يصادف الأسبوع المقبل الذكرى السنوية الأولى للكشف عن أول عملية اختراق لـ SolarWinds. في 13 ديسمبر 2020، كشفت شركة فاير آي لأول مرة عن صنبورست, "حملة تطفل عالمية" أثرت في نهاية المطاف على أكثر من 18,000 منظمة, بما في ذلك وزارات التجارة والأمن الداخلي والخزانة الأمريكية، بالإضافة إلى مايكروسوفت وديلويت والعديد من الشركات الخاصة الأخرى. قد يكون القراصنة قد تمكنوا من الوصول إلى ما يصل إلى 14 شهرًا.
أدى اختراق SolarWinds إلى تغييرات كبيرة في السياسات، ومن المحتمل أن يكون على اطلاع الأمر التنفيذي الذي أصدره الرئيس بايدن لجميع أنظمة المعلومات الفيدرالية لتحسين الأمن السيبراني.
ولكن بعد مرور عام، قال نائب رئيس شركة Gartner للمخاطر الأمنية والخصوصية بيتر فيرستبروك يقول إن معظم الشركات لم تستوعب إحدى النتائج الرئيسية المستخلصة من الهجوم: "البنية التحتية للهوية نفسها هي الهدف الرئيسي للقراصنة"، بحسب كايل ألسباتش من موقع VentureBeat.
وقد استعرض فيرستبروك هذه الدروس في قمة جارتنر للأمن وإدارة المخاطر الشهر الماضي، مشيرًا إلى أن "الآثار الأمنية للهجوم على الهوية يجب أن تكون في مقدمة اهتمامات الشركات".
بعد مرور ما يقرب من عام على انتشار أخبار SUNBURST لأول مرة، حان الوقت الآن لإعادة النظر في بعض الدروس الرئيسية التي تعلمناها منذ اختراق سولار ويندز - ولماذا يجب على القادة إعطاء الأولوية للهوية لمنع حدوث شيء مماثل مرة أخرى.
وفي تلخيصه لحملة SolarWinds، قال فيرستبروك إن المهاجمين "ركزوا في المقام الأول على مهاجمة البنية التحتية للهوية".
قال فيرستبروك مخاطبًا قادة الأعمال: "لقد أنفقت الكثير من الأموال على الهوية، ولكن الأمر يتعلق في الغالب بكيفية السماح للأشخاص الجيدين بالدخول. عليك حقاً إنفاق بعض الأموال على فهم متى يتم اختراق البنية التحتية للهوية، والحفاظ على تلك البنية التحتية."
قال Firstbrook إن أنظمة إدارة الهوية والوصول (IAM) الخاصة بشركة SolarWinds كانت "فرصة غنية للمهاجمين". لقد تهرب المخترقون من المصادقة متعددة العوامل من خلال سرقة ملف تعريف ارتباط ويب قديم؛ وسرقوا كلمات المرور باستخدام كيربرواستينغ, استخدمت شهادات SAML "لتمكين مصادقة الهوية بواسطة الخدمات السحابية"؛ وأنشأت حسابات جديدة على الدليل النشط.
أعطى المهاجمون الأولوية للهوية لأنها تمنحهم كل ما يحتاجون إليه: الوصول، والقدرة على التهرب من المصادقة والقدرة على الانتقال إلى ما بعد الاختراق الأولي. وقال فيرستبروك: "الهويات هي النسيج الضام الذي يستخدمه المهاجمون للتحرك أفقياً والقفز من مجال إلى آخر".
هجمات سلسلة التوريد مثل اختراق SolarWinds "التلاعب بالمنتجات أو آليات توصيل المنتجات" لإصابة الأهداف في نهاية المطاف. وكشكل غير مباشر من أشكال الهجوم، يستخدمون شركاء غير متعمدين - مما يجعل من الصعب اكتشافهم في نهاية المطاف.
وعندما سُئل عن كيفية منع حدوث هذه الهجمات، أجاب فيرستبروك بأن "الحقيقة هي أنه لا يمكنك ذلك".
يشرح ألسباخ بالتفصيل تشاؤم فيرستبروك، مشيرًا إلى أن "إدارة الهوية الرقمية صعبة للغاية بالنسبة للمؤسسات، حيث يعاني الكثير منها من امتداد الهوية - بما في ذلك الهويات البشرية والآلية وهويات التطبيقات (كما هو الحال في أتمتة العمليات الروبوتية)."
وتمتد المشكلة إلى بائعي الشركات: فاليوم، حتى الشركات متوسطة الحجم تنشر المئات من تطبيقات SaaS.
فبدلاً من محاولة منع هجمات سلسلة التوريد (أو أي استغلال آخر محدد)، نصح فيرستبروك الشركات بالاستعداد للتهديدات من خلال تحويل تركيزها. "أنت تريد أن تراقب البنية التحتية للهوية الخاصة بك بحثًا عن تقنيات الهجوم المعروفة - والبدء في التفكير أكثر في البنية التحتية للهوية الخاصة بك على أنها محيطك."
