری را افزایش دهد.

 

حرکت به سوی دنیای بدون گذرواژه با نشانه

MFA مقاوم در برابر فیشینگ یا احراز هویت بدون رمز عبور، ضعیف‌ترین حلقه این فرآیند را حذف می‌کند. این شیوه از این طریق، امنیت را برای کاربران، سیستم‌ها و سازمان‌ها بهبود می‌بخشد. راهکار احراز هویت بدون رمزعبور نشانه، امنیت احراز هویت شما را افزایش و بهره‌وری و پذیرش کاربران را بهبود می‌بخشد. با رمزنگاری کلید عمومی و پایبندی به FIDO، راهکار نشانه حذف اسرار مشترک از فرآیند احراز هویت را تضمین می‌کند.

راهکار نشانه (محصول شرکت رهسا – ره‌آورد سامانه‌های امن)، یک فرآیند یکپارچه برای ورود بدون رمزعبور فراهم می‌کند. این راهکار، امنیت را به سازمان و تجربه کاربری زیبایی را به کاربران ارائه می‌دهد. تیم نشانه، آماده ارائه کمک و راهنمایی برای هموار نمودن مسیر حرکت سازمانها به سمت دنیای بدون گذرواژه است. برای رهایی از تمامی تهدیدات رمزهای عبور، همین امروز حرکت خود را آغاز نمایید.

محیط اعتماد صفر (Zero Trust) چیست؟

در دنیای امنیت سایبری، اصطلاحات مد روز زیادی وجود دارد و یکی از پرکاربردترین آن‌ها “اعتماد صفر” است. اما دقیقاً محیط اعتماد صفر (Zero Trust) چیست؟ و چرا اینقدر در گفتگوهای امنیت سایبری برجسته شده است؟ اعتماد صفر (Zero Trust) یک مفهوم امنیت سایبری با رویکرد “هرگز اعتماد نکنید، همیشه بررسی کنید” در دسترسی به شبکه است. محقق امنیت جیمز کیندرواگ این عبارت را در سال 2010 برای معرفی یک رویکرد جدی‌تر به یک تهدید رو به رشد ابداع کرد.

ایجاد یک محیط Zero Trust فرض می‌کند که همه کاربران و دستگاه‌ها، چه از داخل یا خارج از شبکه، تا زمانی که بررسی و تایید نشوند، غیرقابل اعتماد هستند. اعتماد صفر با پارادایم امنیت سایبری “دفاع در عمق” متفاوت است که به دنبال محافظت از داده‌ها از طریق لایه‌های متعدد موانع است. بسیاری از هکرها از بهره‌برداری از نقص‌های سیستم، مانند پورت‌های باز یا درهای پشتی فراموش شده، فاصله گرفته‌اند و در عوض سعی می‌کنند از طریق احراز هویت تقلبی وارد سازمان شوند. متأسفانه، این کار بلافاصله دسترسی قابل توجهی به داده‌ها و فرصتی برای تشدید حمله در داخل سیستم ارائه می‌دهد.

 

چرا ایجاد یک محیط اعتماد صفر ضروری است؟

در حالی که حملات پیچیده از نظر عموم مردم گسترده‌تر و غالب است، اما واقعیت نقض‌های امنیتی مدرن بسیار ساده‌تر است. در اصل، مهاجمان از بسیاری از افراد می‌خواهند که اطلاعات ورود به سامانه خود را به آن‌ها بدهند و وقتی کسی این کار را انجام داد، به حساب آن‌ها دسترسی پیدا می‌کنند و از آن برای سرقت داده‌ها یا آپلود بدافزار استفاده می‌کنند. البته، “درخواست اطلاعات ورود” خیلی هم ساده نیست. فیشینگ، حمله غالب احراز هویت، می‌تواند به عنوان مثال از صفحات وب جعلی برای شبیه‌سازی صفحات ورود معتبر استفاده کند، بنابراین قربانیان فکر می‌کنند جزئیات خود را در یک صفحه معتبر وارد می‌کنند.

با شبکه‌های گسترده امروزی و نقاط انتهایی بسیار در شبکه‌های اکثر سازمان‌ها، رویکرد “محیط امن” دیگر امکان‌پذیر نیست. بنابراین، پس از حملات عمده به زیرساخت‌های حیاتی ایالات متحده، کاخ سفید در ماه مه 2021 یک فرمان اجرایی صادر کرد که تمام آژانس‌های فدرال را ملزم به اتخاذ معماری اعتماد صفر کرد. اندکی پس از آن، دفتر مدیریت و بودجه (OMB) سند استراتژی Zero Trust فدرال را برای راهنمایی بخش‌ها و پیمانکاران صادر کرد.

کاهش ریسک دلیل دیگری برای استقرار معماری اعتماد صفر است. با معرفی قوانین سختگیرانه استفاده و حفاظت از داده‌ها در بسیاری از حوزه‌های قضایی، مانند GDPR و تنظیم مقررات سایبری NYDFS، حملات موفق می‌توانند منجر به جریمه، توبیخ عمومی، هزینه‌های پاکسازی و از دست دادن اعتماد مصرف‌کننده شوند.

 

ویژگی‌های Zero Trust چیست؟

اعتماد صفر یک روش‌شناسی و رویکرد کلی امنیت سایبری است، نه یک تغییر واحد یا راه‌حل جادویی برای محافظت از داده‌ها. سوال “اعتماد صفر چیست” را می‌توان با نگاهی به ویژگی‌های اصلی آن پاسخ داد.

1- احراز هویت مداوم

با هدف قرار دادن کوکی‌های نشست توسط حملات و پتانسیل یک ورود موفق تقلبی، انجام احراز هویت کاربران به صورت مداوم یک ضرورت است.

2- احراز هویت چند عاملی (MFA)  مقاوم در برابر فیشینگ

به طور کلی، احراز هویت چند عاملی (MFA) یک پیشرفت نسبت به استفاده از نام کاربری و رمز عبور است. با این حال، هر MFA که از رازهای مشترک (از جمله پین‌ها، پیام‌های کوتاه، سوالات امنیتی، OTPها) استفاده می‌کند، همچنان می‌تواند توسط مهاجمان فیشینگ یا رهگیری شود. این کار تأثیر احراز هویت مداوم و نقش احراز هویت به عنوان محافظ اصلی اعتماد صفر را نفی می‌کند. به همین دلیل است که راهنمایی OMB آژانس‌های فدرال را تشویق می‌کند تا “استفاده بیشتر از احراز هویت چند عاملی بدون رمز عبور” را دنبال کنند که به طور طبیعی نمی‌توان آن را فیشینگ کرد.

3- دسترسی بر اساس حداقل امتیاز

اگرچه این مفهوم منحصر به Zero Trust نیست، اما یک استاندارد حداقل به جای بهترین عمل است. دسترسی حداقل امتیاز به این معنی است که به هر کاربر فقط حداقل دسترسی مطلق لازم برای انجام نقش خود اعطا می‌شود. دسترسی‌های همپوشانی اغلب می‌توانند باعث شوند که حساب‌های کاربری امتیازاتی را برای بخش‌ها و داده‌هایی که از نقش آن‌ها بسیار دور هستند یا هرگز استفاده نمی‌شوند در اختیار داشته باشند که می‌تواند مهاجمان را هنگام تصاحب حساب از آن‌ها بهره‌مند کند.

4- ریزتقسیم‌بندی (Micro-segmentation)

مانند دسترسی حداقل امتیاز، ریز تقسیم‌بندی شبکه شامل قرار دادن موانع سخت بین داده‌ها و مناطق سازمان است. این بدان معنی است که هر مهاجمی باید چندین نقطه دسترسی را نقض کند تا دسترسی گسترده و کافی برای یک حمله موفقیت‌آمیز داشته باشد. فهرست‌بندی داده‌های مدرن (Date Cataloging) و مجازی‌سازی به راهبران اجازه می‌دهد تا مشکلات سیلوبندی که ممکن است قبلاً توسط ریز تقسیم‌بندی ایجاد شده بود را برطرف کنند.

 

اعتماد صفر چگونه پیاده‌سازی می‌شود؟

راهنمایی در مورد اجرای اعتماد صفر را می‌توان در نشریه 800-207 مؤسسه ملی استانداردها و فناوری (NIST) یافت. این کار شامل اصول اساسی همانند موارد زیر است.

• در نظر گرفتن تمام خدمات محاسباتی و داده‌ها به عنوان منابع
• ایمن‌سازی تمام ارتباطات شبکه صرف نظر از مکان مبدا
• حفظ سوابق کامل و مداوم از تمام دارایی‌ها و مکان‌های داده
• احراز هویت پویا و سختگیرانه

بنابراین، یک معماری Zero Trust نیازمند اتخاذ یک رویکرد کاربرمحور با مکانیزم‌های حفاظتی متعدد در هر مرحله از مسیر یک کاربر در شبکه است. همچنین به سیستم‌های مدیریت هویت و دسترسی قوی نیاز دارد که می‌توان به آن‌ها به عنوان دروازه‌بان و منبع اصلی برای اثبات هویت کاربران اعتماد کرد. تنها راهی که می‌توان به طور قابل اعتماد به چنین سیستم مدیریت هویتی دست یافت، استفاده ازMFA  مقاوم در برابر فیشینگ است که با راهکارهای بدون رمز عبور محقق می‌شود. 

 

همراهی با شما برای ایجاد یک محیط اعتماد صفر (Zero Trust)

یک محیط اعتماد صفر (Zero Trust) مؤثر به یک سیستم احراز هویت نیاز دارد که بتوان بر آن تکیه کرد تا یک نقطه ورود محکم و قوی تشکیل دهد. راهکارهای ورود بدون رمز عبور با حذف گذرواژه‌ها و سایر اعتبارنامه‌های مشترک، ضعیف‌ترین حلقه‌ها در هر سیستم احراز هویت و به صورت کلی ضعیف‌ترین موانع در ایجاد یک محیط Zero Trust را از بین می‌برند. تمامی راهنماهای جهانی برای راه‌اندازی محیط‌های اعتماد صفر نیز به استفاده از راهکارهای احراز هویت بدون رمز عبور مبتنی بر استاندارد FIDO  به عنوان یک استاندارد طلایی اشاره دارند.

راهکار احراز هویت بدون رمز عبور نشانه، محصول شرکت رهسا (ره‌آورد سامانه‌های امن) که مبتنی بر استاندارد FIDO توسعه داده شده است، بهترین نقطه شروع برای ایجاد یک محیط اعتماد صفر است. تیم نشانه تلاش دارد، تا با کمک به سازمان‌های داخلی، روند حرکت به سمت حذف رمزهای عبور و تحقق یک محیط Zero Trust واقعی را بسیار کوتاه‌تر و ساده‌تر نماید. متخصصان ما، آماده ارائه هرگونه راهنمایی در این زمینه به سازمان‌ها در تمامی حوزه‌ها هستند.

حذف رمزهای عبور برای کاهش حملات باج‌افزاری

باج‌افزار یک تهدید رو به رشد برای امنیت سایبری جهانی است. به گونه‌ای که نهادهای امنیتی بزرگی همچون CISA، هشدارهای متعددی در سال‌های اخیر برای کاهش حملات باج‌افزاری صادر کرده‌اند. حملات باج‌افزار در سال 2023 به میزان 105% رشد داشته و از سال 2019 تاکنون تقریبا 232% افزایش یافته است. در سال‌های اخیر، سازمان‌ها در مقیاس‌های مختلف با حملات باج‌افزاری فلج شده‌اند. از مشاغل بزرگ همچون کل سیستم‌های بهداشتی انگلستان گرفته تا خاموشی و قطع تمامی سرویس‌ها در شهری همچون بالتیمور. یک حمله موفقیت‌آمیز باج‌افزار بر یک سازمان در چندین جبهه از جمله موارد زیر تأثیر منفی می‌گذارد:

• از دست دادن داده‌ها به صورت موقت یا حتی دائم
• سرقت و انتشار سوابق خصوصی
• هزینه‌های مستقیم پرداخت باج
• تعطیلی موقتی کسب و کار شامل از دست دادن فرصت‌های فروش
• هزینه‌های عملیات پاکسازی فناوری اطلاعات
• اعتماد آسیب‌دیده از سوی مصرف‌کنندگان
• جریمه‌های نظارتی احتمالی

با چنین پیامدهای عمده‌ای از حملات باج‌افزار، مهم است که سازمان‌ها نحوه وقوع آن‌ها را تشخیص داده و نحوه جلوگیری از آنها را بدانند.

 

نحوه اجرای حملات باج‌افزاری

هکرها از دو روش اصلی برای راه‌اندازی یک حمله باج‌افزار بر روی یک سازمان استفاده می‌کنند. دانستن این روش‌های حمله برای درک نحوه کاهش حملات باج‌افزاری ضروری است. در روش اول، مهاجمان از آسیب‌پذیری‌های امنیتی برای ورود به یک سیستم و در نهایت استقرار باج‌افزار استفاده می‌کنند. این موارد می‌تواند شامل یک آسیب‌پذیری  وصله نشده، یک سیستم به‌روز نشده و یا سیستم‌های بدون پشتیبانی باشد. به عنوان مثال، بسیاری از مشاغل همچنان از ماشین‌هایی با سیستم عامل ویندوز 7 استفاده می‌کنند. با توجه به توقف به‌روزرسانی‌های امنیتی مایکروسافت، چنین مشاغلی در معرض خطر جدی هستند.

