في 15 مارس 2022، أصدرت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) في الولايات المتحدة تنبيه تفاصيل هجوم إلكتروني روسي على منظمة غير حكومية. ربطت جهة التهديد كلمات المرور الضعيفة معًا، وحساب مستخدم غير نشط، والإعدادات الافتراضية التي فضلت الراحة على الأمان، وثغرة سابقة في نظام ويندوز. وقد مكّنهم ذلك من "الوصول إلى الحسابات السحابية وحسابات البريد الإلكتروني لاستخراج المستندات".
في الجزء 1 من هذه السلسلة، استعرض إنغو شوبرت مهندس الهوية السحابية العالمية في RSA بعض أفضل الممارسات التي شاركتها RSA مع العملاء في أعقاب هذا الهجوم، وناقش الغرض من المصادقة متعددة العوامل (MFA)، وتسجيل المستخدمين في MFA، وكيفية تقليل استخدام كلمات المرور. في هذا الجزء الثاني من هذه السلسلة، يستعرض إنغو إعادة تعيين المصادقة وعمليات الأمان الفاشلة والسيناريوهات الأخرى التي يمكن أن تؤدي إلى حوادث أمنية.
لنفترض أنك أكملت التسجيل. علاوة على ذلك، لقد اتبعت أفضل ممارساتنا وأنشأت عمليات تسجيل تؤدي إلى سقف ثقة عالٍ، مما يسمح للمستخدمين بالمصادقة بدرجة عالية من الثقة طالما أنهم يستخدمون طريقة المصادقة هذه.
هل انتهى عملنا؟ على العكس تماماً. ماذا عن المستخدم الذي يفقد أداة المصادقة الخاصة به أو يضعها في غير مكانها؟ ماذا عن المستخدم الذي يحصل على هاتف ذكي جديد ويجب عليه إعادة تثبيت التطبيق؟
ستحدث هذه السيناريوهات، ويجب أن تكون مؤسستك مستعدة للتعامل معها بطريقة آمنة وسهلة الاستخدام.
هل يبدو ذلك مألوفاً؟ يجب أن يكون مألوفاً. من المحتمل أن تكون مؤسستك استبدل المصادقات بطريقة تشبه التسجيل الأولي. في كل مرحلة، يجب على المؤسسات التأكد من أنها لا تعرض نفسها للهجمات.
لا تقطع الثقة التي أنشأتها أثناء التسجيل عند استبدال المصادقة. تذكر: إن تسجيل أجهزة جديدة واستبدال الأجهزة المسجلة وإعادة تعيين المصادقة هي بعض اللحظات المفضلة لدى المخترقين في دورة حياة الهوية. فهي تنطوي على درجة أعلى من المعتاد من التغيير، ونتيجة لذلك، فإنها تمثل بعض الحالات الأكثر احتمالاً للمهاجمين للحصول على وصول غير مصرح به.
لا تدعهم. ابحث عن مصادقة متعددة العوامل (MFA) الذي يمكنه تأمين هذه اللحظات، ويوفر تكامل واجهة برمجة التطبيقات في إدارة الهوية والوصول (IAM) ودمج عمليات مكتب المساعدة في مكان واحد.
حتى لو فعلت كل شيء بشكل صحيح خلال مرحلة التسجيل، وإذا قمت بتأمين استبدال المصادقة والوصول في حالات الطوارئ، اسأل نفسك: ما فائدة كل ذلك إذا كنت لا تستخدم المصادقة المصدقة متعددة العوامل في كل مكان أو إذا كان بإمكان المهاجم ببساطة إيقاف تشغيلها وتجاوزها؟
حل السيناريو الأول سهل: استخدم MFA في كل مكان (على الأقل للمستخدمين المناسبين).
للقيام بذلك بنجاح، يجب أن يوفر حل MFA الخاص بك مجموعة متنوعة من الطرق والواجهات للسماح للمستخدمين بالمصادقة في أي وقت وكيفما كان التي يفضلونها. قد تحتاج أيضًا إلى التحقق من بعض التطبيقات القديمة ويمكنك توفير الواجهات الصحيحة والتأكد من قدرتها على استخدام طرق المصادقة الجديدة، مثل FIDO المستندة إلى كلمة المرور بدون كلمة مرور أو إذا كنت عالقًا مع RADIUS القديم الجيد.
لنفترض أنك قمت بتأمين جميع تطبيقاتك باستخدام MFA. ستحتاج أيضًا إلى التأكد من عدم قدرة المهاجم على إيقاف تشغيل المصادقة المصادقة المصغرة. في الآونة الأخيرة تنبيه CISA, استخدمت المنظمة غير الحكومية حل MFA الذي سمح للمستخدمين بتسجيل الدخول بدون MFA إذا لم يتمكن المستخدمون من الاتصال بالإنترنت. وقد استغل ممثل التهديد ذلك - فقد سمح لهم بإلغاء تفعيل المصادقة المصادقة متعددة الأطراف بشكل فعال بمجرد إيقاف الاتصال بالإنترنت.
وبالتالي، يجب أن يكون حل المصادقة المصادقة المصغّرة الخاص بمؤسستك آمنًا من الفشل و/أو أن يكون لديه وضع تجاوز الفشل دون اتصال بالإنترنت يضمن تطبيق المصادقة المصغّرة حتى إذا تعذر الوصول إلى الواجهة الخلفية للمصادقة المصغّرة (السحابة أو في مكان العمل).
أنا أفهم التفكير عندما يتعلق الأمر بالفشل المفتوح: للحفاظ على استمرار العمل، من الأفضل السماح بتسجيل الدخول بكلمة مرور فقط بدلاً من قفل الجميع.
وعلى الرغم من أن هذا الخيار قد يكون مفهوماً، إلا أنه يبني نقاط ضعف كبيرة في وضعك الأمني. النهج الأفضل - والأكثر أماناً - هو التأكد من أن المصادقة القوية تعمل حتى إذا كانت الواجهة الخلفية للمصادقة المصادقة الشخصية غير متوفرة. لا يهم ما إذا كانت الواجهة الخلفية للمصادقة المصادقة المصغرة (MFA) مستندة إلى السحابة أو في مكان العمل: يجب أن يوفر موفرو المصادقة حلولاً غير متصلة بالإنترنت تعمل في كلا الحالتين.
تأمين مصادقة MFA دون اتصال بالإنترنت هو أمر نواجهه بشكل متكرر. وعادةً ما ننصح الشركات بتوفير طرق مختلفة للمصادقة اعتماداً على ما إذا كان المستخدم متصلاً بالإنترنت أو غير متصل بالإنترنت. على سبيل المثال، إذا كان الكمبيوتر الدفتري متصلاً بالإنترنت، يتم تأمين تسجيل الدخول إلى Microsoft Windows باستخدام إشعارات الدفع أو القياسات الحيوية. إذا كان الكمبيوتر الدفتري غير متصل بالإنترنت كلمة مرور لمرة واحدة (OTP) يتم إنفاذها.
نظرًا لأن OTP ليس سهل الاستخدام، فقد ضحينا في هذا السيناريو ببعض الراحة من أجل مزيد من الأمان. يضمن القيام بذلك عدم وجود فشل في الفتح وعدم تمكن المهاجم من إيقاف تشغيل MFA.
السلوك الآمن من الفشل ليس مهماً فقط للكمبيوتر الشخصي الفردي الخاص بالمستخدم الذي يعمل بنظام ويندوز: يجب أن ينطبق أيضاً على جميع تطبيقاتك المحلية.
ماذا لو كانت خدمة MFA السحابية التي تستخدمها غير متصلة بالإنترنت؟ يمكن أن يحدث ذلك وسيحدث. ربما يكون لدى مزود خدمة MFA انقطاع، وربما يكون اتصالك بالإنترنت معطلاً. ربما تلاعب أحد المهاجمين بخدمة DNS لديك بطريقة تجعل خدمة MFA السحابية تبدو وكأنها غير متصلة بالإنترنت: بغض النظر عن الموقف، يمكن أن يساعد التخطيط لسلوك آمن/تعويض الفشل مؤسستك في الحفاظ على استمرارية العمل والأمان حتى عندما يتعذر على المستخدمين الاتصال بالإنترنت.
A إعداد MFA الهجين في مكان العمل/السحابة الهجينة عالية التوافرية سيوفر اليوم. عادةً ما ستتحدث تطبيقاتك إلى مكوّن MFA المحلي، والذي سيقوم بدوره بإعادة توجيه الطلبات إلى خدمة MFA السحابية. إذا أصبحت سحابة MFA غير متوفرة، فستظل جميع التطبيقات التي تتحدث إلى مكون تجاوز الفشل في خدمة MFA المحلية قادرة على مصادقة المستخدمين بقوة.
كما هو الحال مع سيناريو جهاز الكمبيوتر الشخصي الذي يعمل بنظام Windows، في حالة الاستخدام هذه، سيتم إجراء المصادقة دون اتصال بالإنترنت عبر OTP فقط لأن الإشعارات الفورية إلى الهواتف الذكية للمستخدمين لن تكون متاحة في حالة انقطاع الإنترنت. إذا كان هناك خيار لفرض OTPs في حالة انقطاع المصادقة السحابية لمرة واحدة في حالة انقطاع المصادقة السحابية MFA أو الافتراضي لفتح الفشل، فسأختار OTPs 10 من 10 مرات.
يعد تكوين MFA بشكل صحيح منذ البداية، والتفكير في التسجيل والتخلص من المصادقة المصادقة متعددة الأطراف (MFA) المفتوحة بشكل صحيح من أفضل الطرق للاستعداد لجميع هذه السيناريوهات.
هناك عنصر أساسي آخر هو تطوير ممارسة حوكمة تساعد فريق الأمان لديك على الاطلاع على الهويات طوال دورات حياتها.
حوكمة SecurID ودورة حياتها يضمن تحديث حسابات المستخدمين واستحقاقاتهم. ونظراً لأن قرارات التفويض - بما في ذلك عمليات تسجيل المصادقة المصغرة - ستستند إلى بيانات الهوية، فمن المهم أن تكون هذه البيانات موثوقة.
الشيء الذي لم أتطرق إليه هو تسجيل الثقة في الهوية: يمكن لـ SecurID تقييم الثقة في معاملة MFA الحالية للمستخدم بناءً على سياقه الحالي وسلوكه السابق. تقييم الثقة في الهوية هو شيء نقوم به الآن منذ ما يقرب من عقدين من الزمن. إنه يدخل في محرك مخاطر SecurID و التحليل القائم على المخاطر.
يدعم SecurID جميع هذه الممارسات الفضلى: بدءاً من تأمين التسجيل الأولي إلى إعادة تعيين المصادقات إلى نشر المصادقة المختلطة إلى إدارة حوكمة الهوية، لقد استندنا إلى عقود من الخبرة في تصميم حلول ذكية وبسيطة وآمنة.
سواء كنت متصلاً بالإنترنت أو غير متصل بالإنترنت، سواء كنت متصلاً بالإنترنت أو غير متصل بالإنترنت، سواء كنت متصلاً بالإنترنت أو غير متصل بالإنترنت، سواء كنت متصلاً بالإنترنت أو متصلاً بالسحابة. دعنا نوضح لك كيف.
