لقد أصبحت الهوية هي المحيط الأمني الجديد في مشهد التهديدات الحديثة. قد لا يشكل هذا مفاجأة لأولئك الذين يتابعون الاتجاهات التي تظهر أن الغالبية العظمى من الخروقات الأمنية تنتج عن الهجمات القائمة على الهوية. وقد وجدت Proofpoint أن أكثر من 90% من الانتهاكات تنطوي على مكون هوية في سلسلة الهجوم
لقد أدرك الممارسون في مجال الأمن السيبراني منذ فترة طويلة أن السلوك البشري يمثل ثغرة أمنية أساسية. يُظهر أحدث تقرير للتحقيقات في خرق بيانات Verizon أن 74% من الانتهاكات المؤكدة تتعلق بالعنصر البشري، وكانت هذه البيانات متسقة لسنوات.
تعمل الجهات الفاعلة في مجال التهديد على توسيع نطاق التكتيكات التي أثبتت جدواها مثل التصيد الاحتيالي وسرقة بيانات الاعتماد واستهداف سلسلة التوريد. يمكن أن يؤدي المساس بسلسلة التوريد إلى تحقيق عائد مرتفع جدًا على الاستثمار. لذا فإن الجهات الفاعلة الخبيثة تلقي بثقلها وراء أنجح تكتيكاتها – مهاجمة الهوية – لتعظيم تلك العائدات.
يُظهر تقرير حالة التصيد الاحتيالي لعام 2023 الصادر عن Proofpoint أن 86% من هجمات التصيد الاحتيالي التي تعرضت لها المؤسسات في دولة الإمارات العربية المتحدة في عام 2022 كانت ناجحة. أدت 26% من هذه الهجمات الناجحة إلى سرقة بيانات الاعتماد أو اختراق الحساب، مما أتاح للمهاجمين إمكانية الوصول إلى حسابات المؤسسات أو هوياتها. بمجرد أن تنجح الجهات الفاعلة في التهديد في اختراق هوية واحدة، يمكنها التحرك أفقيًا في جميع أنحاء المؤسسة بسهولة.
وفقًا لبحث أجراه التحالف المستقل غير الربحي Identity Defined Security Alliance، فإن 90% من المؤسسات التي شملتها الدراسة قد تعرضت لانتهاك متعلق بالهوية خلال الـ 12 شهرًا الماضية. من الضروري أن تتكيف المنظمات مع هذا الواقع الجديد وأن تطور دفاعاتها.
إميل أبو صالح المدير الإقليمي الأول في Proofpoint الشرق الأوسط وتركيا وأفريقيا
أكبر ثلاثة أنواع من مخاطر الهوية
لقد استثمرت العديد من المنظمات بشكل كبير في تعزيز البنية التحتية لهويتها. ولكنها تفتقد المكونات الأكثر ضعفًا، مثل بيانات الاعتماد المخزنة والمخزنة مؤقتًا، وملفات تعريف الارتباط للجلسة، ومفاتيح الوصول، وحسابات الظل المميزة، والعديد من التكوينات الخاطئة المرتبطة بالحسابات والهويات.
إن فهم كيفية مهاجمة مجرمي الإنترنت للهوية داخل مؤسستك هو الخطوة الأولى لحماية سطح الهجوم الجديد وكسر سلسلة الهجوم.
أولاً، تحتاج إلى معرفة نقاط الدخول البشرية الأكثر ضعفًا والأكثر استهدافًا في مؤسستك. لا يمكنك التخفيف من كل المخاطر، مما يعني أنك ستحتاج إلى تحديد الأولويات.
تستهدف الجهات التهديدية عادةً ثلاثة مجالات للهوية:
● الهويات غير المُدارة: تتضمن الهويات المستخدمة بواسطة التطبيقات – حسابات الخدمة – والمسؤولين المحليين. وجدت أبحاث التهديدات من Proofpoint أن 87% من المسؤولين المحليين غير مسجلين في أحد حلول إدارة الحسابات المميزة. ومع ذلك، غالبًا ما لا يتم اكتشاف هذه الأنواع من الهويات أثناء النشر أو يتم نسيانها بعد تحقيق الغرض منها. تستخدم العديد من هذه الحسابات كلمات مرور افتراضية أو قديمة، مما يزيد من المخاطر.
● الهويات التي تم تكوينها بشكل خاطئ: يعد مسؤولو “الظل”، والهويات التي تم تكوينها بتشفير ضعيف أو بدون تشفير، والحسابات ذات بيانات الاعتماد الضعيفة أمثلة على الهويات التي تم تكوينها بشكل خاطئ. يوضح تقرير Human Factor 2023 من Proofpoint أنه يمكن استغلال ما يصل إلى 40% من هويات المشرفين التي تم تكوينها بشكل خاطئ أو هويات مسؤول الظل في خطوة واحدة فقط – على سبيل المثال، عن طريق إعادة تعيين كلمة مرور المجال لتصعيد الامتيازات. ووجد التقرير أيضًا أن 13% من مسؤولي الظل لديهم بالفعل امتيازات مسؤول المجال، مما يمكّن الجهات الفاعلة الخبيثة من جمع بيانات الاعتماد والتسلل إلى المنظمة.
● الهويات المكشوفة: تتضمن هذه الفئة بيانات الاعتماد المخزنة مؤقتًا والمخزنة على أنظمة مختلفة، ورموز الوصول إلى السحابة المخزنة على نقاط النهاية، وجلسات الوصول عن بعد المفتوحة. تحتوي واحدة من كل ست نقاط نهاية على كلمات مرور حسابات مميزة مكشوفة، مثل بيانات الاعتماد المخزنة مؤقتًا. تعتبر هذه الممارسة محفوفة بالمخاطر تمامًا مثل السماح للموظفين بترك ملاحظات لاصقة تحتوي على أسماء المستخدمين وكلمات المرور على أجهزتهم، ومع ذلك يتم تجاهلها عادةً.
مهما كان نوع الجهات الفاعلة الخبيثة التي تخترق الهوية، فلا يتطلب الأمر سوى حساب واحد ضعيف لتوفير وصول غير مقيد إلى مؤسستك. وكلما طال أمدها دون أن يتم اكتشافها، كلما كانت العواقب المحتملة أكثر تدميرا.
إدارة المخاطر من خلال الكشف عن تهديدات الهوية والاستجابة لها
تتطلب مكافحة أي نوع من التهديدات العديد من الأنشطة الأساسية: اكتشاف التهديدات وتحديدها في الوقت الفعلي، وترتيب أولوياتها، ومعالجة الموقف على الفور من خلال أتمتة الاستجابات قدر الإمكان. هذا هو المكان الذي تلعب فيه أفضل ممارسات اكتشاف التهديدات والاستجابة لها.
ومع ذلك، تقوم المؤسسات عادةً بتنفيذ الكشف عن التهديدات والاستجابة لها فقط فيما يتعلق بالتكنولوجيا الخاصة بها. وهذا لا يكفي في بيئة التهديد التي تتمحور حول الناس اليوم.
نظرًا لأن المحيط البشري أصبح العنصر الأكثر ضعفًا، فقد برز الكشف عن تهديدات الهوية والاستجابة لها (ITDR) كجزء مهم من تحديد وتخفيف الثغرات في التعرض القائم على الهوية.
يتطلب ITDR مجموعة من العمليات والأدوات وأفضل الممارسات الأمنية الشاملة. تعامل مع الهويات بنفس الطريقة التي تتعامل بها مع أي نوع آخر من الأصول، بما في ذلك شبكتك ونقاط النهاية.
ابدأ بعناصر تحكم استباقية ووقائية حتى تتمكن من اكتشاف الثغرات الأمنية في الهوية والتخفيف منها قبل أن يتمكن مجرمي الإنترنت من استغلالها. يعد الاكتشاف المستمر والمعالجة الآلية أفضل طريقة لإبعاد العناصر الخبيثة.
بعد ذلك، تحتاج إلى القدرة على تحييد التهديدات بسرعة في حالة تسللها عبر الدفاعات. وبما أنه لا توجد ضوابط مضمونة، فكر في سلسلة الهجوم الكاملة. يعد إيقاف تصعيد الامتيازات سريعًا أمرًا بالغ الأهمية لأن الجهات الفاعلة في مجال التهديد ستحاول تنفيذ هذه الخطوة بمجرد حصولها على الوصول الأولي. إذا لم يتمكنوا من الوصول إلى أي مكان، فسيتعين عليهم الاستسلام والمضي قدمًا.
تعمل الأدوات المتقدمة التي توفر إمكانات مثل التعلم الآلي أو التحليلات لاكتشاف الأحداث والسلوكيات غير العادية أو المشبوهة، إلى جانب الاستجابة التلقائية، على زيادة درجة نجاحك.
على غرار أدوات مثل الكشف عن نقطة النهاية والاستجابة لها والكشف والاستجابة الموسعة، توفر حلول ITDR القوية نهجًا متعمقًا لتخفيف التعرض. يتحرك مجرمو الإنترنت بسرعة كبيرة جدًا بحيث لا تتمكن فرق الأمان من مواكبة تهديدات الهوية دون الأدوات المناسبة للمهمة.
وأخيرًا، تعتمد تقنية ITDR الفعالة على أفضل الممارسات مثل ضمان النظافة السيبرانية الجيدة. بعد كل شيء، الناس هم أكبر ثغرة أمنية لديك. لن تنجح الدفاعات المرتكزة على الأشخاص إذا لم تقم بتمكين الموظفين من كسر سلسلة الهجوم عن طريق تغيير سلوكياتهم وعاداتهم. وتحسين النظافة نشاط بسيط ولا يتطلب الكثير من الموارد.