فيرستبروك على الفور. اليوم، يجب أن تستوعب الشركات عدداً لا يحصى من البائعين والموظفين الذين يعملون من المنزل والمستخدمين الخارجيين والأطراف الثالثة الأخرى التي تصل إلى نظامها البيئي. مع توسع المستخدمين وحالات الاستخدام بشكل كبير، فإن الهوية هي الشيء الوحيد الذي يجب أن تكون المؤسسات قادرة على التحكم فيه في جميع الحالات. سواء كان الأمر يتعلق ببرمجيات الفدية الخبيثة أو هجمات سلسلة التوريد أو البدعة التالية في الجرائم الإلكترونية، فقد أصبحت الهوية هي المحيط الجديد.
أفضل الممارسات لأمن الهوية في مرحلة ما بعد الرياح الشمسية:
- البناء نحو انعدام الثقة: انعدام الثقة هي طريقة جديدة للتفكير في الأمن السيبراني تقضي على أي ثقة ضمنية. فهي تتعامل مع كل مستخدم، وجهاز، وطلب، وتطبيق على أنه تهديد محتمل وتتحقق باستمرار من كل استحقاق للوصول والأذونات. إنها ليست منتجاً أو بائعاً، بل هي طريقة للتفكير في موقف الأمن السيبراني الخاص بك - والطريقة الوحيدة للبدء في البناء نحو انعدام الثقة هي البدء بالهوية. يجب أن تبدأ الشركات بمعرفة من هم مستخدموها، وكيف ستقوم بالمصادقة عليهم وما الذي يحتاجون إلى الوصول إليه. إن وجود هذا الأساس يسمح للشركات بإنشاء أمن الهوية أولاً.
- المصادقة من كل منصة، إلى كل منصة: في هذه المرحلة، يجب أن تكون المصادقة متعددة العوامل (MFA) شرطًا لكل مؤسسة. كان غياب المصادقة متعددة العوامل عنصرا رئيسيا في هجوم فيروس الفدية الخبيث من كولونيال بايبلاين وهو جزء أساسي من أمر الرئيس بايدن بالأمن السيبراني. ولكن وزارة الخارجية يجب أن تعمل كيفما كان المستخدمون لديك - بدءًا من نظامي ويندوز وماك أو ماك أو مفاتيح FIDO ورموز المرور لمرة واحدة - وحتى عندما يكون المستخدمون غير متصلين بالإنترنت.
- جميع كلمات المرور معيبة: ركزت بعض التقارير الأولى عن اختراق SolarWinds على كلمة مرور محددة: "solarwinds123". حتى أن المشرعين انتقدوا شركة سولارويندز بسبب كلمة المرور البسيطة؛ ثم تبين لاحقًا أن كلمة المرور كانت لموقع FTP ولا علاقة لها بالاختراق. لكن التركيز علىرياح شمسية123" يغفل النقطة الأوسع نطاقًا، وهي أن جميع كلمات المرور سهلة الاختراق بالنسبة لمجرمي الإنترنت وصعبة التذكر بالنسبة للمستخدمين. فهي غير آمنة ومكلفة وتخلق احتكاكاً للمستخدمين الشرعيين. بالنسبة للشركات، لا ينبغي أن يكون الحل هو وضع كلمات مرور أكثر تعقيداً. بدلاً من ذلك، يجب على الشركات إلغاء كلمات المرور تماماً و إنشاء بيئات خالية من كلمات المرور حيث لا يتعين على المستخدمين التفكير في كلمات المرور أو إدخالها أو إدارتها.
- معرفة من لديه حق الوصول إلى ماذا: إذا كانت المصادقة تقرر من يحصل على حق الوصول داخل الشبكة، فإن حوكمة الهوية وإدارتها (IGA) تتحكم فيما يمكن للمستخدم القيام به بهذا الوصول: تسمح حوكمة وإدارة الهوية للشركات بتعيين استحقاقات الوصول إلى الموارد الصحيحة وللموارد الصحيحة. إنها طريقة لمنع المستخدمين - أو الجهات الفاعلة السيئة - من التحرك بشكل جانبي أو خارج الدور المحدد مسبقًا (ألقت SolarWinds اللوم في البداية على أحد المتدربين على "Solarwinds123" - كان من شأن برنامج حوكمة الهوية أن يكشف ما يمكن أن يصل إليه هذا المتدرب وما كان بإمكانه فعله في النهاية بهذا الوصول). إن أفضل الحلول سيتحكم في "امتداد الهوية" من خلال أتمتة شهادات الوصول وتحديد أولويات الحالات الشاذة وانتهاكات السياسة.
بعد مرور عام، لا تزال الشركات تحاول فهم "أحد أكبر اختراقات الأمن السيبراني في القرن الحادي والعشرين". ويرجع ذلك في جزء كبير منه إلى أن العديد من الاتجاهات التي ساهمت في البداية في اختراق SolarWinds - بما في ذلك امتداد الهوية، والاعتماد المتزايد على الموارد السحابية، والتكوينات الدائمة عن بُعد والهجينة وزيادة الاعتماد المتبادل بين المستخدمين والموارد والأجهزة - قد تسارعت منذ 13 ديسمبر 2020.
إلى أين نذهب من هنا؟ إن السبيل الوحيد للمضي قدماً هو الاعتراف (أو الاعتراف) بمدى التعقيد الذي أصبحت عليه بيئاتنا التشغيلية وإعطاء الأولوية للدفاع عن السمات التي تتكرر عبر كل منها. علينا أن نجعل الهوية محيطنا الجديد - وأن نضع الهوية أولاً.
