אלי שלמה

עוד יום של סייבר בענן

חשבונות בעלי הרשאות והגנה בשכבות

by · 22/02/2018

איזה חשבונות עדיף להקשיח קודם לכן בארגון? חשובונות של משתמשי קצה? חשבונות של בעלי הרשאות? חשבונות של מנהלי הסיסטם?

כיום מערכות המידע בארגון מקצה משאבים רבים ושמה דגש על אבטחת מידע בין אם זה בצד מערכות, התקנים, מדיניות ארגונית ומשתמשי קצה וכדומה. אפשר לומר שהדגש הוא הקשחה של משתמשי קצה בכדי למנוע את המתקפה הבאה בארגון, בין אם זה מתוך פישינג או הוצאת מידע מסווג מהארגון.
אומנם משתמשי קצה הם החוליה החלשה בארגון (בגלל חוסר ידע או חוסר תשומת לב) אך ישנם משתמשים אחרים בארגון שעלולים לגרום לבעיות קשות יותר אשר מסכנות את הארגון ויכולות להביא לסיכונים מרחיקי לכת, כדוגמת: חשיפה של קמפיין שיווקי בעל ערך רב או חשיפה של מערכת קריטית ללא הקשחה נכונה ומספקת.

איך זה בא לידי ביטוי? המשתמשים שעלולים לגרום לבעיות בארגון הם מנהלי הסיסטם שאמונים על המערכות הארגוניות ובידם כח רב וככזה יש להם גישה לכל המערכות הארגוניות עם גישה מלאה לכל מערכת, בנוסף אליהם ישנם משתמשים בעלי הרשאות שיש להם גישה למערכות מסוימות (לעיתים זמניות) והגישה כוללת הרשאות מלאות. לא צריך לדמיין יותר מידי מה קורה כאשר תוקף עלול לפרוץ ולהשתלט על חשבון של מנהל סיסטם בארגון, בעיה כזאת עלולה להביא את הארגון למצב קיצוני.

אם נקח לדוגמא משתמש בעל הרשאות עם גישה למערכות בנקאיות אשר נפרץ, במצב כזה הארגון מוצא את עצמו במתקפה שמסתיימת בגניבה של כספים. (דבר שקורה בתקופה האחרונה לא מעט).Privilege admin accountאנו יכולים לקחת את המצבים האלה צעד אחד קדימה ולא ירחק היום שבו עיר שלמה תהיה מושבתת (מצלמות, חשמל וכו’) בגלל מתקפה כלשהיא.

התוקפים של היום לא מסתפקים במתקפות הרגילות אלא במתקפות מתקדמות, כלומר תקיפה ממוקדת של בעלי הרשאות, תקיפה של מערכות ייעודיות וקריטיות בארגון, תקיפה של דרג מסוים בארגון וכן הלאה.

התקיפות עלו דרגה וכעת כל ארגון נמצא על הכוונת של התוקפים, בגלל אופי התקיפות לעיתים רבות קשה לעלות על גילוי של מתקפה ותוקף עלול להיות חודשים רבים ברשת לפני שנעלה עליו בכלל וכן היו מקרים רבים לאחרונה של תוקפים שבילו חודשים ארוכים ברשתות ארגוניות עד שעלו עליהם.

במצב כזה שאנו לא יודעים מי מסתובב לנו ברשת התקיפה מקבלת אופי אחר של מתקפה שקטה שהתוקף ביצע את הפריצה ודאג לשים חשבון בעל הרשאות כזה שלא יגרום לנו לדאוג כאשר נתקל בו, החל מרגע זה התוקף מסתובב ברשת ללא הפרעה.

מה עושים במצבים כאלה? ישנם פתרונות רבים שניתן ליישם בכדי לוודא שאין תוקפים ברשת, משתמש שאינו מורשה אינו מסתובב ברשת, אנו יודעים על התנהגות לא שגרתית של משתמשים וכן הלאה.

הפתרון אינו מבוסס רק על מערכת ספציפית אלא מפתרון שבנוי מכמה רובדים, בכל רובד אנו מיישמים פתרון ולבסוף אנו מקבלים פתרון שבנוי מכמה שכבות ופתרונות שבנויים ממערכות, נהלים ומדיניות.

היישום הראשוני שארגון צריך לבצע בכדי להיות בטוח ותקני הוא יישום של הקשחת חשבונות בעלי הרשאות, החל מאנשי סיסטם, חשבונות של אפליקציות קריטיות, חשבונות של מערכות ייעודיות ובעלי הרשאות נוספים.

תוקפים שמים להם למטרה את אותם חשבונות בעלי הרשאות בכדי להשיג שליטה, ולכן מתקפות אלה נקראות בין היתרpass the hash או pass the ticket.

כמו שהוזכר השלבים בנויים מכמה רובדים, כאשר אנו מיישמים את השלב הראשון של אבטחת חשבונות בעלי הרשאות אנו מחלקים אותו לשלושה חלקים:

  • מזעור טכניקות התקפה נפוצות – בחלק הזה שאורך עד חודש אנו מבצעים מיפוי של המערכות ובעלי הרשאות וכן ממזערים את סוגי הטכניקות הנפוצות של התוקפים.
  • שליטה מול כלל המערכות – בחלק הזה שאורך עד שלושה חודשים אנו מוודאים שיש לנו פוליסי מול כל המערכות בארגון ומוודאים יישום המדיניות על סמך המיפוי של המערכות
  • הגנה פרואקטיבית והמשך יישום – בחלק הזה שאורך עד שישה חודשים ולעיתים יותר ולאחר שכל המערכות בארגון נמצאות עם פוליסי, הגדרות ויישום של מדיניות אנו ממשיכים לבצע מיפוי, דגימות ובדיקות פרואקטיביות מול אותם חשבונות בעלי הרשאות בארגון.כיום ישנם מצבים שונים בארגונים בהם תחנות קצה בעיקר ושרתים אינם מוקשחים ברמת זהויות ומשתמשים אינם מנוהלים בצורה מספיק טובה וחשופים למתקפות ברמת חשבונות משתמשים:
    • חשבון Active Directory עם הרשאת אדמין בתחנות קצה – ברוב הארגונים משתמשי קצה (Domain Users) מוגדרים עם אדמין מקומי ולכן בפעולה הכי פשוטה של הורדת קובץ, קבלת מייל עם קבצים נגועים או גלישה באתרים שונים עלולה להפעיל אפליקציה זדונית (בעיות כגון Malware, Exploit).
    • חשבון אדמין מקומי (WorkGroup) – בעיה נוספת וקשה היא משתמשי אדמין מקומיים (משתמשים שנמצאים ברמת WorkGroup) המוגדרים ללא סיסמאות או לחלופין הסיסמאות חלשות או כאלה שמתחלפות אחת לכמה שנים!!! במתקפות Spear Phishing זה מספיק בשביל התוקף.
  • משתמשים ניידים – משתמשים שנמצאים בדרכים עובדים עם מחשבים ניידים ומחשב שאבד או נגנב מאפשר לתוקף לקבל את כל המידע ברמת המחשב ואם מדובר על חשבון בעל הרשאות אז הסיכון הוא רב. במצב כזה התוקף יכול לקחת תוך דקות את כל הסיסמאות הקיימות במחשב ע”י מספר קבצים בודדים (SAM), ערכי Registry ומידע מתוך Browser ועוד.

ישנם בעיות נוספות לחשבונות בעלי הרשאות אך אלה הם רק הבעיות הנפוצות ולבעיות אלה ישנם מספר תהליכים וטכנולוגיות שנותנות מענה ומורידות את הסיכון מול מתקפות.

תהליך הקשחת חשבונות בעלי הרשאות

הקשחת גישה לבעלי הרשאות בנויה על סמך מספר מאפיינים:

  • רבדים הבנויים על סמך מספר פעולות
  • טכניקות שונות בהקשחת התהליך
  • זמן ביצוע שעלול לארוך חודשים

יישום תהליך הקשחת חשבונות בעלי הרשאות נחלק לשלושה שלבים:

  • מזעור טכניקות התקפה נפוצות – בשלב שאורך עד חודש אנו מבצעים מיפוי של המערכות ובעלי הרשאות וכן ממזערים את סוגי הטכניקות הנפוצות של התוקפים.
  • שליטה מול כלל המערכות – בשלב שאורך עד שלושה חודשים אנו מוודאים שיש לנו פוליסי מול כל המערכות בארגון ומוודאים יישום המדיניות על סמך המיפוי של המערכות
  • הגנה פרואקטיבית והמשך יישום – בשלב שאורך עד שישה חודשים ולעיתים יותר ולאחר שכל המערכות בארגון נמצאות עם פוליסי, הגדרות ויישום של מדיניות אנו ממשיכים לבצע מיפוי, דגימות ובדיקות פרואקטיביות מול אותם חשבונות בעלי הרשאות בארגון.

Feb-24-02

מזעור טכניקות התקפה נפוצות (שלב 1)

בשלב ראשון אנו ממזערים את המתפקות הידועות בארגון ומתמקדים בעיקר במניעת גניבת זהויות בתוך הארגון ע”י מספר שלבים:

  • הפרדת חשבון משתמש לניהול וביצוע משימות
  • תעדוף גישה לתחנות קצה עם משתמשי אדמין
  • יישום מדיניות סיסמאות למשתמשי אדמין מקומיים

הפרדת חשבון משתמש לניהול וביצוע משימות (מונע התקפות Phishing)

הפרדת חשבון משתמש לניהול וביצוע משימות נחלקת למספר מאפיינים:

  • חשבון מקומי עם הרשאות מקומיות שמבצע פעולות ומשימות מתוזמנות
  • חשבון Active Directory עם הרשאות מקומיות שמבצע פעולות ומשימות מתוזמנות
  • חשבון Active Directory עם הרשאות רוחביות (Active Directory) שמבצע פעולות ומשימות מתוזמנות

בכדי להפריד חשבון משתמש בעל הרשאות מתוך תהליכים נבצע הפרדה ע”י יצירת חשבון משתמש ייעודי להרצת המשימות הספציפיות בלבד.
הפעולה יכולה להיעשות בצורה הפשוטה או ע”י תהליך Privileged Access Workstations.

יישום Privileged Access Workstations

ביישום Privileged Access Workstations אנו עולים שלב בהפרדה של משתמשים בעלי הרשאות, תחנות קצה אשר מריצים את כל אותם משימות מתזמנות או צריכים גישה ספציפית.

ביישום PAW אנו מתמקדים בכל האובייקטים שנמצאים בתהליך:

  • משתמש בעל הרשאות
  • תחנת קצה ייעודית
  • תהליכים ומשימות
  • גישה למשאבים

PAW מחולק לפי מספר שכבות שבכל אחד מהם מוגדר מראש מהם ההרשאות שניתנות, מול איזה תחנה קצה עובדים וכו’, לחלופין ניתן לבנות שכבות מוגדרות מראש בהתאם לדרישה הארגונית אך עדיין על סמך התהליך של PAW.

לסיכום

חשבונות בעלי הרשאות בארגון הם חשבונות קריטיים לארגון ולכן אנו צריכים לוודא שחבונות אלה מוקשחים ונמצאים תחת פוליסי ארגוני ומנוטרים עם מערכות שבודקות את התנהגות האובייקטים ברשץ ויודעות לזהות התנהגות לא נורמלית.

היישום של חשבונות חשובים בנויים מכמה רובדים של אבטחת חשבונות בעלי הרשאות, יישום של מערכת שבודקת התנהגות של הרשת הארגונית כדוגמת: תשתיות מבוססות UBA + Deception כדוגמת Azure ATP וכן ADProtect.
החשבונות שמומלץ להקשיח בארגון ולעקוב אחריהם הם חשבונות בעלי הרשאות, החל מחשבונות בעלי גישה נמוכה ועד חשבונות עם גישה מלאה.

Tags:

You may also like...

1 Response

  1. ניהול זהויות ותרחיש Break Glass – הבלוג של אלי שלמה
    27/11/2018

    […] תהליך הקמת ותחזוק Privileged Access Management אינו תהליך פשוט, ישנם נהלים רבים ומערכות שיודעות לבצע ולסייע בתהליך מסוג זה, למשל תהליך PAM מול Active Directory מקומי, או תהליך PAM בשירות Office365 או לחלופין עבודה עם מוצר ייעודי כדוגמת CyberArk שהוא המוביל בתחום ומנהל זאת בצורה מצוינת. מידע נוסף לגבי חשבונות עלי הרשאות […]

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *