تخطي إلى المحتوى
جرب الأمان السحابي من RSA مجانًا

ابدأ الإصدار التجريبي الخاص بك لID Plus الآن.

ابدأ الآن
مكاتب المساعدة في دائرة الضوء

إحدى أكثر قواعد الأمن السيبراني إحباطاً هي أنه بغض النظر عن الاستثمارات التي تقوم بها المؤسسات في تقنياتها أو مدى تطور بنيتها، عادةً ما يكون اختراق شخص أو عملية أسهل من اختراق تقنية ما. إن المصادقة متعددة العوامل (MFA) فعالة جداً لدرجة أن المهاجمين لا يكلفون أنفسهم عناء مهاجمتها مباشرةً: بدلاً من ذلك، فإنهم يجدون طرقاً التهرب من وزارة الخارجية واستهداف طبقات الأعمال الأخرى أو المستخدمين الآخرين للحصول على موطئ قدم في بيئة ما.

عند التهرب من MFA، يستخدم مجرمو الإنترنت رسائل البريد الإلكتروني الاحتيالية والرسائل النصية والإشعارات التي يُفترض أنها من "حساب بريد إلكتروني لمكتب المساعدة" لاستهداف المستخدمين في القصف الفوري و إرهاق وزارة الخارجية الهجمات. ولكن ماذا يحدث عندما يطور القراصنة تكتيكاتهم ويذهبون إلى مكتب المساعدة نفسه؟

إنه ليس مجرد سؤال نظري. أفادت التقارير أن شركة سيزارز للترفيه دفعت $15 مليون بعد أن تمكنت مجموعة جرائم إلكترونية "من اختراق أنظمتها وتعطيلها." المنظمة تم الإبلاغ عن أن الاختراق بدأ جزئيًا عندما "بدأ هجوم هندسة اجتماعية على بائع دعم تكنولوجيا المعلومات الخارجي". العام الماضي LAPSUS$ اتصل بمكتب المساعدة الخاص بالمؤسسة وحاول إقناع موظفي الدعم بإعادة تعيين بيانات اعتماد حساب مميز.

يوضح الهجوم على شركة سيزارز للترفيه سبب حاجة المؤسسات إلى تقوية مكاتب المساعدة الخاصة بها. لكن الحديث سهل - يتطلب تطوير العمليات الأمنية أولاً دعم القيادة والاستثمار التقني والموظفين والتدريب وغير ذلك. والأهم من ذلك، في حين أن بعض الهجمات الأخيرة استهدفت مكاتب المساعدة على وجه التحديد، إلا أن الأمر لا يعني أن مكاتب المساعدة معرضة بشكل خاص للهجمات أو أنها غير آمنة أو عالية الخطورة. بل على العكس تمامًا: تحتاج المؤسسات إلى تطبيق مبادئ الأمن أولًا على كل العملية التجارية. إنها كل شيء في خطر

ومع ذلك, العنكبوت المبعثر و ALPHV / BlackCat وضعت مكاتب المساعدة في دائرة الضوء مؤخرًا. لذلك دعونا نستعرض بعض أفضل الممارسات التي يمكن لفرق الأمن ومكاتب المساعدة اتباعها والأسئلة التي يجب أن تطرحها لتطوير مكتب مساعدة خالٍ من الثقة.

لماذا يهاجم المخترقون مكاتب مساعدة تكنولوجيا المعلومات

تعد مكاتب المساعدة (أو مكاتب الخدمة) جزءًا قياسيًا من مشهد تكنولوجيا المعلومات في معظم الشركات. وهي تخدم مجموعة متنوعة من الوظائف، لكنها في كثير من الأحيان تكون نقطة الاتصال الأولى لشخص لا يستطيع تسجيل الدخول إلى جهاز الكمبيوتر الخاص به أو يواجه مشكلة في الوصول إلى الموارد. لحل هذه المشكلات، قد يكون مكتب المساعدة قادرًا على تنفيذ بعض الإجراءات عالية الخطورة، بما في ذلك:

  • إعادة تعيين كلمات المرور
  • إزالة MFA للمستخدمين المقفلين
  • إنشاء حساب جديد

 

هذه هي البداية فقط: قد يكون موظفو مكتب المساعدة نقطة الدخول لتنفيذ بعض الإجراءات الأكثر خطورة، مثل إنشاء حسابات إدارية أو إزالة المصادقة المصدقية المتعددة بشكل مؤقت بالكامل للمساعدة في التعامل مع مشكلة على مستوى النظام. حتى لو لم يتمكن موظفو مكتب المساعدة من اتخاذ هذه الإجراءات بشكل مباشر، فقد يتمكنون من فتح تذاكر لمجموعات أخرى يمكنها ذلك.

إن هذه الإجراءات هي التي يمكن أن تجعل مكتب المساعدة هدفًا جذابًا للمهاجمين: يمكن لمكتب المساعدة تعليق سياسات الأمان أو التحايل عليها. علاوة على ذلك، نظرًا لأن المؤسسات تريد أن يظل مستخدموها وعملاؤها على اتصال وإنتاجية وسعادة، سيكون من السهل على الجهات الفاعلة في مجال التهديد العثور على معلومات الاتصال بمكتب المساعدة.

والخبر السار هو أنه على الرغم من أن مكتب المساعدة يمكن أن يمثل مخاطر كبيرة، إلا أن فرق الأمن يمكنها تقليل هذه المخاطر من خلال إعطاء الأولوية للهوية وتوثيق العمليات والأتمتة وتطوير الدفاع في العمق.

استخدم حوكمة الهوية لفهم ما يمكن لمكتب المساعدة الخاص بك الوصول إليه - وما يمكنهم فعله

ابدأ بالتعرف على مكتب المساعدة الخاص بك: من يعمل به؟ ماذا يفعلون عادةً؟ ماذا يفعلون؟ يمكن يفعلونه؟ ما الذي يمكنهم الوصول إليه، ولماذا يحتاجون إلى هذا الوصول؟

يجب أن تسأل كل مؤسسة عن مدى وصول مكتب المساعدة الخاص بها إلى بيئتها. ستحتاج فرق الأمن إلى مراجعة هذه الإجابة بانتظام مقابل مفهوم الامتيازات الأقل. وللاقتراب من انعدام الثقة، يجب أن يكون لمكتب المساعدة إمكانية الوصول إلى الوظائف التي يحتاجون إليها للقيام بوظائفهم فقط عندما يحتاجون إليها. الوصول الإداري واسع النطاق لموظفي مكتب المساعدة هو أمر مرفوض.

يعتبر كتالوج الخدمات الخاص بمكتب المساعدة حَكَمًا جيدًا في هذا الأمر: يجب أن يكون لموظفي الدعم الصلاحية المطلوبة لتنفيذ تلك الخدمات وتلك الخدمات فقط. يجب على فريق الأمن مراجعة ما إذا كان موظفو مكتب المساعدة لديهم استحقاقات أكثر مما يحتاجون إليه، خاصة بالنسبة للإجراءات التي يمكن أن تعدل إعدادات أمان هوية المستخدم - وإذا كان لديهم ذلك، تأكد من وجود ضوابط مناسبة حول تلك الاستحقاقات.

لا تفترض-وثق

بمجرد أن يكون لديك فكرة عما يفعله مكتب المساعدة عادةً وما يمكن أن يفعلوه، اطلب الاطلاع على دفاتر التشغيل ووثائق العمليات الخاصة بهم. إذا لم يكن لديهم أي منها، فقد حان الوقت لكتابة بعضها، ومراجعتها للتحقق من الممارسات الأمنية الجيدة، بما في ذلك التحقق من الهوية.

أثناء قيامك بذلك، يجب أن تؤكد فرق الأمان أيضًا على أن إجراءات الهوية ذات المخاطر العالية يجب أن تتبع عمليات إدارة التغيير القياسية: يجب أن تتبع إجراءات مثل إضافة اتحاد جديد أو مستأجر جديد إلى الدليل عمليات أكثر صرامة. إذا حاول شخص ما بدء تلك الإجراءات عالية الخطورة خارج العملية العادية، فيجب أن يكتشف نظام الأمان لديك المحاولة وينبه الأمان ويحظرها.

ولا تتوقف مع فريق مكتب المساعدة. في حين أن مكاتب المساعدة يمكن أن يكون لديها الكثير من الحرية لمساعدة المستخدمين، إلا أنها تحتاج في بعض الأحيان إلى الاستعانة بمجموعة أخرى لإكمال المهام المعقدة أو الخطرة. إذا كان لديك أكثر من مجموعة تعمل معًا، فتأكد من أن كل فريق يعرف ما هي المهام التي تتطلب أكثر من وظيفة، ومن الذي يتحقق من الطلب، وكيفية توثيقه.

سيستغل مجرمو الإنترنت أي افتراضات تقوم بها حول الفريق المسؤول عن أي إجراء. إذا قال أحد كبار الشخصيات المهمة إنه تم تعيين مدير جديد يحتاج إلى طلبات إدارية على الفور، فكيف يتلقى مكتب المساعدة هذا الطلب ويتحقق منه وينسق مع الفرق الأخرى؟ تحتاج إلى التحقق من جميع الافتراضات للتأكد من أن الطلب قادم من داخل مؤسستك - وأنك لا تساعد الأشرار.

من الأعلى إلى الأسفل ومن الأسفل إلى الأعلى: موافقة القيادة والأتمتة

يحتاج موظفو مكتب المساعدة إلى أن يسمعوا من قيادتهم وفرق الأمن الخاصة بهم أنهم بحاجة إلى اتباع العمليات المعمول بها، وطلب التوثيق، والتحقق من المستخدمين-خاصة للطلبات الاستثنائية - للحفاظ على ممارسة آمنة

يجب أن يعرف مكتب المساعدة الخاص بك أن فرق الأمن والقيادة تدعمه. إنه ليس مجرد تغيير تقني أو تشغيلي، بل هو قيمة ثقافية يجب على القيادة أن تغرسها في جميع أنحاء المؤسسة. لأنه من المحتمل أن تأتي الطلبات عالية الخطورة من القادة الداخليين أو الشخصيات المهمة الخارجية أو الجهات الفاعلة في مجال التهديد التي قد تتصل بفريق دعم العملاء لديك بطلب "عاجل" لحل مشكلة أو الحصول على بعض الصلاحيات.

في هذه المواقف، لا يمكن لموظف مكتب المساعدة أن يقول "لا" دائمًا. وبدلاً من ذلك، قم بتطوير التكنولوجيا والعملية والثقافة التي تسمح لهم بقول "لا": "نعم، وإليك ما أريدك أن تفعله لإنجاز ذلك." إن وجود هذه الخطوات المكتوبة مسبقاً - ومعرفة أن القيادة وفريق الأمن سيقفان إلى جانب مكتب المساعدة عندما تكون هناك حاجة إلى خطوات إضافية - قد يحدث فرقاً في منع حدوث اختراق.

ومع ذلك، فهي ليست مجرد عملية من الأعلى إلى الأسفل: يجب على المؤسسات استخدام الأتمتة عندما يكون من المنطقي الحد من تعرضك للعمليات اليدوية أو ضغط كبار الشخصيات. لن تكون الأتمتة حلاً سحرياً: قد لا يزال مكتب المساعدة لديك بحاجة إلى الرد على المكالمات التي تطلب استثناءات وإما أن تحيل المتصلين إلى الأتمتة أو أن يكون لديك إجراء تصعيد يتطلب موافقات موثوقة.

بناء دفاع متعمق للتحقق من الهوية

لنفترض أنك اتخذت جميع الخطوات المذكورة أعلاه: لقد اجتمعت مع مكاتب المساعدة لديك، وفهمت ما يمكنهم القيام به، وقمت بفهرسة الإجراءات ذات المخاطر العالية لإعطائها الأولوية، وأنشأت وثائق، ويوضح فريق القيادة لديك بشكل روتيني أن مؤسستك ستخطئ دائمًا في جانب الأمن، حتى لو كان ذلك يعني إزعاج المستخدم.

السؤال التالي الذي تحتاج إلى الإجابة عنه هو كيف سيتحقق مكتب المساعدة أو فريق دعم العملاء من الهوية؟ إن التحقق من هوية المستخدم أمر بالغ الأهمية، لأنه على الرغم من أن التحقق من هوية المستخدم قد يكون مصممًا أو موثقًا بشكل جيد كما هو الحال في أمان الدعم الخاص بك، إلا أنه غير فعال إذا عمل شخص ما في فريقك على تلبية طلب لا يحق للمستخدم الحصول عليه.

في الآونة الأخيرة، تم ترشيح التحقق البصري كأحد طرق معالجة مخاوف التصيد الاحتيالي. يمكن للمؤسسات مراجعة NIST 800.63A لمعرفة ما إذا كانت الإمكانيات اللازمة للتحقق من القوة "المتفوقة" منطقية بالنسبة لوضعهم. نظرًا للمتطلبات التقنية اللازمة للوصول إلى التحقق المرئي المستقل والتدريب الذي يحتاجه مكتب المساعدة لتنفيذ هذه الآلية، يجب أن يتم ذلك بحذر. قد يظل التحقق المرئي عرضة للتزييف العميق، الذي أصبح من السهل تحقيقه، إذا كنا نتحدث عن مكتب مساعدة عن بُعد لا يعرف الشخص الذي يقدم الطلب. بسبب هذه التحديات، أشك في أن التحقق المرئي سيتم تنفيذه بفعالية في معظم الحالات.

وبدلاً من ذلك، يمكن للمؤسسات استخدام نهج الدفاع التقليدي في العمق و MFA للتحقق من هوية الشخص الذي يدعي أنه هو. قد تبدأ طريقة الطلب والتحقق المُعدّة بشكل جيد مع ناقل ثقة أولي واحد - مثل بريد إلكتروني محدد أو تسجيل الدخول إلى بوابة دعم - ولكن يجب أن تدمج أيضاً عوامل إضافية مثل جهة اتصال خارج النطاق باستخدام نظام ثانٍ موثوق به. يمكن أن تتضمن طرق استخدام جهة اتصال خارج النطاق ما يلي:

  • موافقة المدير: تحقق بشكل منهجي من موافقة المدير على طلب الوصول في نظام التذاكر الخاص بك.
  • اتصل بالمدير (بالنسبة للموظف) أو جهة الاتصال الموجودة في الملف (العميل) للتحقق مما إذا كان الطلب صالحاً أم لا. سيكون لدى المدير بشكل عام طريقة خارج النطاق للاتصال بموظفيه.
  • قم بإجراء مكالمة جماعية تبدأ بموظف مكتب الخدمة والمستخدم الذي يقدم الطلب. ثم اطلب من شخص ثالث الانضمام إلى المكالمة - مثل المدير أو أحد أعضاء الفريق - للتحقق من المستخدم وطلبه بصرياً.
  • لتسريع الموافقة، يمكنك أيضًا استبدال زميل أو مساعد تم سحبه من دليل الشركة للتحقق من الطلب.

يمكن لأي نظام تحقق أن يكون معطوباً، لكن الجمع بين بعض العناصر غير المترابطة للتحقق من الهوية قبل خدمة طلب عالي الخطورة يمكن أن يساعد في ضمان تحصين مكتب المساعدة لديك ضد معظم محاولات التصيد الاحتيالي. في الأمثلة المعطاة، ضع في اعتبارك مدى قرب أو بعد العناصر في المشهد التقني - على سبيل المثال، إذا كنت متجر Microsoft تستخدم Active Directory و M365 للبريد الإلكتروني و Teams، فقد لا ترغب في الجمع بين تلك العناصر المتشابكة إذا كنت تريد أقوى نهج MFA.

هناك طريقة أخرى لتقوية مكتب المساعدة والعمليات التجارية الأخرى ضد هجمات الهندسة الاجتماعية مثل هذه، وهي من خلال إثبات الهوية. سيكون لدينا المزيد حول إثبات الهوية قريباً - راقب هذه المساحة.

قد تكون مهتمًا أيضًا ب...

طلب عرض توضيحي

احصل على عرض توضيحي