در یک محیط سازمانی، Privileged Access یا “دسترسی ویژه” اصطلاحی است که برای اعطای دسترسی یا تواناییهای خاص، بالاتر و فراتر از یک کاربر استاندارد استفاده میشود. دسترسی ویژه به سازمانها این امکان را میدهد تا زیرساختها و برنامههای کاربردی خود را ایمن، کسبوکار را به طور کارآمد اداره و محرمانگی دادههای حساس و زیرساختهای حیاتی را حفظ کنند. PAM
دسترسی ویژه میتواند با کاربران انسانی و کاربران غیر انسانی همچون برنامهها و هویت ماشینها مرتبط باشد.
نمونههایی از دسترسی ویژه مورد استفاده توسط انسان عبارتند از:
-
ابر حساب کاربری (Super user account):
یک حساب کاربری بدون محدودیت توسط مدیران IT برای پیکربندی یک سیستم یا برنامه، افزودن یا حذف کاربران و یا حذف دادهها استفاده شود.
-
حساب مدیریت دامنه (Domain administrative account):
حسابی که دسترسی مدیریتی ویژه را در تمام ایستگاههای کاری و سرورهای داخل یک شبکه مبتنی بر دامنه فراهم میکند. تعداد این حسابها معمولاً کم است، اما گستردهترین و قویترین دسترسی را در سراسر شبکه فراهم میکنند.
عبارت «Keys to the IT Kingdom» اغلب برای اشاره به ماهیت شاخص برخی حسابها و سیستمهای با دسترسیهای مدیریتی استفاده میشود.
-
حساب مدیریت محلی (Local administrative account):
این حساب در یک نقطه پایانی یا ایستگاه کاری قرار دارد و از ترکیب نام کاربری و رمز عبور استفاده میکند و به افراد کمک میکند تا به ماشینها یا دستگاههای محلی خود دسترسی داشته و در آنها تغییراتی ایجاد کنند.
-
کلید پوسته سوکت ایمن (Secure socket shell):
کلیدهای SSH پروتکلهای کنترل دسترسی بسیار پر کاربردی بوده و دسترسی مستقیم root به سیستمهای حیاتی را فراهم میکنند. Root نام کاربری یا حساب کاربری است که به طور پیشفرض به تمام دستورات و فایلهای موجود در لینوکس یا سایر سیستمعاملهای مشابه یونیکس دسترسی دارد.
-
حساب اضطراری (Emergency account):
این حساب، دسترسی مدیریتی را به سیستمهای امن در مواقع اضطراری برای کاربران فراهم میکند. گاهی نیز از آن به عنوان Firecall یا Break Glass یاد میشود.
-
کاربر تجاری ویژه (Privileged business user):
شخصی است که خارج از IT کار میکند، اما به سیستمهای حساس دسترسی دارد و میتواند شخصی باشد که نیاز به دسترسی به سیستمهای مالی، منابع انسانی (HR) یا بازاریابی دارد.
نمونههایی از دسترسی ویژه غیر انسانی عبارتند از:
-
حساب برنامه (Application account):
یک حساب ویژه که مخصوص نرم افزار کاربردی بوده و معمولاً برای مدیریت، پیکربندی یا مدیریت دسترسی به نرم افزار کاربردی استفاده میشود.
-
حساب سرویس (Service account):
حسابی که یک برنامه یا سرویس از آن برای تعامل با سیستم عامل استفاده میکند. سرویسها از این حسابها برای دسترسی و ایجاد تغییرات در سیستمعامل یا پیکربندی استفاده میکنند.
-
کلید SSH:
کلیدهای SSH نیز توسط فرآیندهای خودکار استفاده میشوند.
-
راز (Secret):
توسط تیم توسعه و عملیات (DevOps) اغلب به عنوان یک اصطلاح شناخته شده مورد استفاده قرار میگیرد و به کلیدهای SSH، کلیدهای واسط برنامه کاربردی (API) و سایر اعتبارنامههایی که توسط تیمهای DevOps برای ارائه دسترسی ویژه استفاده میشود، اشاره دارد.
حسابهای ویژه، اعتبار و اسرار در همه جا وجود دارند: تخمین زده میشود که تعداد آنها معمولاً سه تا چهار برابر بیشتر از کارکنان است. امروزه در محیطهای تجاری، سطح حمله مرتبط با امتیازات، به سرعت در حال رشد است زیرا سیستمها، برنامهها، حسابهای ماشین به ماشین، محیطهای ابری و ترکیبی، DevOps، اتوماسیون فرآیند روباتیک و دستگاههای IoT به طور فزایندهای به هم متصل میشوند.
مهاجمان نیز این را میدانند و دسترسیهای ویژه را مورد هدف قرار میدهند. امروزه، تقریباً 100 درصد حملات پیشرفته روی بهرهبرداری از اعتبارنامههای ویژه برای دستیابی به حساسترین دادهها، برنامهها و زیرساختهای هدف تمرکز دارند. در صورت سوء استفاده، دسترسی ویژه این قدرت را دارد که کسبوکار را مختل کند.
حفرههای امنیتی قابل توجه شامل دسترسی ویژه
در طول دهه گذشته، نقضهای امنیتی متعددی در ارتباط با سوء استفاده از دسترسی ویژه وجود داشته است. از تری چایلدز و ادوارد اسنودن تا یاهو! و نقض گسترده در دفتر مدیریت منابع انسانی ایالات متحده و نقض بانک بنگلادش و حمله به شبکه برق اوکراین و حتی نقض گسترده Uber و … . وجه مشترک همه این حملات در این بود که از اعتبارنامههای ویژه برای برنامهریزی، هماهنگی و اجرای حملات سایبری استفاده میشد.
PAM یا مدیریت دسترسی ویژه (Privileged Access Management) چیست؟
سازمانها مدیریت دسترسی ویژه (PAM) را برای محافظت در برابر تهدیدات ناشی از سرقت اعتبار و سوء استفاده از امتیازات بکار میگیرند. PAM به یک استراتژی جامع امنیت سایبری – متشکل از افراد، فرآیندها و تکنولوژی – برای کنترل، نظارت، ایمنسازی و ممیزی تمام هویتها و فعالیتهای انسانی و غیرانسانی در یک محیط IT سازمانی اطلاق میشود.
گاهی اوقات به عنوان مدیریت هویت خاص (PIM- privileged identity management) یا امنیت دسترسی ویژه (PAS- privileged access security) شناخته میشود.
PAM مبتنی بر اصل حداقل امتیاز است، که در آن کاربران فقط حداقل سطوح دسترسی مورد نیاز برای انجام وظایف شغلی خود را دارند. اصل حداقل امتیاز به طور گسترده به عنوان بهترین روش امنیت سایبری در نظر گرفته میشود و گامی اساسی در حفاظت از دسترسی ویژه به دادهها و داراییهای با ارزش است.
با اجرای اصل حداقل امتیاز، سازمانها میتوانند سطح حمله را کاهش داده و خطر حملات سایبری مخرب داخلی یا خارجی را که میتواند منجر به تخریب پرهزینه دادهها شود، کاهش دهند.
چالشهای کلیدی مدیریت دسترسی ویژه
سازمانها برای حفاظت، کنترل و نظارت بر دسترسی ویژه با چالشهای متعددی روبرو هستند، از جمله:
- مدیریت اعتبار حساب: بسیاری از سازمانهای IT برای تغییر و بروزرسانی اعتبارنامههای ویژه به فرآیندهای مدیریتی مستعد خطا و فشردهسازی دستی متکی هستند که میتواند یک رویکرد ناکارآمد و پرهزینه باشد.
- ردیابی فعالیتهای خاص: بسیاری از شرکتها نمیتوانند نشستهای ویژه را به طور متمرکز نظارت و کنترل کنند، و همین مساله کسبوکار را در معرض تهدیدات امنیت سایبری و نقض تعهد قرار میدهد.
- پایش و تجزیه و تحلیل تهدیدها: بسیاری از سازمانها فاقد ابزارهای تحلیل تهدید جامع بوده و قادر به شناسایی مستمر فعالیتهای مشکوک و رفع حوادث امنیتی نیستند.
- کنترل دسترسی کاربران ویژه: سازمانها معمولا برای کنترل موثر دسترسی کاربران ویژه به پلتفرمهای ابری (زیرساخت به عنوان سرویس و پلتفرم به عنوان سرویس)، اپلیکیشن نرمافزار به عنوان سرویس (SaaS)، رسانههای اجتماعی و موارد دیگر در تلاشند ریسک انطباق و پیچیدگی عملیاتی ایجاد کنند.
- محافظت از کنترل کنندههای دامنه ویندوز: مهاجمان سایبری میتوانند از آسیبپذیریهای موجود در پروتکل احراز هویت Kerberos برای جعل هویت کاربران مجاز و دسترسی به منابع مهم IT و دادههای محرمانه سوء استفاده کنند.
چرا مدیریت دسترسی ویژه (PAM) برای سازمان شما مهم است؟
- انسانها ضعیفترین ارتباط شما هستند.
از کاربران ویژه داخلی که از سطح دسترسی خود سوء استفاده میکنند، یا مهاجمان سایبری خارجی که امتیازات کاربران را هدف قرار داده و سرقت میکنند تا به صورت مخفیانه به عنوان «کاربر ویژه شناخته شده» عمل کنند، انسانها همیشه ضعیفترین ارتباط در زنجیره امنیت سایبری هستند.
مدیریت دسترسی ویژه به سازمانها کمک میکند تا مطمئن شوند افراد فقط سطوح لازم برای انجام کارهای خود را دارند. PAM همچنین تیمهای امنیتی را قادر میسازد تا فعالیتهای مخرب مرتبط با سوء استفاده از امتیازات را شناسایی کرده و اقدامات سریعی را برای مقابله با خطر انجام دهند.
- در تجارت دیجیتال، امتیازات در همه جا وجود دارد.
سیستمها باید بتوانند به یکدیگر دسترسی داشته و به هم مرتبط باشند تا بتوانند با هم کار کنند. با استقبال سازمانها از ابر، DevOps، اتوماسیون فرآیندهای روباتیک، اینترنت اشیا و غیره، تعداد ماشینها و برنامههایی که به دسترسی ویژه نیاز دارند افزایش یافته و به طبع آن سطح حمله نیز افزایش مییابد.
تعداد این عناصر غیرانسانی بسیار بیشتر از افراد یک سازمان معمولی است و نظارت و مدیریت آنها و یا حتی شناسایی آنها دشوارتر است. برنامههای تجاری خارج از چارچوب (COTS- Commercial-off-the-shelf) معمولاً نیاز به دسترسی به بخشهای مختلف شبکه دارند که مهاجمان میتوانند از آن سوء استفاده کنند.
یک استراتژی مدیریت دسترسی ویژه قوی، امتیازات را بدون توجه به محل زندگی آنها؛ در محل، در فضای ابری و در محیطهای ترکیبی ایجاد کرده و فعالیتهای غیرعادی را در صورت وقوع شناسایی میکند.
- مهاجمان سایبری نقاط پایانی و ایستگاههای کاری را هدف قرار میدهند.
در یک شرکت، هر نقطه پایانی (لپ تاپ، گوشی هوشمند، تبلت، دسکتاپ، سرور و غیره) به طور پیش فرض دارای امتیاز است. دسترسیهای مدیریتی، تیمهای IT را قادر میسازد تا مشکلات را به صورت محلی برطرف کنند، اما ریسک بزرگی را نیز به همراه دارند.
مهاجمان میتوانند از دسترسیهای مدیریتی سوء استفاده کرده، سپس از یک ایستگاه کاری به ایستگاه کاری دیگر بپرند، اعتبارات اضافی را بدزدند، امتیازات را بالا ببرند و به صورت مخفیانه در شبکه حرکت کنند تا زمانی که به چیزی که دنبال آن هستند برسند. یک برنامه PAM پیشگیرانه باید حذف کامل حقوق مدیریتی محلی در ایستگاههای کاری را برای کاهش خطر انجام دهد.
- PAM برای داشتن انطباق حیاتی است.
توانایی نظارت و شناسایی رویدادهای مشکوک در یک محیط بسیار مهم است، اما بدون تمرکز دقیق بر روی مواردی که بیشترین خطر را به همراه دارند (مانند دسترسی ویژه مدیریت نشده، نظارت نشده و محافظت نشده) کسبوکار آسیبپذیر خواهد بود.
پیادهسازی PAM به عنوان بخشی از استراتژی جامع امنیت و مدیریت ریسک، سازمانها را قادر میسازد تا تمام فعالیتهایی را که به زیرساختهای IT حیاتی و اطلاعات حساس مربوط میشوند، ثبت و ضبط کرده و نیز کمک میکند تا الزامات ارزیابی و انطباق را سادهتر کنند.
سازمانهایی که برنامههای PAM را به عنوان بخشی از استراتژی امنیت سایبری بزرگ خود اولویتبندی میکنند، میتوانند برخی از مزایای سازمانی مانند کاهش خطرات امنیتی و کاهش سطح کلی حملات سایبری، کاهش هزینههای عملیاتی و پیچیدگی، گسترش دید و آگاهی از موقعیت در سراسر شرکت و بهبود مقررات نظارتی را تجربه کنند.
بهترین شیوههای مدیریت دسترسی ویژه
مراحل زیر چارچوبی را برای ایجاد کنترلهای ضروری PAM برای تقویت وضعیت امنیتی سازمان ارائه میکنند. پیادهسازی برنامه بر اساس این مراحل به سازمانها کمک میکند تا در زمان کمتر ریسک بیشتری را کاهش داده، از شهرت کسبوکار خود محافظت نموده و اهداف امنیتی و نظارتی را با منابع داخلی کمتر برآورده کنند.
- از بین بردن حملات تسخیر شبکه برگشت ناپذیر (Eliminate irreversible network takeover attacks)
برای اینکه تمام دسترسیهای ویژه به Domain Controllers و سایر منابع Tier0 و Tier1 را جدا کنید، به احراز هویت چند مرحلهای نیاز دارید.
- حسابهای زیرساخت را کنترل و ایمن کنید.
همه حسابهای زیرساخت شناخته شده را در یک صندوق دیجیتالی با مدیریت مرکزی قرار دهید. پس از هر بار استفاده، رمزهای عبور را به طور منظم و خودکار عوض کنید.
- حرکات جانبی را محدود کنید.
تمام کاربران نقطه پایانی را به طور کامل از گروه مدیران محلی در ایستگاههای کاری مبتنی بر سیستم عامل ویندوز حذف کنید تا از سرقت اعتبارنامه جلوگیری کنید.
- از اعتبارنامههای برنامههای شخص ثالث محافظت کنید.
تمام حسابهای ویژه مورد استفاده توسط برنامههای شخص ثالث را ذخیره کنید و اعتبارنامههای رمزگذاری شده برای برنامههای تجاری خارج از چارچوب را از بین ببرید.
- کلیدهای *NIX SSH را مدیریت کنید.
تمام جفتهای کلید SSH را در سرورهای لینوکسی و یونیکسی ذخیره کنید و آنها را به صورت دورهای عوض کنید.
- از رمزهای DevOps در فضای ابری و پیش فرض محافظت کنید.
همه حسابها، کلیدها و کلیدهای API دارای امتیاز شبکههای ابری عمومی را ایمن کنید. تمام اعتبارنامهها و رمزهای مورد استفاده توسط ابزارهای CI/CD مانند Ansible، Jenkins و Docker را در یک خزانه امن قرار دهید، که آنها را قادر سازد به سرعت بازیابی، به طور خودکار تعویض و مدیریت شوند.
- ادمینهای ایمن SaaS و کاربران ویژه تجاری
تمام دسترسیها به شناسههای مشترک را جدا کنید و به احراز هویت چند عاملی نیاز دارید.
- در تمرینات دورهای تیم قرمز برای تست دفاع شرکت کنید.
اعتبارسنجی و بهبود کارایی در برابر حملات دنیای واقعی.