إذا كان عام 2022 قد علّم الأمن السيبراني أي شيء، فهو أن المصادقة متعددة العوامل (MFA) يجب أن تكون خط الدفاع الأول في تأمين المؤسسة - لا يمكن أن تكون الأخير خط الدفاع.
في العام الماضي، شهدنا هجمات كبيرة تصدرت العناوين الرئيسية ونجحت في التهرب من MFA. حيث اخترقت مجموعة ترعاها دولة ما المنظمات غير الحكومية في مارس 2022. ثم اخترقت LAPSUS$ مزود التكنولوجيا قبل الانتقال بعد ذلك إلى أوبر, من بين العديد من هجمات رفيعة المستوى العام الماضي
كانت بعض هذه الهجمات متطورة. وبعضها لم يكن كذلك. لكنها جميعاً تقدم دروساً مهمة حول كيفية ولماذا يجب أن يحمي الأمن السيبراني دورة حياة الهوية بأكملها.
سأتناول بالتفصيل الخطوات التي تم اتخاذها في هجمات MFA هذه والدروس الرئيسية التي يجب أن تتعلمها المؤسسات منها في مؤتمر RSA غداً، 25 أبريل، الساعة 9:40 صباحاً بتوقيت المحيط الهادئ.
أحد الاختراقات التي لن أناقشها هو سولارويندز الاختراق. وعلى الرغم من أنه لن يكون في عرضي التقديمي، إلا أن هجوم SolarWinds يُظهر نفس الحاجة إلى الدفاع عن دورة حياة الهوية بأكملها. في تلك الحالة، استخدمت الجهات الفاعلة في مجال التهديد شركة SolarWinds لشن هجوم على سلسلة التوريد والوصول إلى الوكالات الفيدرالية وشركات الأمن السيبراني وحتى شركة مايكروسوفت لعدة أشهر.
أظهر اختراق SolarWinds أنه إذا لم تضع المؤسسة أمن هويتها على رأس أولوياتها، فإن الجهات الفاعلة في مجال التهديد ستفعل ذلك. في تشريح ما بعد الوفاة للهجوم، وجد الباحثون أن المهاجمين تجاوزوا المصادقة الأمنية التلقائية باستخدام تقنية ملفات تعريف الارتباط على الويب القديمة التي تم تصنيفها بشكل خاطئ على أنها مصادقة أمنية تلقائية.
ولكن لم تكن هذه هي الثغرة الوحيدة التي استغلها المهاجمون: فقد سرقوا أيضًا كلمات المرور، واستخدموا شهادات SAML "لتمكين مصادقة الهوية عن طريق الخدمات السحابية"، وأنشأوا "حسابات جديدة على خادم Active Directory". كل خطوة أعطت المهاجمين مزيدًا من التحكم وأساليب للتحرك أفقياً عبر شبكة SolarWinds Orion - ومن ثم إلى عملائها.
لم تكن هناك هوية واحدة ذات أولوية لدى القراصنة. وبدلاً من ذلك، "ركزوا في المقام الأول على مهاجمة البنية التحتية للهوية [التوكيد مضاف]،" لأن "[i] الأسنان هي النسيج الضام الذي يستخدمه المهاجمون للتحرك أفقياً."
لقد أوضحت شركة SolarWinds - وهجمات المصادقة الآلية الناجحة لعام 2022 - لماذا يجب على المؤسسات أن تفهم أن "البنية التحتية للهوية هي الهدف".
لا تفهمني بشكل خاطئ: لا يزال MFA هو أفضل خط دفاع أول. فهو يحمي من هجمات كلمات المرور الأكثر شيوعاً، بما في ذلك أساليب الهندسة الاجتماعية مثل التصيد الاحتيالي وحشو بيانات الاعتماد، وهجمات التنصت، وهجمات القوة الغاشمة، وغيرها.
لكن المصادقة المصادقة المصطنعة وحدها لا تكفي لمنع المخاطر أو الاستجابة للتهديدات. يجب أن تعمل المصادقة المصغّرة بالتنسيق مع القدرات الإضافية عبر دورة حياة الهوية للحفاظ على أمان المؤسسات.
إن خط أنابيب كولونيال يوضح هجوم برامج الفدية الخبيثة كيف تهاجم الجهات الفاعلة في مجال التهديد الثغرات في البنية التحتية لهوية المؤسسة و الدور الحيوي الذي لا يزال يلعبه MFA: اخترقت شركة DarkSide أنظمة شركة كولونيال بايبلاين باستخدام حساب شبكة افتراضية خاصة يتيمة لم تعد قيد الاستخدام.
لم يخدم هذا الحساب اليتيم أي غرض لشركة Colonial Pipeline - فقد كان التزامًا أمنيًا فقط. كان من شأن برنامج جيد لحوكمة وإدارة الهوية (IGA) أن يحذف هذا الحساب من دليل الشركة بالكامل.
لكن عنصر الحوكمة كان مجرد فشل واحد فقط: كما لم يكن حساب الشبكة الافتراضية الخاصة اليتيمة الخاص بـ Colonial Pipeline غير محمي بواسطة MFA. على الأرجح إما قدرة IGA أو كان من الممكن أن يمنع MFA حدوث الاختراق. كلاهما معًا كان من شأنه أن يجعل بنية الأمن السيبراني أقوى وأذكى بكثير.
لا يزال المصادقة المصغّرة (MFA) أحد أهم أجزاء البنية الأمنية لكل مؤسسة. لكنه يوفر قيمة أكبر - ويخلق أمناً إلكترونياً أقوى - عندما يعمل بالتنسيق مع مكونات الأمان الأخرى عبر دورة حياة الهوية.
هناك العديد من نقاط الضعف في دورة حياة الهوية. وللأسف، فإن الجهات الفاعلة في مجال التهديد بارعة في استغلالها جميعاً.
في حين أظهرت كولونيال بايبلاين وسولار ويندز بعض هذه الثغرات، وجد LAPSUS$ وقراصنة ترعاهم دولة طرقاً أخرى لاستغلال نقاط الضعف عبر الهوية لاختراق المؤسسات في عام 2022.
يمكننا تعلم الكثير من كل هجوم على الهوية - وإيجاد طرق لمنع الهجوم التالي. إذا استطعت، يرجى الانضمام إلى جلسة المركز الإقليمي للمساعدة على حل النزاعات الإقليمية غداً لمعرفة المزيد عن نقاط الضعف هذه، وما يمكن للأمن السيبراني القيام به لمعالجتها.
###
انضم إلى جلسة ديف تاكو في مؤتمر RSA، "تشريح الهجوم: صعود وسقوط وزارة الخارجية الأمريكية" غدًا، 25 أبريل الساعة 9:40 صباحًا بتوقيت المحيط الهادئ.
