معکوس کردن خطر پنهان خزش مجوز – شماره 6 2022

“مجوزهای کاربر می توانند بسیار ساده به نظر برسند، مانند یک جست و خیز با لیست مهمان – واقعا چقدر می تواند پیچیده باشد؟” گرین می گوید. اما وقتی با سیستم‌های تجاری متعدد، ذخیره‌سازی فایل‌ها، محیط‌های همکاری و پروژه‌های همپوشانی سر و کار دارید، تخصیص مجوزها و از دست دادن مسیر اینکه چه کسی می‌تواند چه کاری را انجام دهد بسیار آسان است.

“بهترین راه برای مدیریت حساب‌های کاربر، خودکار کردن آنها از طریق داده‌های منابع انسانی است. اگر شخصی ارتقا یابد، به طور خودکار مجوزهای خاصی را به دست می‌آورد و از دست می‌دهد. اگر شخصی شرکت را ترک کند، دسترسی او به طور خودکار لغو می‌شود. قوانین موقت می‌تواند پروژه یا گروه‌های کاربری خاصی را پوشش دهد. گرین می‌گوید: اگر مدیریت هویت خودکار، سیاست‌های دسترسی و ممیزی امتیازات را با هم ترکیب کنید، خزش مجوز را کاهش داده و از آن جلوگیری می‌کنید.

حالا، تصور کنید که کسی دستش را به آن حساب دارای مجوز می‌برد – چه کاری می‌توانست انجام دهد؟ اگر یک جنایتکار باشد، آنها می توانند یک حمله باج افزار بسیار موثر و گسترده انجام دهند. اگر این کارمند باشد، ممکن است مرتکب کلاهبرداری، سرقت اطلاعات تجاری رقابتی یا ایجاد آسیب در خشم خودپسندانه باشد. هر سناریویی که باشد، حساب‌های کاربری بهترین راه برای به خطر انداختن فناوری‌های تجاری هستند.

شرکت ها حداقل در ابتدا به مجوزهای کاربر توجه زیادی دارند. داشتن قوانین و خط مشی های مجوز سفت و سخت هنگام ایجاد یک حساب کاربری معمولی است. اما با افزایش دوره تصدی کارمند، چنین نظم و انضباط سست می شود. مدیرانی که بیش از حد کار می کنند، به احتمال زیاد وقتی از آنها خواسته می شود، مجوزها را اعطا می کنند، زیرا آنها اولویت های رقابتی دارند و نمی خواهند دیگران را از انجام کارهایشان منع کنند.

“این حتی ادعایی نیست که دیگر نیاز به صلاحیت داشته باشد. چه به گزارش‌های گارتنر، مایکروسافت یا منابع دیگر نگاه کنید، حساب‌های کاربری به خطر افتاده تقریباً همیشه ریشه نقض‌های موفق هستند. این الهام بخش امنیت مبتنی بر هویت است، مانند پل گرین، رئیس Microsoft Identity and Access در شرکت امنیت سایبری Performanta می‌گوید، اگر به منبع مشکل نگاه کنیم، معمولاً به این دلیل است که حساب‌های کاربری حقوق دسترسی بسیار زیادی به دست می‌آورند.

پیشرفت‌های جدیدتر مانند سرویس‌های ابری و کار از راه دور، خزش مجوزها را رایج‌تر و پیچیده‌تر کرده است. اکثر سازمان ها هنوز باید به این موضوع رسیدگی کنند.

با این حال، سیاست، ممیزی و آگاهی کافی نیست. آنها زمان می برند و مستعد خطاهای انسانی هستند. شرکت‌ها باید سیستم‌های مدیریت کاربر و منابع انسانی خود را با استفاده از قوانین تجاری برای تعیین دسترسی به یکدیگر پیوند دهند. ادغام داده‌های منابع انسانی با یک سیستم مدیریت دسترسی مانند Active Directory و یک پلت فرم مدیریت هویت قوی که در آن قوانین، انتخاب‌های مجوز را خودکار می‌کنند، در حال تبدیل شدن به بهترین روش است.

رفع خزش مجوز

قابل توجه است که فیشینگ (یک حمله مکاتبات جعلی که سعی در سرقت اطلاعات کاربری کاربر دارد) و نیزه فیشینگ (همان فیشینگ، اما هدف قرار دادن گروه ها یا افراد خاص) در سال های اخیر به شدت افزایش یافته است.

منبع اجازه خزش

همپوشانی بین بخش‌های مختلف کسب‌وکار نیز مجوزهای مفصلی را ایجاد می‌کند – حقوقی و منابع انسانی که روی قراردادهای کاری کار می‌کنند ممکن است به هر دو گروه نیاز داشته باشد که به منابعی که معمولاً به آنها نیاز ندارند دسترسی داشته باشند. سپس مسئله نفس وجود دارد: مردم وضعیت امتیازات دسترسی را دوست دارند و کارمندان رده بالاتر – به ویژه مدیران اجرایی – می توانند فقط به این دلیل که احساس می کنند مستحق آن هستند، انتظار یا تقاضای دسترسی را داشته باشند.

آیا سناریوی زیر درست است؟ یک کارمند از پایین شروع می‌کند و از طریق سازمان به سمت بالا حرکت می‌کند. همانطور که آنها تبلیغ می شوند، نیاز به دسترسی به برنامه ها و فایل های مختلف دارند. در عرض چند سال، آنها تعداد قابل توجهی از مجوزها را در حساب کاربری خود به دست آورده اند، حتی اگر به بسیاری از این امتیازات نیاز نداشته باشند.

راه‌های زیادی برای نفوذ به سیستم‌های تجاری وجود دارد، اما دستیابی به حسابی مملو از حقوق دسترسی مختلف ساده‌ترین و رایج‌ترین روش است. اگر سازمان شما به خزش مجوز رسیدگی نکند، مجرمان و افراد خودی خطرات بسیار بیشتری دارند. برعکس، یک محیط مدیریت دسترسی قوی، امنیت و بهره وری را تقویت می کند.



منبع: https://www.securitysa.com/17607R

وسوسه انگیز است که مدیران را به خاطر چنین نادیده هایی سرزنش کنیم، اما خزش مجوز اغلب برای رفع نیازهای کسب و کار رخ می دهد. به عنوان مثال، کل تیم ممکن است مجوزهای خاصی را کسب کند زیرا تعداد کمی از اعضا به آن سطوح دسترسی نیاز دارند. کل بخش‌ها می‌توانند از دسترسی به اطلاعات خاصی برای پذیرش کارکنان خاص لذت ببرند.

داشتن خط‌مشی‌های دسترسی مناسب که شامل مقرراتی برای خزش مجوز باشد، مانند تطبیق نقش‌ها با مجوزهای مناسب، انجام ممیزی‌های منظم روی حساب‌ها، و تعیین مدت زمان ماندگاری دسترسی موقت، مهم است. شرکت‌ها باید کانال‌های رسمی برای درخواست‌های مجوز داشته باشند، به ویژه برای کمک به محافظت از یکپارچگی مدیرانی که نمی‌خواهند مدیران از طریق تلفن بر سر آنها فریاد بزنند و خواستار دسترسی شوند.

به همین ترتیب، سیاست ها باید روشن کنند که هیچ کس بالاتر از خط امتیاز نیست – حتی مدیر عامل باید توجیه کند که چرا به این یا آن دسترسی نیاز دارد. گروه‌هایی که برای دسترسی گسترده استفاده می‌شوند، مانند کاربران فوق‌العاده فناوری اطلاعات یا مدیران ارشد، باید انتظارات آن‌ها را کاهش دهند – اگر به دسترسی نیاز نداشته باشند، نمی‌توانند آن را داشته باشند.

گرین می گوید: «از نقطه نظر یک جنایتکار به دسترسی نگاه کنید. “اگر آنها به حساب یک مدیر اجرایی یا مدیر ارشد فناوری اطلاعات دست پیدا کنند، چقدر می توانند آسیب ببینند و ردیابی آنها در سیستم های شما چقدر سخت خواهد بود؟ اینها حساب هایی هستند که آنها هدف قرار می دهند.”

معکوس کردن خطر پنهان خزش مجوز

شماره 6 2022 امنیت سایبری

خزش مجوز، که به آن خزش دسترسی و خزش امتیاز نیز می‌گویند، زمانی است که یک حساب کاربری مجوزهایی دارد که نیازی به آن ندارد. این خزش می‌تواند به دو صورت اتفاق بیفتد: کارمندان می‌توانند با تکامل حرفه‌شان در سازمان مجوز کسب کنند، یا ممکن است مجوزهای موقتی برای پروژه‌ها یا رویدادهایی که هرگز لغو نمی‌شوند به دست آورند.