مدیریت دسترسی ممتاز (PAM)

طی چهار سال گذشته، گارتنر مدیریت دسترسی ممتاز (PAM) و احراز هویت دوعاملی را به عنوان اولویت های اصلی امنیت فناوری اطلاعات معرفی کرده است. Credential حساب های کاربری ممتاز برای سرپرستان دامنه (Domain Admins)، سرویس، برنامه و حساب های کاربری root اهداف ارزشمندی هستند. هنگامی که مهاجمان این گواهینامه ها (Credential) را به دست می آورند، می توانند از حساس ترین اطلاعات و سیستم های مهم شما سوء استفاده کنند. دسترسی ممتاز به آنها امکان تغییر داده ها ، تغییر تنظیمات یا حتی خاموش کردن عملکردها را می دهد. با جعل هویت کاربران ممتاز ، آنها می توانند ردپاهای خود را مخفی کرده و برای ماه ها و حتی بیشتر شناسایی نشوند. در حال حاضر بیش از 85% سازمان ها از دستورالعمل های امنیتی مدیریت دسترسی کاربران ممتاز (PAM) پیروی نمی کنند.

دسترسی ممتاز چیست؟

در یک محیط سازمانی ، «دسترسی ممتاز» اصطلاحی است که برای تعیین دسترسی یا توانایی های ویژه فراتر از یک کاربر استاندارد استفاده می شود. دسترسی ممتاز به سازمانها این امکان را می دهد تا زیرساختها و برنامه های خود را ایمن سازند ، تجارت را به طور کارآمد انجام دهند و محرمانه بودن اطلاعات حساس و زیرساخت های مهم را حفظ کنند.

دسترسی ممتاز می تواند با کاربران انسانی و همچنین کاربران غیرانسانی مانند برنامه ها و هویت ماشین همراه باشد.

 

نمونه هایی از دسترسی ممتاز که توسط انسان استفاده می شود:

  • حساب کاربریSuper user : حساب قدرتمندی که توسط مدیران سیستم IT استفاده می شود و می تواند برای ایجاد پیکربندی در سیستم یا برنامه ، افزودن یا حذف کاربران یا حذف داده ها مورد استفاده قرار گیرد.
  • حساب کاربری مدیریت دامنه: حسابی که دسترسی اداری ممتازی را در تمام ایستگاه های کاری و سرورهای یک دامنه شبکه فراهم می کند. تعداد این حساب ها معمولاً کم است، اما گسترده ترین و قوی ترین دسترسی را در شبکه فراهم می کنند. از عبارت “کلیدهای پادشاهی IT” اغلب هنگام اشاره به ممتاز بودن برخی از حساب ها و سیستم های مدیریت استفاده می شود.
  • حساب کاربری مدیریت محلی (Local): این حساب در نقطه پایانی یا ایستگاه کاری قرار دارد و از ترکیبی از نام کاربری و رمز عبور استفاده می کند. به افراد کمک می کند تا به ماشین ها یا دستگاه های محلی خود دسترسی پیدا کرده و تغییراتی در آن ایجاد کنند.
  • کلید SSH: کلیدهای SSH در پروتکل های کنترل دسترسی به شدت مورد استفاده هستند که دسترسی مستقیم ریشه (root) به سیستم های مهم را فراهم می کنند. Root نام کاربری یا حساب کاربری است که به طور پیش فرض به همه دستورات و پرونده های موجود در لینوکس یا سیستم عامل مشابه یونیکس دسترسی دارد.
  • حساب کاربری اضطراری (Emergency): این حساب در موارد اضطراری دسترسی اداری به سیستم های محافظت شده را در اختیار کاربران قرار می دهد. گاهی اوقات به عنوان firecall یا شکستن شیشه نامیده می شود.
  • کاربر تجاری ممتاز: شخصی است که خارج از IT کار می کند ، اما به سیستم های حساس دسترسی دارد. این می تواند شامل کسی شود که به دسترسی به منابع مالی ، منابع انسانی (HR) یا سیستم های بازاریابی نیاز دارد.