متأسفانه، جلوگیری از این نوع حملات همیشه تحت کنترل سازمان نیست. زیرا حمله می‌تواند از یک نقص روز صفر (Zero Day) جدید سوءاستفاده کند که فروشندگان نرم‌افزارها نیز از آن خبر ندارند. از این رو نمی‌توان آن را توسط اقدامات امنیتی مانند ضدبدافزارها تشخیص داد.

حالت دوم (و تاکنون رایج‌ترین مسیر دسترسی برای باج‌افزار) از رمزهای عبور یا اعتبارنامه‌های به خطر افتاده استفاده می‌کند. روش‌های اصلی بدین منظور که رمزهای عبور سرقت شده در آنها منجر به حملات موفقیت‌آمیز می‌شوند، شامل موارد زیر می‌باشند.

حمله جستجوی فراگیر (Brute force) و انباشت اعتبارنامه‌ها (Credential Stuffing): حملات جستجوی فراگیر و یا انباشت اعتبارنامه‌ها از لیست‌های رمزهای عبور سرقت شده از نقض‌های داده قبلی، و یا مجموعه کامل قابل حدس استفاده می‌کنند و آن‌ها را به طور متوالی امتحان می‌کنند تا زمانی که با استفاده از آن‌ها وارد یک سیستم شوند. آن‌ها اغلب ابزارهای خودکار و بات‌نت‌هایی را به کار می‌گیرند که به آن‌ها اجازه می‌دهد از مکانیزم‌های مسدودکننده‌ای که برای جلوگیری از چندین تلاش ناموفق ورود به سیستم طراحی شده‌اند، فرار کنند. پس از دسترسی، مهاجم در شبکه به‌طور جانبی حرکت می‌کند و سطح دسترسی را افزایش می‌دهد تا زمانی که بتواند محموله باج‌افزار را مستقر نماید.

فیشینگ: یافتن سوءاستفاده‌ها یا آسیب‌پذیری‌های پنهان در کد می‌تواند دشوار و زمان‌بر باشد، اما ارسال یک لینک و دریافت رمز عبور کاربر از خود او، بسیار آسان‌تر است. حملات فیشینگ می‌توانند به بسیاری از افراد یا به‌طور مستقیم‌تر بر اهداف با ارزش بالا و دسترسی ممتاز (فیشینگ نیزه‌ای) متمرکز شوند. پس از اینکه مهاجم اعتبارنامه‌های ورود به سیستم به خطر افتاده را در اختیار گرفت، می‌تواند به عنوان یک کاربر تأیید شده به سیستم دسترسی پیدا کند و بسته به سطح دسترسی کاربر، شروع به بارگزاری بدافزار نماید.

حملات RDP: تغییر قابل توجه به کار از خانه از آغاز همه‌گیری کرونا، منجر به تمرکز متناسب مهاجمان بر پروتکل‌های راه‌دور (RDP) شده است، یعنی آنچه سازمان‌ها برای ایجاد یک محیط “شبکه خانگی” برای کارکنان دورکار استفاده می‌کنند. سیستم‌های مختلف RDP ممکن است پروتکل‌های رمز عبور ضعیفی داشته باشند که می‌توانند با حملات جستجوی فراگیر شکسته شوند، یا مهاجمان می‌توانند از فیشینگ و مهندسی اجتماعی برای سرقت اطلاعات حساب کاربری از کارکنان و در ادامه نفوذ به سیستم و آغاز یک حمله باج‌افزار استفاده کنند.

 

چگونه از حملات باج‌افزار جلوگیری کنیم

کاهش حملات باج‌افزاری نیازمند تلاش هماهنگ در سراسر طیف امنیت سایبری و کاربران سازمان است. برخی از استراتژی‌های محافظت اساسی شامل موارد زیر هستند:

• نگه‌داری وصله‌های نرم‌افزاری و درایورهای سخت‌افزار: آسیب‌پذیری‌های جدید دائماً کشف می‌شوند، بنابراین به‌روزرسانی منظم نرم‌افزارها و درایورهای سخت‌افزاری برای کاهش حملات باج‌افزاری ضروری است.
• مقاوم‌سازی و به‌روزرسانی منظم سامانه‌ها: مهاجمان می‌توانند آسیب‌پذیرترین سامانه‌ها را شناسایی کنند تا بردارهای حمله خود را محدود کنند و شانس موفقیت خود را افزایش دهند. از این رو برای جلوگیری از این امر، باید تمام سامانه‌ها را مقاوم‌سازی نموده و به‌روز نگه داشت.
• غیرفعال کردن پورت‌ها و پروتکل‌های غیرضروری: هر مسیری که برای کسب‌وکار ضروری نیست نباید باز و قابل استفاده باشد، زیرا مهاجمان می‌توانند نقاط ورودی آسیب‌پذیر را استشمام و از آن سوءاستفاده کنند.
• آموزش فیشینگ: باید اطمینان حاصل نمود که تمام کارمندان نحوه تشخیص ایمیل‌ها یا مخاطبین مشکوک را می‌دانند.

 

کاهش حملات باج‌افزاری با MFA مقاوم در برابر فیشینگ

با توجه به اینکه اکثریت حملات باج‌افزار از رمزهای عبور ضعیف و شیوه‌های احراز هویت با سطح امنیت پایین نشأت می‌گیرند، مهم‌ترین عنصر هر برنامه پیشگیری از باج‌افزار، اجرای احراز هویت چند عاملی قوی (MFA) است. برای پیشگیری مؤثر از باج‌افزار،MFA  سازمان باید مقاوم در برابر فیشینگ باشد، به‌ویژه برای راهبران و حساب‌های کاربری سطح بالا، که در صورت به خطر افتادن، پتانسیل افزایش قابل توجه یک حمله را دارند.

MFA  مقاوم در برابر فیشینگ برای پیشگیری از باج‌افزار حیاتی است زیرا اکثر روش‌های MFA می‌توانند توسط حملات مدرن شکست بخورند. رمزهای یک‌بار مصرف (OTP) و روش‌های احراز هویت پیام کوتاه را می‌توان با فیشینگ یا حملات مرد میانی (MitM) یا ترکیبی از هر دو، دور زد. امروزه بیش از 1200 جعبه‌ابزار فیشینگ و MitM در دسترس هستند که به مجرمان سایبری اجازه می‌دهند از MFA عبور کنند.

MFA  مقاوم در برابر فیشینگ کاملاً بدون رمز عبور است و مبتنی بر رمزنگاری کلید عمومی است؛ در هیچ مرحله‌ای از فرآیند احراز هویت اعتبارنامه یا رازها را به اشتراک نمی‌گذارد. کاربران هویت خود را از طریق روش‌های امن روی دستگاه مانند حسگرهای بیومتریک یا یک پین غیرمتمرکز تأیید می‌کنند.

به‌طور خاص، MFA  بدون رمز عبور مبتنی بر استاندارد FIDO (Fast IDentity Online) ، توسط آژانس امنیت ملی ایالات متحده (CISA) به‌عنوان استاندارد طلایی برای احراز هویت مقاوم در برابر فیشینگ در نظر گرفته شده است.

 

راهکار احراز هویت بدون رمز عبور نشانه

افزایش حجم و شدت حملات باج‌افزار، پیشگیری از باج‌افزار را به یک اولویت امنیتی برای صنایع در سراسر جهان تبدیل کرده است که منجر شده تا استفاده از یک راهکار احراز هویت بدون رمز عبور، برای امنیت سایبری مؤثر ضروری گردد. سازمان‌ها با اجرای MFA بدون رمز عبور مقاوم در برابر فیشینگ می‌توانند بخش عمده‌ای از سطح حمله باج‌افزار خود را از بین ببرند.

راهکار احراز هویت بدون رمز عبور نشانه (محصول شرکت رهسا – ره‌آورد سامانه‌های امن) با ارائه بالاترین سطح امنیت احراز هویت، حذف رمزهای عبور و مهم‌تر از همه، ایجاد یک فرآیند احراز هویت یکپارچه که صرفه‌جویی در زمان را نیز به دنبال خواهد داشت از اقدامات خطرناک کاربران جلوگیری نموده و بین امنیت عملیاتی و تجربه کاربری تعادل برقرار می‌کند. با حذف کامل رازهای مشترک به‌عنوان یک عامل احراز هویت و تبدیل دستگاه شخصی کاربران به توکن‌هایFIDO ، حملات باج‌افزار ناشی از فیشینگ می‌توانند در مبدا متوقف شوند.

تیم نشانه، آماده ارائه هر گونه کمک و اطلاعات بیشتر در خصوص مقاوم بودن راهکار نشانه در برابر فیشینگ و همچنین میزان ارتقا سطح امنیت سازمان‌ها و محافظت از آنها در برابر باج‌افزار است.