Ενώ οι ομάδες IT επενδύουν πολλά στην ασφάλεια σύνδεσης, πολλές δεν εφαρμόζουν τον ίδιο έλεγχο στις επαναφορές κωδικών πρόσβασης. Εάν η διαδρομή επαναφοράς είναι πιο αδύναμη από τη διαδρομή ελέγχου ταυτότητας, γίνεται ο λογικός στόχος.
Μόλις ένας εισβολέας αποκτήσει θέση, το επόμενο βήμα είναι η επαναφορά των διαπιστευτηρίων που συνδέονται με πιο πολύτιμους λογαριασμούς. Μια ανεπαρκώς προστατευμένη διαδικασία επαναφοράς μπορεί να τους επιτρέψει να μετακινηθούν μέσω ενός δικτύου και να αποκτήσουν υψηλότερα προνόμια, ενώ παράλληλα συνδυάζονται ως νόμιμος χρήστης.
Η κατανόηση των κινδύνων πίσω από την επαναφορά κωδικού πρόσβασης είναι ζωτικής σημασίας, επομένως εξετάζουμε πώς οι εισβολείς χρησιμοποιούν τις επαναφορές κωδικού πρόσβασης για να κλιμάκωση των προνομίων και εντοπίστε επτά πρακτικούς τρόπους για να κλείσετε αυτά τα κενά χωρίς να επιβραδύνετε την ομάδα σας.
Πώς οι εισβολείς κλιμακώνουν τα προνόμια μέσω επαναφοράς κωδικού πρόσβασης
Σε πολλά περιβάλλοντα, η διαδικασία επαναφοράς βρίσκεται ελαφρώς έξω από τα ισχυρά στοιχεία ελέγχου που εφαρμόζονται στον κανονικό έλεγχο ταυτότητας. Αντί να προσπαθούν να ξεπεράσουν τις σκληρυμένες άμυνες σύνδεσης, οι εισβολείς αναζητούν μονοπάτια επαναφοράς που είναι πιο εύκολο να χειριστούν. Οι κοινές διαδρομές κλιμάκωσης περιλαμβάνουν:
Παραβιασμένοι τυπικοί λογαριασμοί: Ένας εισβολέας αποκτά πρόσβαση σε έναν χρήστη χαμηλών προνομίων και, στη συνέχεια, εξερευνά επιλογές επαναφοράς για λογαριασμούς υψηλότερης αξίας. Αυτό είναι ιδιαίτερα επικίνδυνο όταν τα εργαλεία του γραφείου υποστήριξης ή τα δικαιώματα διαχειριστή με χαλαρή εμβέλεια επιτρέπουν την πλευρική κίνηση.
Helpdesk Social engineering: Οι επιτιθέμενοι υποδύονται τους υπαλλήλους, ισχυρίζονται ότι έχουν αποκλειστεί και πιέζουν για επείγουσες επαναφορές. Υπό πίεση, η ασυνεπής επαλήθευση ταυτότητας μπορεί να οδηγήσει σε παράδοση πρόσβασης.
Επαναφορά υποκλοπής διακριτικού: Εάν οι λογαριασμοί email παραβιάζονται, έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) βασίζεται σε SMS ή οι ρυθμίσεις ανάκτησης δεν έχουν διαμορφωθεί σωστά, οι εισβολείς μπορούν να συλλάβουν συνδέσμους επαναφοράς ή κωδικούς μίας χρήσης χωρίς να γνωρίζουν τον αρχικό κωδικό πρόσβασης.
Κατάχρηση υπεράδειων διαχειριστών: Οι χρήστες με ευρεία δικαιώματα επαναφοράς μπορούν, σκόπιμα ή με άλλο τρόπο, να αλλάξουν τα διαπιστευτήρια για λογαριασμούς πέρα από τον ρόλο τους, δημιουργώντας μια ευκαιρία κλιμάκωσης.
Η αναφορά έρευνας παραβίασης δεδομένων της Verizon διαπίστωσε ότι κλεμμένα διαπιστευτήρια εμπλέκονται στο 44,7% των παραβιάσεων.
Ασφαλίστε εύκολα την υπηρεσία καταλόγου Active Directory με συμβατές πολιτικές κωδικών πρόσβασης, αποκλείοντας 4+ δισεκατομμύρια παραβιασμένους κωδικούς πρόσβασης, ενισχύοντας την ασφάλεια και μειώνοντας τις ταλαιπωρίες υποστήριξης!
Επτά τρόποι για να διασφαλίσετε την επαναφορά κωδικού πρόσβασης
1. Απαιτείται MFA
Το MFA είναι ένας από τους πιο αποτελεσματικούς ελέγχους κατά της κλιμάκωσης των προνομίων μέσω επαναφοράς κωδικού πρόσβασης. Η απαίτηση MFA για αιτήματα επαναφοράς θα πρέπει να αποτελεί βασική διασφάλιση σε οποιαδήποτε ροή εργασιών επαναφοράς. Ωστόσο, δεν προσφέρουν όλες οι μέθοδοι MFA το ίδιο επίπεδο προστασίας. Οι λύσεις MFA όπως οι κωδικοί που αποστέλλονται μέσω email και SMS δεν είναι αλάνθαστες.
Για λογαριασμούς υψηλής αξίας ή λογαριασμούς διαχείρισης, MFA ανθεκτικό στο phishing (όπως το FIDO2 ή ο έλεγχος ταυτότητας με υποστήριξη υλικού) παρέχει ισχυρότερη προστασία έναντι υποκλοπής διακριτικών. Μειώνει την αποτελεσματικότητα της υποκλοπής διακριτικών, της εναλλαγής SIM και του ηλεκτρονικού ψαρέματος διαπιστευτηρίων.
2. Ενισχύστε την ασφάλεια της συσκευής
Οι επαναφορές κωδικών πρόσβασης που ξεκινούν από μη διαχειριζόμενες ή άγνωστες συσκευές δημιουργούν περιττή έκθεση. Τα παραβιασμένα τελικά σημεία, οι προσωπικές συσκευές ή οι περίοδοι σύνδεσης που προέρχονται από ασυνήθιστες τοποθεσίες αυξάνουν τον κίνδυνο.
Όπου είναι δυνατόν, περιορίστε τις εγκρίσεις επαναφοράς σε αξιόπιστες, διαχειριζόμενες συσκευές και εφαρμόστε ελέγχους στάσης της συσκευής. Αποκλεισμός ή ενίσχυση της επαλήθευσης για αιτήματα που προέρχονται από νέες γεωγραφικές περιοχές ή διευθύνσεις IP υψηλού κινδύνου. Δεν αρκεί μόνο η ταυτότητα. Το MFA επικυρώνει την ταυτότητα του χρήστη και όχι τη στάση ασφαλείας της συσκευής.
3. Εφαρμόστε ισχυρές πολιτικές κωδικών πρόσβασης
Οι επαναφορές κωδικού πρόσβασης βελτιώνουν την ασφάλεια μόνο εάν ο νέος κωδικός πρόσβασης είναι πραγματικά ισχυρός. Οι οργανισμοί θα πρέπει να επιβάλλουν σαφείς απαιτήσεις ελάχιστου μήκους, να αποκλείουν κοινούς κωδικούς πρόσβασης ή παραβιάσεις και να εμποδίζουν τους χρήστες να ανακυκλώνουν παλιά διαπιστευτήρια.
Οι κανόνες πολυπλοκότητας μπορούν να βοηθήσουν, αλλά οι υπερβολικά άκαμπτες απαιτήσεις οδηγούν σε προβλέψιμα μοτίβα και απογοητευμένους χρήστες. Συνθηματικές φράσεις μετριάστε αυτό το πρόβλημα, καθώς είναι πιο δύσκολο να τα σπάσουν και να θυμούνται ευκολότερα οι εργαζόμενοι.
Λύσεις όπως Πολιτική κωδικού πρόσβασης Specops βοηθήστε τους οργανισμούς να εφαρμόσουν ισχυρότερες, πιο αναλυτικές απαιτήσεις κωδικού πρόσβασης από αυτές που είναι διαθέσιμες μέσω των εγγενών πολιτικών της Microsoft. Επίσης, αποκλείει συνεχώς περισσότερους από 5,4 δισεκατομμύρια γνωστούς παραβιασμένους κωδικούς πρόσβασης μέσω της δυνατότητας Προστασίας παραβιασμένου κωδικού πρόσβασης, μειώνοντας την πιθανότητα οι εισβολείς να κάνουν κατάχρηση νόμιμων διαπιστευτηρίων.
4. Εκπαιδεύστε τους χρήστες και τις ομάδες υποστήριξης
Η επαναφορά κωδικού πρόσβασης είναι ένας συχνός στόχος phishing, επειδή οι εισβολείς γνωρίζουν ότι η επείγουσα ανάγκη μειώνει την προσοχή. Εκπαιδεύστε τους υπαλλήλους να αναγνωρίζουν απάτες επαναφοράς, ύποπτα μηνύματα MFA και απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου ανάκτησης.
Οι ομάδες υποστήριξης χρειάζονται επίσης συνεπή διαδικασίες επαλήθευσης ταυτότητας. Ακόμη και σε περιβάλλοντα με επαναφορές αυτοεξυπηρέτησης, μια εσπευσμένη έγκριση μπορεί γρήγορα να γίνει μια διαδρομή κλιμάκωσης προνομίων.
