في كثير من الأحيان، يكون رد الفعل الفوري على الحوادث الأمنية مثل هجمات الفدية الخبيثة التي ضربت كازينوهات لاس فيغاس في وقت سابق من هذا الخريف هو البحث عن السبب. أتفهم هذا الاندفاع. فتأثير الهجمات - الضيوف الذين اضطروا لتسجيل الخروج باستخدام قلم وورقة, حتى $100 مليون في الخسائر لضحية واحدة - مما يدل على التكاليف الباهظة للفشل الأمني. لا أحد يريد أن يكون الضحية التالية لاختراق البيانات.
ولكن في مجال الأمن السيبراني، لا يوجد عادةً سبب واحد فقط. في معظم الحوادث الأمنية، يستغل المهاجمون سلسلة من الثغرات الأمنية التي تمنحهم تدريجياً المزيد من الوصول والسيطرة على البيئة. ليس من المثمر البحث عن السبب والنتيجة عندما لا يكون هناك عادةً أي سبب. وبدلاً من ذلك، تحتاج فرق الأمن إلى النظر في بيئتها الكلية وبنيتها وطرق عمل تقنياتها بالإضافة إلى العمليات التجارية والثقافة وتقريبها من بنية انعدام الثقة.
وكما هو الحال بالنسبة للكازينوهات التي تعرضت لهذه الهجمات، فإن كلاً من الهجمات الإلكترونية والأمن السيبراني يميل إلى اللعب على الاحتمالات. فعادةً لا يكون هناك نقطة ضعف واحدة تعرض الأمن السيبراني للمؤسسة للخطر. وبدلاً من ذلك، فإن الاحتمالات والمخاطر الإحصائية هي التي تضاعف بعضها البعض. لا ينبغي لفرق الأمن أن تبحث عن رصاصة فضية - بدلاً من ذلك، يجب أن يفهموا الظروف التي يمكن أن تحول ندفة الثلج إلى انهيار جليدي.
في حين أننا ربما لن نعرف أبدًا القصة الكاملة حول كيفية شنّ ALPHV / BlackCat لهجماتهم، إلا أننا نعرف بعض الظروف التي ساعدتهم على اختراق ضحاياهم وكيف أن تلك الظروف خلقت مخاطر كانت في صالح المهاجمين.
في بيان, ، قال ALPHV إن الكازينو "أغلق كل خوادم أوكتا سينك الخاصة بهم بعد أن علموا أننا كنا نتربص بخوادم وكيل أوكتا الخاصة بهم لاستنشاق كلمات مرور الأشخاص الذين لا يمكن اختراق كلمات مرورهم."
تمكنت ALPHV من القيام بذلك بسبب مزامنة كلمة مرور تطبيق أوكتا للتطبيقات, ، والتي "تستخدم واجهات برمجة التطبيقات القياسية لمزامنة كلمات المرور والتطبيقات المحلية عند توفرها." تستمر وثائق المنتج: "عندما يتم تمكين مزامنة كلمة مرور Okta للتطبيق - مزامنة كلمة مرور Okta، يكون السلوك الافتراضي هو مزامنة كلمة المرور الحالية. كلمة مرور Okta هي كلمة المرور المستخدمة لتسجيل الدخول إلى Okta."
ما يعنيه ذلك باللغة الإنجليزية البسيطة هو أن Okta لديها كلمات مرور الدليل النشط لمستخدميها. ويرجع ذلك في جزء كبير منه إلى بنية البائع التي تعتمد على السحابة أولاً: تساعد مزامنة كلمات المرور في وقت تشغيلها وتسهيل عملية النشر السريع لنظام المصادقة متعددة الأطراف وطرحه.
في حين أن هذا الخيار يساعد المؤسسات على نشر الحل بشكل أسرع، إلا أنه يأتي مع مقايضات أمنية كبيرة تتعارض مع مبدأ أساسي من مبادئ الأمن السيبراني: تجنب البيانات، أو بعبارة أخرى: عدم تخزين أو نقل البيانات التي لا تحتاج إلى تخزينها أو نقلها.
إنها قاعدة طويلة الأمد لأنه إذا قامت مؤسسة ما بنقل شيء ما، فمن الأسهل على المهاجمين سرقته. هذا ما حدث مع BlackCat و ALPHV: من المحتمل أنهم اخترقوا الخادم الذي كان يعمل عليه وكيل Okta Agent AD. ومن هناك، كان بإمكانهم تعيين مصاص دماء لنسخ كلمات المرور، أو حقن DLL، أو تفريغ أجزاء من الذاكرة، أو اتخاذ أي إجراء آخر. وهذا هو بيت القصيد: لا يهم حقًا ما هي الإجراءات المحددة التي اتخذها المهاجمون عندما كانوا على الخادم المخترق.
بدلاً من ذلك، بدأت المخاطرة بنشر بنية تزامن كلمات المرور. وقد أدى هذا الاختيار إلى تهيئة الظروف التي سمحت لكل شيء آخر بأن يتبعه. هذا القرار هو المكافئ للأمن السيبراني لاختيار البناء على الرمال بدلاً من حجر الأساس: قد يصمد ما تبنيه، ولكن لماذا المخاطرة؟
تؤكد هجمات BlackCat / ALPHV على مدى صعوبة تأمين الخوادم. تضيف التحديثات المتعددة، وكلمات مرور المسؤول، وإعادة تشغيل كلمة المرور إلى سطح هجوم كبير ومعقد وهش. هذا النوع من التكوين عادة ما يكون في صالح المهاجمين.
البديل هو البناء على كل من التأمين حسب التصميم والتأمين الافتراضي المبادئ, التي تعطي الأولوية للأمان في جميع ميزات المنتج وعملياته وعملياته وعملياته وتقترب بالمؤسسات من انعدام الثقة.
مثل الكثير من الأشياء، فإن الأمان حسب التصميم والأمان الافتراضي يتعلقان بالتفاصيل. من السهل الادعاء بأن المنتج يعطي الأولوية للأمان - من الصعب تقديم شيء يلبي هذا المعيار بالفعل.
تقوم RSA بتطوير حلول الأمان أولاً التي تبدأ بهذه المبادئ. نحن لا نقوم بمزامنة Active Directory أو كلمات مرور LDAP - فنحن لا نملك بيانات الاعتماد هذه. وبدلاً من ذلك، نطلب من العملاء نشر جهاز افتراضي محصّن يتصل بمستودعات المستخدمين في أماكن العمل ويتحقق من صحة كلمات المرور في الوقت الفعلي بدلاً من استنشاقها ومزامنتها مع السحابة.
يأتي هذا الاختيار مع بعض المفاضلات: يستغرق نشر جهاز افتراضي محصّن وموجّه الهوية الافتراضي الخاص بنا المزيد من الوقت والجهد. ولكن هذه تكلفة يعتقد عملاؤنا وفريقنا أنها تستحق العناء، لأننا بعدم مزامنة كلمات المرور نقلل من مساحة الهجوم بدلاً من توسيعها. إذا لم نقم بمزامنتها، فلا يمكننا فقدانها - ولا يمكن للمهاجم استغلالها. ونجادل أيضًا بأن حلول البائعين الآخرين تستغرق وقتًا وجهدًا أكبر على المدى الطويل، حيث تؤدي الحلول "الأسرع" إلى سطح هجوم أكبر بكثير مع زيادة النفقات العامة.
RSA® قفل الهاتف المحمول, الذي يرسخ الثقة في الأجهزة غير المُدارة ويساعد في تأمين BYOD، كما أنه يجسد مبادئ Secure by Design و Secure by Default. لا يبحث Mobile Lock عن التهديدات إلا عندما يحاول المستخدمون المصادقة باستخدام RSA Authenticator لنظامي iOS وAndroid، ولا يقيد المصادقة إلا عندما يكتشف وجود تهديد. كما أنه لا يستعلم إلا عن الحد الأدنى المطلق من البيانات لأداء وظائفه، ولا يطلع شريكنا Zimperium على المعلومات الشخصية عن المستخدمين النهائيين. إن المكاسب الأمنية من القيام بأي شيء أكثر من ذلك - مثل الفحص المستمر لجهاز المستخدم - ستكون ضئيلة، خاصةً بالمقارنة مع إمكانية استهداف المهاجم لخدمة خلفية دائمة التشغيل.
الأمر نفسه مع وكيل المصادقة متعددة العوامل (MFA) الخاص بنا. في حالة انقطاع الإنترنت، يفشل وكيل المصادقة متعددة العوامل (MFA) الخاص بنا في النشر المحلي بدلاً من الفشل في فتحه أو الانتقال إلى وضع عدم الاتصال بالإنترنت حيث يتم التحقق من صحة كلمة مرور لمرة واحدة في وكيل المصادقة متعددة العوامل نفسه. ما يعنيه ذلك هو أن الجهات الفاعلة في مجال التهديد لا يمكنها التهرب من وزارة الخارجية فقط عن طريق قطع الاتصال بالإنترنت أو جعل خدمة الواجهة الخلفية ل MFA تبدو وكأنها غير متصلة بالإنترنت، وهو ما فعلته الجهات التي ترعاها الدولة في المنظمات غير الحكومية العام الماضي
لا يتم الإفراط في هندسة الأمن الحقيقي أبدًا: فهو يعتمد على مزيج معقول من الحلول البسيطة كلما أمكن، والحلول الأكثر تعقيدًا عند الحاجة. يجب تصميم كل مكون من مكونات الخدمة للحد من سطح الهجوم كلما أمكن ذلك. وهذا يعني جمع الحد الأدنى فقط من المعلومات التي يحتاجها النظام بشكل مطلق واستخدام تلك المعلومات فقط عند الحاجة إليها. كما يعني ذلك أيضًا اتخاذ قرارات معمارية تقلل من سطح الهجوم بدلاً من توسيعه دون داعٍ.
يميل الأمن السيبراني إلى المراهنة على الاحتمالات. قم بتحسين أداءك من خلال اللعب بذكاء والمراهنة على البائعين الذين يضعون الأمن في المقام الأول.
