Οι έλεγχοι κωδικών πρόσβασης αποτελούν τυπικό μέρος των περισσότερων προγραμμάτων ασφαλείας. Βοηθούν τους οργανισμούς να επιδείξουν συμμόρφωση, να μειώσουν τον προφανή κίνδυνο και να επιβεβαιώσουν ότι υπάρχουν βασικοί έλεγχοι. Ωστόσο, σε πολλές περιπτώσεις οι λογαριασμοί που εμφανίζονται σε μια έκθεση ελέγχου δεν είναι πάντα ο στόχος των λογαριασμών των εισβολέων.
Οι περισσότεροι έλεγχοι κωδικών πρόσβασης επικεντρώνονται σε σήματα όπως οι πολιτικές πολυπλοκότητας και λήξης. Αν και είναι σημαντικοί, αυτοί οι έλεγχοι χάνουν πιθανούς κινδύνους όπως υπερπρονομιούχους χρήστες, ξεχασμένη πρόσβαση, λογαριασμούς υπηρεσιώνή διαπιστευτήρια που έχουν ήδη εκτεθεί σε παραβίαση.
Για να κατανοήσετε τους κινδύνους, είναι σημαντικό να εξετάσετε πού συνήθως αποτυγχάνουν οι έλεγχοι κωδικών πρόσβασης και τι μπορούν να κάνουν οι ομάδες ασφαλείας για να τους κάνουν πιο αποτελεσματικούς χωρίς να παραβλέπουμε τις ρυθμιστικές απαιτήσεις.
Η δύναμη χωρίς πλαίσιο δεν σταματά τις επιθέσεις
Οι έλεγχοι κωδικών πρόσβασης συχνά ξεκινούν με κανόνες ισχύος: ελάχιστο μήκοςαπαιτήσεις πολυπλοκότητας, πολιτικές εναλλαγής και έλεγχοι έναντι κοινών αδύναμων επιλογών. Αλλά αν τελειώνουν εκεί, αυτοί οι έλεγχοι χάνουν κρίσιμα τρωτά σημεία που αναζητούν οι επιτιθέμενοι:
- Επαναχρησιμοποιημένοι κωδικοί πρόσβασης
- Διαπιστευτήρια που εκτέθηκαν σε προηγούμενες παραβιάσεις
- Προβλέψιμα μοτίβα που συνδέονται με τον οργανισμό ή τον κλάδο
Ένας κωδικός πρόσβασης μπορεί να ικανοποιήσει κάθε απαίτηση συμμόρφωσης και εξακολουθεί να είναι εύκολα μαντέψιμος στο πλαίσιο. Για παράδειγμα, ένας υπάλληλος σε ένα νοσοκομείο που χρησιμοποιεί κάτι σαν Healthcare123! μπορεί να ικανοποιεί τεχνικά κανόνες πολυπλοκότητας, αλλά οι εισβολείς μπορούν εύκολα να το σπάσουν χρησιμοποιώντας α στοχευμένη λίστα λέξεων.
Ακόμη χειρότερα, ένας κωδικός πρόσβασης μπορεί να φαίνεται «ισχυρός» ενώ έχει ήδη παραβιαστεί. Εάν έχει διαρρεύσει λόγω παραβίασης αλλού, οι εισβολείς μπορούν απλώς να συνδεθούν με αυτό. Μια μελέτη τονίζει αυτόν τον κίνδυνο, όπου Το 83% των 800 εκατομμυρίων γνωστών παραβιασμένων κωδικών πρόσβασης ειδάλλως ικανοποιούνται οι κανονιστικές απαιτήσεις.
Χωρίς παραβιασμένος κωδικός πρόσβασης έλεγχος, οι έλεγχοι δημιουργούν ένα κενό όπου οι λογαριασμοί φαίνονται ασφαλείς στα χαρτιά, αλλά παραμένουν εύκολο να παραβιαστούν. Αυτό ισχύει ιδιαίτερα για λογαριασμούς υψηλής αξίας, όπου μια επιτυχημένη σύνδεση μπορεί να ανοίξει την πόρτα σε πολύ ευρύτερη πρόσβαση.
Τι να κάνετε αντ ‘αυτού: Οι σύγχρονοι έλεγχοι θα πρέπει να περιλαμβάνουν έλεγχο παραβίασης κωδικού πρόσβασης και ιεράρχηση βάσει κινδύνου, έτσι ώστε η εστίαση να παραμένει στους λογαριασμούς που είναι πιο πιθανό να στοχεύουν οι εισβολείς. Εργαλεία όπως Πολιτική κωδικού πρόσβασης Specops βοηθήστε ελέγχοντας συνεχώς τα διαπιστευτήρια σε μια βάση δεδομένων με περισσότερα από 5,4 δισεκατομμύρια παραβιασμένους κωδικούς πρόσβασης.