5. Εκτελέστε τακτικούς ελέγχους και παρακολουθήστε τη δραστηριότητα επαναφοράς
Οι οργανισμοί θα πρέπει να καταγράφουν και να ελέγχουν τα αιτήματα επαναφοράς, ειδικά τους προνομιούχους λογαριασμούς. Οι ομάδες θα πρέπει να παρακολουθούν και να έχουν ειδοποιήσεις για ασυνήθιστα μοτίβα, όπως επαναλαμβανόμενες προσπάθειες, δραστηριότητα εκτός ωραρίου ή επαναφορές που προέρχονται από απροσδόκητες τοποθεσίες.
Είναι επίσης σημαντικό να ελέγχετε τακτικά ποιος έχει άδεια να επαναφέρει τους κωδικούς πρόσβασης για άλλους. Η υπερβολικά ευρεία πρόσβαση μπορεί να δημιουργήσει ευκαιρίες κλιμάκωσης που περνούν απαρατήρητες μέχρι να εκμεταλλευτούν.
6. Εφαρμόστε το ελάχιστο προνόμιο
Εφαρμογή ελάχιστο προνόμιο βοηθά στον περιορισμό της κλιμάκωσης διασφαλίζοντας ότι οι χρήστες, συμπεριλαμβανομένων των διαχειριστών, έχουν μόνο τα δικαιώματα που απαιτούνται για τον ρόλο τους. Αυτό περιλαμβάνει τον περιορισμό του ποιος μπορεί να επαναφέρει τους κωδικούς πρόσβασης για άλλους και τον διαχωρισμό λογαριασμών υψηλού προνομίου από την καθημερινή δραστηριότητα των χρηστών.
Η προνομιακή πρόσβαση θα πρέπει να τυγχάνει αυστηρής εμβέλειας, να δεσμεύεται χρονικά όπου είναι δυνατόν και να επανεξετάζεται τακτικά. Όσο λιγότερες ευκαιρίες έχουν οι εισβολείς να μεταπηδήσουν από τον έναν λογαριασμό στον άλλο, τόσο πιο δύσκολο είναι για μια επαναφορά να κλιμακωθεί σε πλήρη διαχειριστικό έλεγχο.
7. Αποφύγετε τον έλεγχο ταυτότητας που βασίζεται στη γνώση
Οι ερωτήσεις ασφαλείας και άλλοι έλεγχοι «κάτι που ξέρετε» δεν είναι πλέον αξιόπιστος τρόπος προστασίας των επαναφορών κωδικού πρόσβασης. Οι απαντήσεις είναι πιο εύκολο να μαντέψουν, καθώς οι άνθρωποι μοιράζονται περισσότερες πληροφορίες για τον εαυτό τους στα μέσα κοινωνικής δικτύωσης. Χρησιμοποιήστε αντ’ αυτού επαλήθευση βάσει κατοχής, όπως ασφαλή μηνύματα MFA ή ελέγχους που συνδέονται με αξιόπιστες συσκευές.
Εδώ είναι αυτό Λύση πρόσβασης μηδενικής εμπιστοσύνης Infinipoint της Specops βοηθά συνδέοντας τις ταυτότητες χρηστών σε αξιόπιστες συσκευές, διασφαλίζοντας ότι ο έλεγχος ταυτότητας επιτυγχάνεται μόνο από εγκεκριμένες, εγγεγραμμένες συσκευές.
Πώς μπορεί να βοηθήσει το Specops
Η διασφάλιση επαναφοράς κωδικού πρόσβασης σημαίνει προστασία ολόκληρου του κύκλου ζωής του λογαριασμού, από την ανάκτηση έως τη συνεχή παρακολούθηση. Βοηθάμε τους οργανισμούς να μειώσουν τον κίνδυνο κλιμάκωσης προνομίων ενισχύοντας τις ροές εργασιών επαναφοράς Προδιαγραφές uReset.
Οι απομακρυσμένοι χρήστες μπορούν να αλλάξουν τον κωδικό πρόσβασής τους από οποιαδήποτε τοποθεσία και οποιαδήποτε ώρα της ημέρας, είτε σε VPN είτε εκτός. Πολλαπλές επιλογές ελέγχου ταυτότητας εγγυώνται ότι οι χρήστες μπορούν να ολοκληρώσουν τις επαναφορές ακόμα και αν ένας πάροχος ταυτότητας δεν είναι διαθέσιμος.
Μας προϊόντα ασφάλειας ταυτότητας έχουν σχεδιαστεί για να υποστηρίζουν τις ομάδες IT με την τεχνογνωσία που απαιτείται για να διατηρήσουν την πρόσβαση ασφαλή χωρίς να προσθέτουν περιττές τριβές.
Εάν θέλετε να δείτε πώς το Specops μπορεί να σας βοηθήσει να εξασφαλίσετε την επαναφορά του κωδικού πρόσβασής σας, επικοινωνήστε μαζί μας σήμερα ή κάντε κράτηση για μια επίδειξη για να δείτε τις λύσεις μας σε δράση.
Χορηγός και γραμμένος από Λογισμικό Specops.
VIA: bleepingcomputer.com