 

نمونه هایی از دسترسی ممتاز غیر انسانی:

  • حساب کاربری برنامه ها: یک حساب ممتاز که مختص نرم افزار کاربردی است و معمولاً برای مدیریت ، پیکربندی یا مدیریت دسترسی به نرم افزار کاربردی استفاده می شود.
  • حساب کاربری سرویس (Service Account): حسابی که برنامه یا سرویس برای تعامل با سیستم عامل از آن استفاده می کند. سرویس ها از این حساب ها برای دسترسی و ایجاد تغییر در سیستم عامل یا پیکربندی استفاده می کنند.
  • کلید SSH: (همانطور که در بالا توضیح داده شد). کلیدهای SSH همچنین توسط فرایندهای خودکار نیز مورد استفاده قرار می گیرند.
  • Secret: توسط تیم توسعه و عملیات (DevOps) اغلب به عنوان یک اصطلاح همه گیر مورد استفاده قرار می گیرد که به کلیدهای SSH ، کلیدهای رابط برنامه کاربردی (API) و سایر مدارک مورد استفاده توسط تیم های DevOps برای دسترسی ممتاز اشاره دارد.

حساب ها و اعتبارنامه های ممتاز در همه جا وجود دارد: تخمین زده می شود که آنها به طور معمول سه تا چهار برابر بیشتر از کارمندان هستند. در محیط های تجاری مدرن، هنگامی که سیستم ها، برنامه ها، حساب های ماشین به ماشین، ابر و محیط های ترکیبی، DevOps، اتوماسیون فرآیند رباتیک و دستگاه های اینترنت اشیا به طور فزاینده ای به هم متصل می شوند، سطح حمله مربوط به امتیاز سریعاً در حال رشد است. مهاجمان این را می دانند و دسترسی ممتاز را هدف قرار می دهند. امروز ، تقریباً 100 درصد حملات پیشرفته به بهره برداری از اعتبارنامه های ممتاز برای دستیابی به حساس ترین داده ها ، برنامه ها و زیرساخت های یک هدف متکی هستند. در صورت سوء استفاده ، دسترسی ممتاز قدرت مختل کردن یک کسب و کار را دارد.

نقض برجسته امنیتی شامل دسترسی ممتاز

موارد متعددی از نقض امنیت در طول دهه گذشته، در ارتباط با سو استفاده از حساب های ممتاز بوده است. از تری چایلدز و ادوارد اسنودن گرفته تا یاهو! و نقض گسترده در دفتر مدیریت پرسنل ایالات متحده به نقض بانک بنگلادش و حمله به شبکه برق اوکراین و حتی نقض بسیار گسترده در Uber. وجه اشتراک در هر حمله این بود که از حساب های ممتاز برای برنامه ریزی، هماهنگی و حملات سایبری استفاده شده است.

مدیریت دسترسی ممتاز (PAM) چیست؟

سازمان ها از راهکار مدیریت دسترسی ممتاز (PAM) برای محافظت در برابر تهدیدات ناشی از سرقت اعتبارنامه و سو استفاده از امتیازات، استفاده می کنند. PAM به یک استراتژی جامع امنیت سایبری (متشکل از افراد ، فرایندها و فناوری) برای کنترل، نظارت، ایمن سازی و ممیزی کلیه هویت ها و فعالیت های ممتاز انسانی و غیر انسانی در محیط IT شرکت ها اشاره دارد.

PAM که گاهی اوقات با عنوان مدیریت هویت ممتاز (PIM) یا امنیت دسترسی ممتاز (PAS) نیز شناخته می شود، بر اساس اصل حداقل دسترسی بنا شده است. در این قسمت کاربران فقط حداقل سطح دسترسی لازم برای انجام وظایف شغلی خود را دریافت می کنند. اصل حداقل دسترسی به طور گسترده ای به عنوان بهترین روش امنیت سایبری در نظر گرفته می شود و یک گام اساسی در محافظت از دسترسی ممتاز به داده ها و دارایی های با ارزش است. با اعمال اصل حداقل امتیاز ، سازمان ها می توانند سطح حمله را کاهش دهند و خطر تهدیدات مخرب داخلی یا حملات سایبری خارجی که منجر به نقض داده های با ارزش می شود را کاهش دهند.

مدیریت دسترسی ممتاز (PAM)

چالش های کلیدی مدیریت دسترسی ممتاز

سازمان ها با چالش های زیادی در زمینه محافظت، کنترل و نظارت بر دسترسی ممتاز روبرو هستند از جمله:

  • مدیریت اعتبار (Credential) حساب های کاربری: بسیاری از سازمان های IT به فرآیندهای غیر اتوماتیک فشرده و مستعد خطا در به روزرسانی اعتبارهای ممتاز اعتماد می کنند. این می تواند یک رویکرد ناکارآمد و پرهزینه باشد.
  • ردیابی (Track) فعالیت های ممتاز: بسیاری از شرکت ها نمی توانند به طور متمرکز جلسات مربوط به حساب های کاربری ممتاز را پایش و کنترل کنند، و سازمان را در معرض تهدیدهای امنیت سایبری قرار دهند.
  • پایش و تجزیه و تحلیل تهدیدها: بسیاری از سازمان ها فاقد ابزار جامع تجزیه و تحلیل تهدیدات هستند و قادر به شناسایی فعالانه فعالیت های مشکوک و ترمیم حوادث امنیتی نیستند.
  • کنترل دسترسی کاربر ممتاز: سازمان ها معمولاً تلاش می کنند تا دسترسی ممتاز کاربر به سیستم عامل های ابری (زیرساخت به عنوان یک سرویس IaaS و بستر به عنوان یک سرویس PasS)، برنامه ها به عنوان یک سرویس (SaaS) ، رسانه های اجتماعی و موارد دیگر را کنترل کنند و خطرات انطباق و پیچیدگی عملیاتی را ایجاد کنند.
  • محافظت از DC های دامنه ویندوز: مهاجمان سایبری می توانند از آسیب پذیری های پروتکل احراز هویت Kerberos برای جعل هویت کاربران مجاز و دسترسی به منابع مهم IT و داده های محرمانه استفاده کنند.

 

چرا مدیریت دسترسی ممتاز (PAM) برای سازمان مهم است؟

  • انسان ها ضعیف ترین حلقه سازمان هستند.

سواستفاده کاربران داخلی از سطح دسترسی خود، یا مهاجمان سایبری خارجی با هدف قرار دادن و سرقت دسترسی کاربران برای فعالیت پنهانی به عنوان «افراد داخلی ممتاز»، انسانها همیشه ضعیف ترین حلقه در زنجیره امنیت سایبری هستند. مدیریت دسترسی ممتاز به سازمانها کمک می کند تا اطمینان حاصل کنند که افراد برای انجام کارهای خود فقط از سطح دسترسی لازم برخوردار هستند. PAM همچنین تیم های امنیتی را قادر می سازد تا فعالیت های مخرب مرتبط با سو استفاده از هویت کاربری را شناسایی کرده و برای رفع خطر به سرعت اقدام کنند.

  • در تجارت دیجیتال، دسترسی به همه جا وجود دارد.

سیستم ها باید بتوانند به یکدیگر دسترسی داشته و با یکدیگر ارتباط برقرار کنند تا با هم کار کنند. همانطور که سازمانها از ابر ، DevOps ، اتوماسیون فرآیند رباتیک ، اینترنت اشیا و موارد دیگر استقبال می کنند ، تعداد ماشین آلات و برنامه هایی که به دسترسی ممتاز نیاز دارند افزایش یافته و سطح حملات نیز به طبع آن رشد کرده است. این موجودیت های غیرانسانی بسیار زیادتر از افراد یک سازمان معمولی هستند و نظارت و مدیریت آنها دشوارتر است (و حتی اصلاً شناسایی نمی شوند). سامانه ها و برنامه های تجاری در دسترس (COTS) معمولاً نیاز به دسترسی به قسمت های مختلف شبکه دارند که مهاجمان می توانند از آنها استفاده کنند. یک استراتژی مدیریت دسترسی ممتاز ، امتیازات را بدون توجه به جایی که «در آن قرار دارند» – Local ، ابر و یا در محیط های ترکیبی – حساب می کند و فعالیت های ناهنجار را در صورت وقوع تشخیص می دهد.

  • حمله مهاجمان سایبری به نقاط انتهایی (Endpoint) و ایستگاه های کاری (Workstation)

در یک شرکت ، هر نقطه نهایی (لپ تاپ ، تلفن هوشمند ، تبلت ، رایانه رومیزی ، سرور و غیره) به طور پیش فرض دارای دسترسی هستند. حساب های مدیریتی پیش فرض، تیم های IT را قادر می سازد بسیاری از مشکلات حل کنند ، اما همچنین خطرات زیادی را به همراه دارند. مهاجمان می توانند از حساب های کاربری مدیریتب سوء استفاده کنند ، سپس از یک ایستگاه کاری به ایستگاه کاری دیگر وارد شوند، کلمات عبور و دسترسی های بیشتری را بدزدند، دسترسیشان را بالا ببرند و شبکه را زیرو رو کرده تا آنجا که بتوانند به آنچه که می خواهند برسند. یک راهکار فعال PAM بایستی با حسابرسی دسترسی های محلی در ایستگاه های کاری خطرات سایبری را کاهش ده.

  • PAM برای دستیابی به انطباق حیاتی است.

