לא סתם נדמה לנו שהכל פרוץ ונפרץ בימים אלו. פשעי מחשב נמצאים בעלייה מתמדת וכפועל יוצא גורם להרבה לילות ללא שינה לאנשי אבטחת מידע וספקי שירותי מחשוב מנוהלים.
אנחנו כספק מחשוב מנוהל (Managed Service Provider ) עושים ככל שביכולתנו להגן על הלקוחות ובעיקר על מאגרי המידע הפנימיים שאותם אנו מנהלים כדי להבטיח שלהאקרים לא תהיה גישה קלה אל מאגרים אלו.
כחלק מתפיסת אבט"מ מבוססת שכבות הגנה, אנו יוצאים מנקודת הנחה שברור לנו שאין פתרון אחד שיכול לספק הגנה היקפית על כלל סוגי המתקפות.
לדוגמא, בנושא אימות, נכון שאנו שומרים את כל המידע על הלקוחות בפורטל מוגן ומאובטח אך אנו עדיין משתמשים בסיסמאות כדי להתחבר אל הפורטל ואל הלקוחות. כדי להגן על הסיסמאות אנו משתמשים במנגנוני אימות כפול (MFA) בחיבור לכללל המערכות , אך אימות כפול אינו פתרון אשר מספק מענה הגנה של 100% ויש המנצלים את החולשות הבאות ועוד:
- Man-in-the-endpoint attacks
- SIM swapping attacks
- SMS-based MFA attacks
- Hijacking Shared Auth & APIs
מהי הבעיה הראשית איתה אנו מתמודדים?
הבעיה המרכזית שאנו נתקלים בה אצל כל לקוח חדש שמצטרף אלינו היא שחשבונות המנהל או Service accounts (חשבונות מיוחדים המריצים שירותים ו/או משימות מתוזמנות) הם חשבונות עם סיסמאות סטטיות – משמע שהסיסמא בהן לא שונתה ולא נאכפת יחד עם מדיניות הסיסמא/נעילת חשבון בארגון. השארת הסיסמאות כסיסמאות "סטטיות" הוא הליך נוח ומבטיח שכל המערכות התלויות בסיסמאות ימשיכו לפעול באופן קבוע. אך האם אבטחתית זה נכון?
בזווית של ספק מחשוב מנוהל אנו מסתכנים בכך שסיסמאות גנריות (סיסמאות מנהל שלנו) יהיו ידועות למס' רב של אנשים (כי אין לנו יכולת למחוק את הזיכרון של העובדים שלנו לשעבר) ובזווית של לקוח – איך אנחנו יכולים להגיד ללקוח שאנו "מכריחים" במדיניות החברה להחליף סיסמאות כל 90 יום לדוגמא אך את חשבונות המנהל אנחנו נחליף ידנית? מי מוודא שאנו אוכפים את המדיניות הזו שנקבעה לנו?
בעיה נוספת היא חשבונות מנהל מקומיים בתחנות עבודה. לרוב החברות (כולל אותנו) יש חשבון מנהל המותקן באופן קבוע בתחנות עבודה. החשבון הנ"ל משמש אותנו להחזיר את מערכת ההפעלה אל סביבת הדומיין במידה ויחסי האמון נפגמו. המשמעות היא שבמידה ופושעי רשת יגלו את סיסמת החשבון – המשחק נגמר. לאותו פושע רשת תהיה הרשאת מנהל והדרך לגרימת נזק קצרה.
אז איך אנחנו פותרים את הבעיה?
כדי לשמור על לקוחותינו ועל מאגר המשתמשים/סיסמאות שלנו באופן בטוח ככל האפשר אנו מיישמים עבור הלקוחות מס' שכבות אבטחה נוספות:
- החלפת סיסמאות אוטו' בחשבונות מנהל/ service account בסביבת הדומיין
- החלפת סיסמאות אוטו' בחשבונות מנהל ברמת תחנות העבודה
- אימות זהות של משתמש הקצה ע"י אפליקציה בטלפון
שילוב של שלושת השכבות הללו מצמצמות את משטח התקיפה ע"י הוספת שכבות הגנה לפגיעויות שהתעלמו מהן ברוב מוצרי האבטחה.
