חשבונות בעלי הרשאות והגנה בשכבות
המאמר הראשון חשבונות בעלי הרשאות (הקדמה) התמקד בחשבונות בעלי הרשאות וכמה רגישים אותם חשבונות מול הארגון וכיצד תוקפים יכולים לנצל את אותם חשבונות בכדי להשיג את מבוקשם.
במאמר הנוכחי נוכל להבין איך ניתן למנוע מתקפות, מהם הפעולות שצריך לבצע ואיך ניתן לבצע הגנה בשכבות ברמת זהויות בתוך הארגון.
כיום ישנם מצבים שונים בארגונים בהם תחנות קצה בעיקר ושרתים אינם מוקשחים ברמת זהויות ומשתמשים אינם מנוהלים בצורה מספיק טובה וחשופים למתקפות ברמת חשבונות משתמשים:
- חשבון Active Directory עם הרשאת אדמין בתחנות קצה – ברוב הארגונים משתמשי קצה (Domain Users) מוגדרים עם אדמין מקומי ולכן בפעולה הכי פשוטה של הורדת קובץ, קבלת מייל עם קבצים נגועים או גלישה באתרים שונים עלולה להפעיל אפליקציה זדונית (בעיות כגון Malware, Exploit).
- חשבון אדמין מקומי (WorkGroup) – בעיה נוספת וקשה היא משתמשי אדמין מקומיים (משתמשים שנמצאים ברמת WorkGroup) המוגדרים ללא סיסמאות או לחלופין הסיסמאות חלשות או כאלה שמתחלפות אחת לכמה שנים!!! במתקפות Spear Phishing זה מספיק בשביל התוקף.
- משתמשים ניידים – משתמשים שנמצאים בדרכים עובדים עם מחשבים ניידים ומחשב שאבד או נגנב מאפשר לתוקף לקבל את כל המידע ברמת המחשב ואם מדובר על חשבון בעל הרשאות אז הסיכון הוא רב. במצב כזה התוקף יכול לקחת תוך דקות את כל הסיסמאות הקיימות במחשב ע”י מספר קבצים בודדים (SAM), ערכי Registry ומידע מתוך Browser ועוד.
ישנם בעיות נוספות לחשבונות בעלי הרשאות אך אלה הם רק הבעיות הנפוצות ולבעיות אלה ישנם מספר תהליכים וטכנולוגיות שנותנות מענה ומורידות את הסיכון מול מתקפות.
תהליך הקשחת חשבונות בעלי הרשאות
הקשחת גישה לבעלי הרשאות בנויה על סמך מספר מאפיינים:
- רבדים הבנויים על סמך מספר פעולות
- טכניקות שונות בהקשחת התהליך
- זמן ביצוע שעלול לארוך חודשים
יישום תהליך הקשחת חשבונות בעלי הרשאות נחלק לשלושה שלבים:
- מזעור טכניקות התקפה נפוצות – בשלב שאורך עד חודש אנו מבצעים מיפוי של המערכות ובעלי הרשאות וכן ממזערים את סוגי הטכניקות הנפוצות של התוקפים.
- שליטה מול כלל המערכות – בשלב שאורך עד שלושה חודשים אנו מוודאים שיש לנו פוליסי מול כל המערכות בארגון ומוודאים יישום המדיניות על סמך המיפוי של המערכות
- הגנה פרואקטיבית והמשך יישום – בשלב שאורך עד שישה חודשים ולעיתים יותר ולאחר שכל המערכות בארגון נמצאות עם פוליסי, הגדרות ויישום של מדיניות אנו ממשיכים לבצע מיפוי, דגימות ובדיקות פרואקטיביות מול אותם חשבונות בעלי הרשאות בארגון.
מזעור טכניקות התקפה נפוצות (שלב 1)
בשלב ראשון אנו ממזערים את המתפקות הידועות בארגון ומתמקדים בעיקר במניעת גניבת זהויות בתוך הארגון ע”י מספר שלבים:
- הפרדת חשבון משתמש לניהול וביצוע משימות
- תעדוף גישה לתחנות קצה עם משתמשי אדמין
- יישום מדיניות סיסמאות למשתמשי אדמין מקומיים
הפרדת חשבון משתמש לניהול וביצוע משימות (מונע התקפות Phishing)
הפרדת חשבון משתמש לניהול וביצוע משימות נחלקת למספר מאפיינים:
- חשבון מקומי עם הרשאות מקומיות שמבצע פעולות ומשימות מתוזמנות
- חשבון Active Directory עם הרשאות מקומיות שמבצע פעולות ומשימות מתוזמנות
- חשבון Active Directory עם הרשאות רוחביות (Active Directory) שמבצע פעולות ומשימות מתוזמנות
בכדי להפריד חשבון משתמש בעל הרשאות מתוך תהליכים נבצע הפרדה ע”י יצירת חשבון משתמש ייעודי להרצת המשימות הספציפיות בלבד.
הפעולה יכולה להיעשות בצורה הפשוטה או ע”י תהליך Privileged Access Workstations.
יישום Privileged Access Workstations
ביישום Privileged Access Workstations אנו עולים שלב בהפרדה של משתמשים בעלי הרשאות, תחנות קצה אשר מריצים את כל אותם משימות מתזמנות או צריכים גישה ספציפית.
ביישום PAW אנו מתמקדים בכל האובייקטים שנמצאים בתהליך:
- משתמש בעל הרשאות
- תחנת קצה ייעודית
- תהליכים ומשימות
- גישה למשאבים
PAW מחולק לפי מספר שכבות שבכל אחד מהם מוגדר מראש מהם ההרשאות שניתנות, מול איזה תחנה קצה עובדים וכו’, לחלופין ניתן לבנות שכבות מוגדרות מראש בהתאם לדרישה הארגונית אך עדיין על סמך התהליך של PAW.
