ניהול הרשאות אוניברסלי יכול להגן על הארגון מפני מגוון רחב של תקיפות סייבר

04/10/2021 13:23
עידן אבגי, ה-CTO של פורטק תוכנה. צילום: דודו גינת

לאחרונה חשפה חברת ג'ון-האט (Jonhat) בפוסט שפרסמה בטוויטר פגיעות zero-day של חברת רייזר (Razer) – יצרנית ציוד מחשבים היקפי לגיימרים. ג'ון-האט מצאה כי בזמן שמשתמש מחבר את אחד המוצרים של רייזר, כמו מקלדת או עכבר, ומתחיל את תהליך ההתקנה – תוקף יכול להתערב בתהליך ולקבל בקלות גישה עם הרשאות מנהל מקומי (Admin) על מערכת הפעלה Windows 10/11, ואף להתקין על גביה נוזקות שונות, אשר יתפשטו במהירות בכל הארגון.

על פי נתוני רייזר, למעלה מ-100 מיליון אנשים ברחבי העולם משתמשים במוצרים שלה, כלומר, 100 מיליון אנשים נחשפו לרוגלה.

מה צריכים ארגונים לעשות על מנת להימנע מאיום סייבר כגון זה?

מספר המשתמשים הזקוקים להרשאות גדול ומגוון, וכולל לא רק את המנהלים המורשים, אלא גם: ספקים חיצוניים, צוותי תמיכה, לעיתים לקוחות, ואפילו יישומים ושירותים אוטומטים שמקבלים גישה לתיקיות או קבצים מסוימים.

80% מסוגי ההתקפות על מערכת ההפעלה מתאפשרים משום שהתוקף הצליח לקבל הרשאה מסוימת ולמעשה, כמעט 90% מהפגיעות הקריטיות במערכת ההפעלה של מיקרוסופט ניתן למתן על ידי ביטול הרשאות מנהל מקומי.

תקיפת סייבר יכולה לנבוע מגורם פנימי בארגון או מגורם חיצוני, אבל ברגע שהתוקף אוחז בהרשאות ברמת הניהול, הוא יכול לנוע לרוחב הרשת הארגונית, מבלי שנשים לב אליו, ולהסב נזק רב. אינפלציית ההרשאות מעמידה את מנהלי אבטחת המידע בפני אתגרים חדשים: הם נדרשים לגלות ולאבטח את כל ההרשאות ברחבי הארגון, לעקוב אחר כל הפעילויות של המשתמשים ולתעד אותן, להסיר הרשאות שאינן חיוניות מתחנות הקצה והשרתים ועוד.

ניהול הרשאות גישה. אילוסטרציה: BigStock

ניהול הרשאות גישה. אילוסטרציה: BigStock

מודל ניהול הרשאות אוניברסלי

אז מה עושים? הפתרון לכך טמון במודל ניהול הרשאות אוניברסלי, אשר מאפשר לארגון לאבטח ולנהל הרשאות של כל משתמש, חיבור (סשן) ונכס בארגון, ועובד בצורה משולבת, כדי לאחד את כל מדיניות ההרשאות הפריבילגיות בארגון וכדי להפחית באופן דרסטי את נקודות התורפה שלו.

מודל זה מצליח להגן על כל ההרשאות בכל סביבות העבודה של הארגון: סביבה מסורתית, סביבת ענן וסביבה היברידית, ובכל סוגי היישומים, המשתמשים, תחנות הקצה והשרתים.

היום יש מוצרים המשמשים כאייג'נטים היושבים על גבי מערכת ההפעלה בתחנת הקצה ומבטלים כליל את האופציה למתן הרשאות על תחנת העבודה, כאשר המובילים שבהם הם מוגני פטנט ולא נפרצו אף פעם. פתרונות אלה פוגשים את האיום במספר נקודות מגע ומפרקים אותו, על מנת לעצור במהירות התקפה שמתחילה להתגלגל. הם יכולים להתמודד עם איומים חיצוניים באמצעות גישה-מרחוק מאובטחת, המוגנת על-ידי הפרדת תיווך מוחלטת בין תחנת הקצה לשרת, מדיניות תעדוף הרשאות בארגון ושליטה באילו אפליקציות מותר או אסור להשתמש (רישום לבן WL, רישום שחור BL).

באמצעות יכולות מתקדמות של EPM (ר"ת Endpoint Privileged Management) ניתן לאמת את היישום שבשימוש, כמו לדוגמה לאמת את היישום של אדובי שפותח את קובץ ה-PDF ולברר מה רמת האמינות שלו, האם המו"ל שלו חוקי ומוכר, וכן הלאה.

גישה זו של ניהול הרשאות אוניברסלי מספקת Best Practices מטעם היצרן לפריסה מואצת של מדיניות ההרשאות בכל השרתים ו/או תחנות הקצה בארגון באופן אוטומטי, כאשר כל ארגון יכול להקשיח או להקל את המדיניות המוצעת, בהתאם לצרכיו.

פתרון ניהול הרשאות כולל גם פיצ'ר הנקרא Just-in-Time, אשר מעניק למשתמשים את הגישה שהם צריכים – למשל להתחבר למערכת ספציפית בארגון – בדיוק ברגע בו הם זקוקים לה, לא לפני ולא אחרי. כמובן שההרשאות ניתנות באופן דיפרנציאלי בהתאמה לסוג המשתמש, כך שעובד קבלן, לדוגמה, יקבל הרשאות שונות מאשר עובד החברה. בנוסף, הפתרון יכול לנטר מערכות חדשות בארגון ולגלות לדוגמה מקרים בהם יש מדיניות הרשאות מחמירה שלא לצורך, וחשוב לא פחות – הפתרון אינו פוגע בהמשכיות העסקית השוטפת של הארגון.

יש לא מעט ארגונים שהטמיעו למשל פתרון לניהול סיסמאות, אולם פתרון כזה אינו מספיק על מנת להתמודד עם תקיפה הדומה למקרה של רייזר, המתוארת בציוץ של ג'ון-האט.


גישה הוליסטית לאבטוח ושילוב של פתרון ניהול גישה (PAM – ר"ת Privileged Access Management) זו הדרך הבטוחה לצמצום יעיל של נקודות התורפה של הארגון ולהגנה מלאה שלו. ארגונים המעוניינים להטמיע מדיניות ניהול הרשאות אוניברסלית באופן הדרגתי יכולים להתחיל עם האירועים הקריטיים ביותר, ובהדרגה להרחיב את הפתרון עד ליישום מקיף של PAM.

הכותב הוא CTO בחברת פורטק, המפיצה הבלעדית בארץ של BeyondTrust 

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים