منع التهديدات والكشف عنها في بيئات SaaS
تمثل التهديدات القائمة على الهوية في تطبيقات SaaS مصدر قلق متزايد بين المتخصصين في مجال الأمن، على الرغم من أن القليل منهم يمتلك القدرات اللازمة لاكتشافها والاستجابة لها.
وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، 90% من جميع الهجمات الإلكترونية لنبدأ بالتصيد الاحتيالي، وهو تهديد قائم على الهوية. أضف إلى ذلك الهجمات التي تستخدم بيانات الاعتماد المسروقة، والحسابات المفرطة في التوفير، والتهديدات الداخلية، ويصبح من الواضح تمامًا أن الهوية هي ناقل الهجوم الأساسي.
ومما زاد الطين بلة، أن الحسابات البشرية ليست فقط هي التي يتم استهدافها. تقوم الجهات الفاعلة في مجال التهديد أيضًا باختطاف الهويات غير البشرية، بما في ذلك حسابات الخدمة وتفويضات OAuth، واختراقها في تطبيقات SaaS.
عندما تجتاز الجهات الفاعلة في مجال التهديد الدفاعات الأولية، فإن وجود نظام قوي للكشف عن تهديدات الهوية والاستجابة لها (ITDR) كجزء لا يتجزأ من أمن الهوية يمكن أن يمنع الانتهاكات الجسيمة. أشهر الماضية ندفة الثلج الخرق هو مثال مثالي. استفادت الجهات الفاعلة في مجال التهديد من المصادقة ذات العامل الواحد للوصول إلى الحساب. وبمجرد دخولها، كانت الشركة تفتقر إلى أي قدرة ذات معنى على اكتشاف التهديدات، مما مكن الجهات الفاعلة في مجال التهديد من تسريب أكثر من 560 مليون سجل للعملاء.
كيف يعمل ITDR
ITDR يجمع بين عدة عناصر للكشف عن تهديدات SaaS. فهو يراقب الأحداث عبر مكدس SaaS، ويستخدم معلومات تسجيل الدخول وبيانات الجهاز وسلوك المستخدم لتحديد الانحرافات السلوكية التي تشير إلى وجود تهديد. تعتبر كل حالة شاذة مؤشرًا على التسوية (IOC)، وعندما تصل هذه الحالات الشاذة إلى عتبة محددة مسبقًا، يطلق ITDR تنبيهًا.
على سبيل المثال، إذا قام أحد المسؤولين بتنزيل كمية غير عادية من البيانات، فسوف تعتبر ITDR ذلك بمثابة IOC. ومع ذلك، إذا تم التنزيل في منتصف الليل أو تم على جهاز كمبيوتر غير عادي، فقد يعتبر الجمع بين بطاقات IOC تلك بمثابة تهديد.
وبالمثل، إذا قام مستخدم بتسجيل الدخول من ASN مشبوه بعد محاولات تسجيل الدخول العنيفة، فإن ITDR يصنف تسجيل الدخول على أنه تهديد، مما يؤدي إلى الاستجابة للحادث. باستخدام مجموعة بيانات غنية من تطبيقات متعددة، يستطيع ITDR اكتشاف التهديدات بناءً على بيانات من تطبيقات مختلفة. إذا قام مستخدم بتسجيل الدخول إلى تطبيق واحد من نيويورك وتطبيق آخر من باريس في نفس الوقت، فقد يبدو الأمر كسلوك عادي إذا كان ITDR يقتصر على مراجعة سجلات الأحداث لتطبيق واحد. تأتي قوة SaaS ITDR من مراقبة البيانات عبر مكدس SaaS.
في الاختراق الأخير الذي اكتشفه Adaptive Shield، تسللت جهات التهديد إلى نظام كشوف مرتبات الموارد البشرية وغيرت أرقام الحسابات للعديد من الحسابات المصرفية للموظفين. ولحسن الحظ، اكتشفت محركات ITDR الإجراءات الشاذة، وتم تصحيح بيانات الحساب قبل تحويل أي أموال إلى الجهات التهديدية.
الحد من المخاطر القائمة على الهوية
هناك عدد من الخطوات التي يجب على المنظمات اتخاذها لتقليل مخاطر التهديدات القائمة على الهوية وتعزيز نسيج هويتها.
تعد المصادقة متعددة العوامل (MFA) والتسجيل الموحد (SSO) أمرًا بالغ الأهمية في هذه الجهود. يؤدي تقليم الأذونات والالتزام بمبدأ الامتيازات الأقل (PoLP) والتحكم في الوصول المستند إلى الأدوار (RBAC) أيضًا إلى الحد من وصول المستخدم وتقليل سطح الهجوم.
ولسوء الحظ، فإن العديد من أدوات إدارة الهوية غير مستغلة بالقدر الكافي. تقوم المؤسسات بإيقاف تشغيل MFA، وتتطلب معظم تطبيقات SaaS من المسؤولين أن يكون لديهم إمكانات تسجيل الدخول المحلية في حالة تعطل تسجيل الدخول الموحّد (SSO).
فيما يلي بعض إجراءات إدارة الهوية الاستباقية للتخفيف من مخاطر الانتهاكات القائمة على الهوية:
تصنيف حساباتك
تنقسم الحسابات عالية المخاطر بشكل عام إلى عدة فئات. لإنشاء حوكمة وإدارة قوية للهوية، يجب أن تبدأ فرق الأمان بتصنيف أنواع المستخدمين المختلفة. قد تكون هذه حسابات موظفين سابقين، أو حسابات ذات امتيازات عالية، أو حسابات خاملة، أو حسابات غير بشرية، أو حسابات خارجية.
1. إلغاء توفير الموظفين السابقين وإلغاء تنشيط حسابات المستخدمين الخاملة
يمكن أن تؤدي الحسابات النشطة للموظفين السابقين إلى مخاطر كبيرة على المؤسسات. يفترض العديد من مسؤولي SaaS أنه بمجرد إزالة الموظف من موفر الهوية (IdP)، تتم إزالة وصوله تلقائيًا من تطبيقات SaaS الخاصة بالشركة.
على الرغم من أن هذا قد يكون صحيحًا بالنسبة لتطبيقات SaaS المتصلة بموفر الهوية (IdP)، إلا أن العديد من تطبيقات SaaS غير متصلة. في هذه الظروف، يجب على المسؤولين وفرق الأمان العمل معًا لإلغاء تزويد المستخدمين السابقين ببيانات الاعتماد المحلية.
ويجب تحديد الحسابات الخاملة وإلغاء تنشيطها كلما أمكن ذلك. في كثير من الأحيان، يستخدم المسؤولون هذه الحسابات لإجراء الاختبار أو إعداد التطبيق. لديهم امتيازات عالية ويتم مشاركتها من قبل عدة مستخدمين بكلمة مرور سهلة التذكر. تمثل حسابات المستخدمين هذه خطرًا كبيرًا على التطبيق وبياناته.
2. مراقبة المستخدمين الخارجيين
ويجب أيضًا مراقبة الحسابات الخارجية. غالبًا ما تُمنح للوكالات أو الشركاء أو المستقلين، ولا تملك المنظمة سيطرة حقيقية على من يمكنه الوصول إلى بياناتهم. عندما تنتهي المشاريع، غالبًا ما تظل هذه الحسابات نشطة ويمكن استخدامها من قبل أي شخص لديه بيانات اعتماد لاختراق التطبيق. وفي كثير من الحالات، تتمتع هذه الحسابات أيضًا بامتياز.
3. تقليم أذونات المستخدم
كما ذكرنا سابقًا، تعمل الأذونات المفرطة على توسيع سطح الهجوم. من خلال تطبيق مبدأ الامتيازات الأقل (POLP)، يتمتع كل مستخدم بإمكانية الوصول فقط إلى المناطق والبيانات داخل التطبيق التي يحتاجها للقيام بعمله. إن تقليل عدد الحسابات ذات الامتيازات العالية يقلل بشكل كبير من تعرض الشركة لانتهاك كبير.
4. إنشاء شيكات للحسابات المميزة
حسابات المشرف عالية المخاطر. وإذا تم اختراقها، فإنها تعرض المؤسسات لانتهاكات كبيرة للبيانات.
قم بإنشاء فحوصات أمنية ترسل تنبيهات عندما يتصرف المستخدمون بشكل مريب. تتضمن بعض الأمثلة على السلوك المشبوه عمليات تسجيل الدخول غير المعتادة في وقت متأخر من الليل، أو الاتصال بمحطة عمل من الخارج، أو تنزيل كميات كبيرة من البيانات. قد يكون المشرفون الذين يقومون بإنشاء حسابات مستخدمين ذات امتيازات عالية ولكن لا يقومون بتعيينها لعنوان بريد إلكتروني مُدار موضع شك.
إن تحديد عمليات التحقق الأمني التي تراقب هذه الأنواع من السلوكيات يمكن أن يمنح فريق الأمان الخاص بك السبق في تحديد الهجوم في مرحلة مبكرة.
جعل الكشف عن تهديدات الهوية أولوية
نظرًا لأن معلومات الشركة الأكثر حساسية يتم وضعها خلف محيط قائم على الهوية، فمن المهم بشكل متزايد بالنسبة للمؤسسات إعطاء الأولوية لنسيج هويتها. كل طبقة من الأمان الموضوعة حول الهوية تجعل من الصعب على الجهات الفاعلة في مجال التهديد الوصول إليها.
بالنسبة لأولئك الذين يجتازون الدفاعات الأولية، فإن وجود نظام ITDR قوي كجزء لا يتجزأ من نسيج الهوية يعد أمرًا ضروريًا للحفاظ على الأمان وحماية البيانات الحساسة من التعرض. فهو يحدد التهديدات النشطة وينبه فرق الأمان أو يتخذ خطوات تلقائية لمنع الجهات الفاعلة التي تهدد التهديد من التسبب في أي ضرر.
تعرف على المزيد حول اكتشاف التهديدات في حزمة SaaS لديك
إرسال التعليق