Παράλληλα με το να επιτρέπει στους οργανισμούς να δημιουργούν απεριόριστες προσαρμοσμένες λίστες αποκλεισμού όρων μοναδικών για το περιβάλλον τους, η Πολιτική κωδικού πρόσβασης Specops μειώνει την πιθανότητα οι εισβολείς να χρησιμοποιούν επιτυχώς εκτεθειμένα ή προβλέψιμα διαπιστευτήρια.
Οι ορφανοί λογαριασμοί δεν ελέγχονται
Συνήθως, οι έλεγχοι κωδικών πρόσβασης υποθέτουν ότι οι λογαριασμοί που έχουν σημασία είναι αυτοί στην τρέχουσα λίστα υπαλλήλων. Ωστόσο, σε πολλά περιβάλλοντα, δεν ανήκει κάθε ενεργός λογαριασμός σε έναν ενεργό υπάλληλο.
Οι επιτιθέμενοι το γνωρίζουν αυτό, γι’ αυτό και οι “ορφανοί” λογαριασμοί είναι τόσο ελκυστικός στόχος. Οι λογαριασμοί που ανήκουν σε πρώην υπαλλήλους, εργολάβους, δοκιμαστικούς λογαριασμούς ή σκιώδεις λογαριασμούς IT που λειτουργούν εκτός κανονικών διαδικασιών ταυτότητας είναι πολύ συνηθισμένοι σε εταιρικά περιβάλλοντα.
Ορφανοί λογαριασμοί μπορεί να καθίσει ήσυχα για μήνες ή χρόνια χωρίς κανείς να δώσει σημασία. Τείνουν επίσης να έχουν πιο αδύναμα στοιχεία ελέγχου, όπως ξεπερασμένους κωδικούς πρόσβασης ή λείπουν επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)..
Εάν ένας εισβολέας βρει έγκυρα διαπιστευτήρια για έναν παλιό λογαριασμό εργολάβου, μπορεί να αποκτήσει πρόσβαση χωρίς να ενεργοποιήσει τις ίδιες ειδοποιήσεις που θα έκανε μια προνομιακή σύνδεση.
Τι να κάνετε αντ ‘αυτού: Οι έλεγχοι κωδικών πρόσβασης πρέπει να εκτείνονται πέρα από τους “ενεργούς χρήστες” και να περιλαμβάνουν αδρανείς, εξωτερικούς και μη συνδεδεμένους λογαριασμούς HR. Σύζευξη έλεγχοι κωδικών πρόσβασης με τακτικούς ελέγχους πρόσβασης και η αυτοματοποιημένη κατάργηση παροχής συμβάλλει στην κάλυψη ενός από τα πιο παραβλεφθέντα κενά στην ασφάλεια του λογαριασμού.
Η αναφορά έρευνας παραβίασης δεδομένων της Verizon διαπίστωσε ότι κλεμμένα διαπιστευτήρια εμπλέκονται στο 44,7% των παραβιάσεων.
Ασφαλίστε εύκολα την υπηρεσία καταλόγου Active Directory με συμβατές πολιτικές κωδικών πρόσβασης, αποκλείοντας 4+ δισεκατομμύρια παραβιασμένους κωδικούς πρόσβασης, ενισχύοντας την ασφάλεια και μειώνοντας τις ταλαιπωρίες υποστήριξης!
Οι έλεγχοι χάνουν λογαριασμούς υπηρεσιών υψηλής αξίας
Οι λογαριασμοί υπηρεσίας συχνά παραβλέπονται στους ελέγχους κωδικών πρόσβασης που εστιάζουν στο χρήστη, κάτι που είναι ένα ζήτημα καθώς αυτοί οι λογαριασμοί έχουν συχνά υπερβολικά δικαιώματα παράλληλα κωδικούς πρόσβασης που δεν λήγουν ποτέ. Από την άποψη ενός εισβολέα, η παραβίαση ενός λογαριασμού υπηρεσίας μπορεί να παρέχει μακροπρόθεσμη πρόσβαση χωρίς την ορατότητα ή τον έλεγχο που συνοδεύει μια προνομιακή σύνδεση χρήστη.
Το αποτέλεσμα είναι ότι οι οργανισμοί μπορεί να περάσουν έναν έλεγχο κωδικού πρόσβασης, ενώ ορισμένοι από τους πιο επικίνδυνους λογαριασμούς παραμένουν ουσιαστικά χωρίς διαχείριση.
Τι να κάνετε αντ ‘αυτού: Έλεγχοι κωδικών πρόσβασης θα πρέπει να περιλαμβάνει ρητά λογαριασμούς υπηρεσιών, ειδικά αυτούς με αυξημένα δικαιώματα. Η μετακίνηση των διαπιστευτηρίων σε ένα θησαυροφυλάκιο, η επιβολή περιστροφής και η εφαρμογή πρόσβασης με τα λιγότερα προνόμια μπορούν να μειώσουν σημαντικά τον κίνδυνο οι λογαριασμοί υπηρεσίας να γίνουν η ευκολότερη διαδρομή του εισβολέα στην κρίσιμη υποδομή.
Οι επιτόπιοι έλεγχοι δεν μπορούν να συμβαδίσουν με τις συνεχείς απειλές
Ένας έλεγχος παρέχει ένα στιγμιότυπο της υγιεινής του κωδικού πρόσβασης τη στιγμή που διεξήχθη ο έλεγχος. Αλλά οι επιθέσεις που βασίζονται σε διαπιστευτήρια είναι συνεχείς και ο κίνδυνος μπορεί να αλλάξει από τη μια μέρα στην άλλη.
Ένα από τα πιο συνηθισμένα παραδείγματα είναι γέμιση διαπιστευτηρίων. Οι εισβολείς παίρνουν ονόματα χρήστη και κωδικούς πρόσβασης που εκτίθενται σε μία παραβίαση και τα δοκιμάζουν σε άλλες υπηρεσίες, στοιχηματίζοντας σε επαναχρησιμοποίηση κωδικού πρόσβασης. Αυτό σημαίνει ότι ένας λογαριασμός μπορεί να είναι απόλυτα συμβατός σήμερα και να τεθεί σε κίνδυνο αύριο, απλώς και μόνο επειδή τα ίδια διαπιστευτήρια διέρρευσαν αλλού.
Αυτό είναι ιδιαίτερα σημαντικό για μεγαλύτερους οργανισμούς ή για όσους διαθέτουν πύλες σύνδεσης με εξωτερικές όψεις. Οι εισβολείς δεν χρειάζεται να παραβιάσουν τους κανόνες κωδικών πρόσβασης εάν μπορούν απλώς να επαναχρησιμοποιήσουν διαπιστευτήρια που υπάρχουν ήδη σε εγκληματικές αγορές.
Τι να κάνετε αντ ‘αυτού: Ο έλεγχος με ισχυρό κωδικό πρόσβασης χρειάζεται ένα στοιχείο συνεχούς παρακολούθησης. Αυτό περιλαμβάνει τακτικό έλεγχο των διαπιστευτηρίων έναντι ενημερωμένων δεδομένων παραβίασης, παρακολούθηση ύποπτων στοιχείων μοτίβα σύνδεσηςκαι αντιμετωπίζοντας την ασφάλεια του κωδικού πρόσβασης ως διαρκή έλεγχο.
Πώς να πραγματοποιήσετε ασφαλείς ελέγχους κωδικών πρόσβασης
Εάν ο στόχος είναι να μειωθεί η πιθανότητα συμβιβασμού, όχι απλώς να περάσει μια αξιολόγηση, οι έλεγχοι πρέπει να αντικατοπτρίζουν τον τρόπο με τον οποίο λειτουργούν πραγματικά οι επιτιθέμενοι. Τουλάχιστον, οι έλεγχοι κωδικών πρόσβασης πρέπει:
- Ελέγξτε τους κωδικούς πρόσβασης έναντι γνωστών δεδομένων παραβίασηςόχι μόνο κανόνες πολυπλοκότητας
- Δώστε προτεραιότητα σε λογαριασμούς υψηλής αξίας και προνομιούχουςαντί να αντιμετωπίζουμε όλους τους χρήστες ισότιμα
- Συμπεριλάβετε ορφανούς και αδρανείς λογαριασμούςόχι μόνο ενεργούς υπαλλήλους
- Καλύπτουν ρητά τους λογαριασμούς υπηρεσιώνειδικά εκείνων με αυξημένα δικαιώματα
- Ενσωματώστε συνεχή παρακολούθησηαντί να βασίζεστε σε περιοδικά στιγμιότυπα
- Εξετάστε την ανθεκτικότητα του MFAιδιαίτερα για ευαίσθητα συστήματα
Λύσεις όπως Specops Password Auditor βοηθήστε τους οργανισμούς να αξιολογήσουν την κατάσταση του κωδικού πρόσβασής τους εκτελώντας μια σάρωση μόνο για ανάγνωση του Active Directory και επισημαίνοντας ευπάθειες όπως ανενεργούς προνομιούχους λογαριασμούς διαχειριστή ή παραβιασμένους κωδικούς πρόσβασης.
Για να κατανοήσετε περισσότερα σχετικά με τον τρόπο λειτουργίας αυτών των στοιχείων ελέγχου στον οργανισμό σας, μιλήστε με έναν ειδικό της Specops ή ζητήστε μια ζωντανή επίδειξη.
Χορηγός και συγγραφή από Λογισμικό Specops.
VIA: bleepingcomputer.com