توانایی نظارت و تشخیص وقایع مشکوک در یک محیط بسیار مهم است، اما بدون تمرکز بر روی آنچه بیشترین میزان خطر را ایجاد می کند «دسترسی ممتاز بدون کنترل، بدون پایش و محافظت نشده» تجارت همچنان آسیب پذیر خواهد بود. پیاده سازی PAM به عنوان بخشی از استراتژی جامع امنیت و مدیریت ریسک، سازمان ها را قادر می سازد که کلیه فعالیت های مربوط به زیرساختهای مهم IT و اطلاعات حساس را ثبت و ضبط کنند (در ساده سازی ممیزی و انطباق با آنها کمک می کند).

 

سازمان هایی که برنامه های PAM را به عنوان بخشی از استراتژی بزرگ امنیت سایبری خود اولویت می دهند ، می توانند چندین مزیت سازمانی مانند کاهش خطرات و ریسک های امنیتی، کاهش سطح کل حملات سایبری، کاهش هزینه های عملیاتی و پیچیدگی، افزایش دید و نیز آگاهی از موقعیت در سراسر سازمان و بهبود مقررات و انطباق آن ها را تجربه کنند.

 

بهترین روشهای مدیریت دسترسی ممتاز

مراحل زیر چارچوبی را برای ایجاد کنترل های ضروری PAM برای تقویت وضعیت امنیتی سازمان را فراهم می کند. اجرای برنامه ای که از این مراحل پیروی می کند می تواند به سازمان ها کمک کند تا در مدت زمان کمتری ریسک را کاهش دهند، از شهرت نام تجاری خود محافظت کرده و اهداف داخلی و امنیتی را با حدأقل منابع داخل سازمان برآورده سازند.

  • درک و تعیین چشم انداز داخلی PAM

بدون اطلاع از این که چه حساب های کاربری ممتازی وجود دارد، ممکن است حساب های کاربری خاصی بدون کنترل و پایش ایجاد شده باشند که به عنوان درب پشتی استفاده شوند و کنترل های امنیتی را دور بزنند. هکرها ممکن است برای دسترسی های آتی خود حساب های کاربری خاصی ایجاد کنند که تا ماهها قابل شناسایی نباشند.

با شناسایی اینکه یک حساب ممتاز برای سازمان شما چیست شروع کنید. این برای هر شرکتی متفاوت است بنابراین بسیار مهم است که مشخص کنید چه عملکردهای مهم تجاری به داده ها ، سیستم ها و دسترسی متکی هستند. از اینکه چه کسی دسترسی ممتاز به حساب دارد و چه زمانی از آن حساب استفاده می کند، درک درستی کسب کنید ، زیرا شما نمی توانید حساب های ممتازی را که از چیزی آنها نمی دانید مدیریت و پایش کنید.

  • تدوین سیاست های اختصاص رمز عبور برای حساب های کاربری

وجود سیاست های حفاظت از رمز عبور حساب ممتاز برای جلوگیری از دسترسی غیرمجاز و نشان دادن انطباق امنیتی بسیار مهم است. می توانید از الگوی سیاست گذرواژه بهترین استانداردها مانند SANS، NIST، GLBA ، ISO17799 و ISO9000 استفاده کنید.

سیاست های تدوین شده باید شامل الزاماتی برای حساب های انسانی و غیر انسانی باشد. برای حساب های انسانی باید از عبارت عبور (Passphrase) استفاده کنید که به راحتی به خاطر سپرده می شوند و از پیچیدگی خوبی برخوردار هستند. بر همین اساس موسسه ملی استاندارد و فناوری (NIST) توصیه های خود را پیرامون نیازهای پیچیدگی حساب های انسانی از سال 2019 حذف کرد.

همچنین باید یک بازه زمانی را برای تغییر تمام گذرواژه های ممتاز تعیین کنید. به طور کلی، رمزهای ورود حساب غیر انسانی یا مبتنی بر سیستم باید مرتباً تغییر یابد. حساب های انسانی که با احراز هویت چند عاملی ایمن شده اند ممکن است نیازی به تغییر مکرر نداشته باشند و یا فقط در صورت کشف خطر یا نقض شناخته شده تغییر کنند.

بسیار مهم است که همه گذرواژه های حساب ممتاز را بتوان به صورت خودکار، همزمان و به صورت منظم، برای رعایت دستورالعمل های انطباق و یا اهداف موقت به روز رسانی کرد (مانند زمانی که مدیر IT اخراج می شود و یا نقض امنیتی رخ می دهد).

  • تغییر نام کاربری و گذرواژه های پیش فرض

این امر ممکن است بدیهی به نظر برسد اما استفاده از نام های کاربری و گذرواژه های پیش فرض خطر قابل توجهی ایجاد می کند زیرا یک هدف فوق العاده آسان برای سوء استفاده توسط هکرها است. پیکربندی های پیش فرض نرم افزار برای سیستم ها، دستگاه ها و برنامه ها اغلب شامل رمزهای عبور ساده و دارای مستندات منتشر شده عمومی است. این سیستم ها معمولاً رابط کاربری برای مدیریت این رمزهای عبور ندارند و گذرواژه های پیش فرض معمولاً در همه سیستم های یک فروشنده خاص و یا یک خط تولید، یکسان هستند. این رمزهای عبور پیش فرض برای نصب ، پیکربندی و آزمایش اولیه در نظر گرفته شده اند و باید قبل از استقرار سیستم در یک محیط تغییر کنند.

  • مدیریت حساب های مشترک

حساب های اشتراکی هدف آسان دیگری برای هکرها است.حساب های اشتراکی فاقد کنترل دسترسی مناسبی هستند و نمی توانند به درستی به حوادث نسبت داده شوند زیرا یک کاربر به دلیل ماهیت مشترک حساب نمی تواند مستقیماً با فعالیت خاص حساب مرتبط شود. راه کارهای امنیتی PAM، برای مدیریت این حساب ها با حسابرسی کامل، بسیار حیاتی هستند.

پایش فعالیت حساب های کاربری ممتاز: حساب های کاربری ممتاز باید از طریق پایش (Monitoring)، ضبط (Recording) و حسابرسی (Auditing) جلسات محافظت شوند. این امر به اعمال رفتار مناسب و پایبندی به پروتکل های امنیتی کمک می کند و می تواند از اشتباهات کارمندان و سایر کاربران فناوری اطلاعات جلوگیری کند زیرا آنها می دانند فعالیت هایشان تحت نظارت است. تیم های امنیتی باید بتوانند نظاره کنند که کدام سیاست ها اعمال شده اند و چه موارد استثنایی نیاز به توجه بیشتر یا آموزش بیشتر کاربر دارند. در صورتی که تخلفی رخ دهد ، پایش حساب های کاربری ممتاز به جرم شناسی دیجیتال (Forensics) کمک می کند تا علت اصلی را شناسایی کرده و کنترل های مهمی را که می تواند برای کاهش خطر تهدیدهای امنیتی سایبری در آینده مفید باشند را اعمال کند. حسابرسی از حساب های ممتاز همچنین معیارهای امنیت سایبری با اطلاعات حیاتی و مهمی در جهت تصمیم گیری دقیق تر در زمینه تجارت را در اختیار مدیران اجرایی (مانند رئیس ارشد امنیت اطلاعات CISO) قرار می دهد. حسابرسان همچنین از این اطلاعات برای نظارت بر اینکه چه کسی، به چه اطلاعاتی و به چه دلیل دسترسی داشته است استفاده می کنند.

  • پیاده سازی حداقل امتیاز و دسترسی

حداقل امتیاز یک مدل امنیتی است که به موجب آن کاربر پس از تأیید هویت، فقط به موارد ضروری برای انجام کار یا کار خاص خود دسترسی محدود پیدا می کند. اگر نیاز به دسترسی بیش از حد مجاز تعیین شده از طریق قوانین و سیاست های امنیتی برای کاربر وجود داشه، مجوزهای افزایش امتیازها به شدت کنترل و پایش می شوند.

این بدان معنی است که دیگر دسترسی کامل مدیر محلی (Administrator) به نقاط انتهایی (Endpoint) وجود ندارد و و این کمک می کند تا خطرات مرتبط با حملات بر روی نقاط انتهایی متأثر به حدأقل برسد. حذف امتیازات مدیریتی محلی در نقاط انتهایی، عامل اصلی حمله روتین را مسدود می کند و سطح حمله را کاهش می دهد. استفاده از داشبوردهای کنترل برنامه های کاربردی که کاربران نیاز به استفاده از آن ها برای انجام وظایف خود دارند ، باعث می شود با حداقل امتیاز تمام مسئولیت های خود را انجام داده و بهره وری بالایی داشته باشد.

منبع مطالعاتی

مدیریت دسترسی ممتاز PAM

مدیریت دسترسی ممتاز PAM

منابع مطالعاتی مهم:

Wiley’s PAM for Dummies e-book

 

آشنایی با خدمات تست نفوذ وب سدید

آشنایی با خدمات تست نفوذ شبکه سدید