חשבונות בעלי הרשאות (הקדמה)

איזה חשבונות עדיף להקשיח קודם לכן בארגון? חשובונות של משתמשי קצה? חשבונות של בעלי הרשאות? חשבונות של מנהלי הסיסטם? תשובה בסוף המאמר.

כיום חטיבת מערכות המידע בארגון מקצה משאבים רבים ושמה דגש על אבטחת מידע בין אם זה בצד מערכות, התקנים, מדיניות ארגונית ומשתמשי קצה וכדומה.

אפשר לומר שהדגש הוא הקשחה של משתמשי קצה בכדי למנוע את המתקפה הבאה או את הפירצה הבאה בארגון, בין אם זה מתוך פישינג או הוצאת מידע מסווג מהארגון. מכוון או לא.

אומנם משתמשי קצה הם החוליה החלשה בארגון (בגלל חוסר ידע או חוסר תשומת לב) אך ישנם משתמשים אחרים בארגון שעלולים לגרום לבעיות קשות יותר אשר מסכנות את הארגון ויכולות להביא לסיכונים מרחיקי לכת, כדוגמת: חשיפה של קמפיין שיווקי בעל ערך רב או חשיפה של מערכת קריטית ללא הקשחה נכונה ומספקת.

איך זה בא לידי ביטוי? המשתמשים שעלולים לגרום לבעיות בארגון הם מנהלי הסיסטם שאמונים על המערכות הארגוניות ובידם כח רב וככזה יש להם גישה לכל המערכות הארגוניות עם גישה מלאה לכל מערכת, בנוסף אליהם ישנם משתמשים בעלי הרשאות שיש להם גישה למערכות מסוימות (לעיתים זמניות) והגישה כוללת הרשאות מלאות.

לא צריך לדמיין יותר מידי מה קורה כאשר תוקף עלול לפרוץ ולהשתלט על חשבון של מנהל סיסטם בארגון, בעיה כזאת עלולה להביא את הארגון למצב קיצוני.

אם נקח לדוגמא משתמש בעל הרשאות עם גישה למערכות בנקאיות אשר נפרץ, במצב כזה הארגון מוצא את עצמו במתקפה שמסתיימת בגניבה של כספים. (דבר שקורה בתקופה האחרונה לא מעט).

אנו יכולים לקחת את המצבים האלה צעד אחד קדימה ולא ירחק היום שבו עיר שלמה תהיה מושבתת (מצלמות, חשמל וכו’) בגלל מתקפה כלשהיא.

התוקפים של היום לא מסתפקים במתקפות הרגילות אלא במתקפות מתקדמות, כלומר תקיפה ממוקדת של בעלי הרשאות, תקיפה של מערכות ייעודיות וקריטיות בארגון, תקיפה של דרג מסוים בארגון וכן הלאה.

התקיפות עלו דרגה וכעת כל ארגון נמצא על הכוונת של התוקפים, בגלל אופי התקיפות לעיתים רבות קשה לעלות על גילוי של מתקפה ותוקף עלול להיות חודשים רבים ברשת לפני שנעלה עליו בכלל וכן היו מקרים רבים לאחרונה של תוקפים שבילו חודשים ארוכים ברשתות ארגוניות עד שעלו עליהם.

במצב כזה שאנו לא יודעים מי מסתובב לנו ברשת התקיפה מקבלת אופי אחר של מתקפה שקטה שהתוקף ביצע את הפריצה ודאג לשים חשבון בעל הרשאות כזה שלא יגרום לנו לדאוג כאשר נתקל בו, החל מרגע זה התוקף מסתובב ברשת ללא הפרעה.

מה עושים במצבים כאלה? ישנם פתרונות רבים שניתן ליישם בכדי לוודא שאין תוקפים ברשת, משתמש שאינו מורשה אינו מסתובב ברשת, אנו יודעים על התנהגות לא שגרתית של משתמשים וכן הלאה.

הפתרון אינו מבוסס רק על מערכת ספציפית אלא מפתרון שבנוי מכמה רובדים, בכל רובד אנו מיישמים פתרון ולבסוף אנו מקבלים פתרון שבנוי מכמה שכבות ופתרונות שבנויים ממערכות, נהלים ומדיניות.

היישום הראשוני שארגון צריך לבצע בכדי להיות בטוח ותקני הוא יישום של הקשחת חשבונות בעלי הרשאות, החל מאנשי סיסטם, חשבונות של אפליקציות קריטיות, חשבונות של מערכות ייעודיות ובעלי הרשאות נוספים.

תוקפים שמים להם למטרה את אותם חשבונות בעלי הרשאות בכדי להשיג שליטה, ולכן מתקפות אלה נקראות בין היתרpass the hash או pass the ticket.

כמו שהוזכר השלבים בנויים מכמה רובדים, כאשר אנו מיישמים את השלב הראשון של אבטחת חשבונות בעלי הרשאות אנו מחלקים אותו לשלושה חלקים:

• מזעור טכניקות התקפה נפוצות – בחלק הזה שאורך עד חודש אנו מבצעים מיפוי של המערכות ובעלי הרשאות וכן ממזערים את סוגי הטכניקות הנפוצות של התוקפים.
• שליטה מול כלל המערכות – בחלק הזה שאורך עד שלושה חודשים אנו מוודאים שיש לנו פוליסי מול כל המערכות בארגון ומוודאים יישום המדיניות על סמך המיפוי של המערכות
• הגנה פרואקטיבית והמשך יישום – בחלק הזה שאורך עד שישה חודשים ולעיתים יותר ולאחר שכל המערכות בארגון נמצאות עם פוליסי, הגדרות ויישום של מדיניות אנו ממשיכים לבצע מיפוי, דגימות ובדיקות פרואקטיביות מול אותם חשבונות בעלי הרשאות בארגון.

לסיכום

חשבונות בעלי הרשאות בארגון הם חשבונות קריטיים לארגון ולכן אנו צריכים לוודא שחבונות אלה מוקשחים ונמצאים תחת פוליסי ארגוני ומנוטרים עם מערכות שבודקות את התנהגות האובייקטים ברשץ ויודעות לזהות התנהגות לא נורמלית.

היישום של חשבונות חשובים בנויים מכמה רובדים של אבטחת חשבונות בעלי הרשאות, יישום של מערכת שבודקת התנהגות של הרשת הארגונית כדוגמת: ATA ורובד של הגנה פרואקטיבית.

החשבונות שמומלץ להקשיח בארגון ולעקוב אחריהם הם חשבונות בעלי הרשאות, החל מחשבונות בעלי גישה נמוכה ועד חשבונות עם גישה מלאה.

במאמר הבא נמשיך בהקשחה של השלב הראשון וכיצד ניתן ליישם בארגון ולאחר מכן נמשיך לשלב השני של עבודה עם ATA