دارن مار-الیا، معاون محصولات می نویسد، صحنه برای امنیت متمرکز بر شناسایی است که در سال 2023 مرکز توجه قرار می گیرد. همیشه.
در سالهای اخیر، سازمانها را دیدهایم که آشکارا از محیطهای ابری ترکیبی استقبال میکنند، زیرا آنها به سمت مدلهای انعطافپذیرتر در عصر به اصطلاح «عادی جدید» حرکت میکنند. در نتیجه دنیای کار به طور فزاینده ای دیجیتالی می شود، که زیربنای انبوهی از برنامه های کاربردی، راه حل ها، فناوری ها و دستگاه های نوآورانه است که بهره وری و مزایای عملیاتی متعددی را ارائه می دهند. در مقابل، ملاحظات امنیتی این انتقال کمی پیچیدهتر بوده است.
در در آغوش گرفتن ابر، محیط سنتی شبکه دیگر وجود ندارد. در عوض، سازمانها خود را در حال مدیریت محیطهای هویت ترکیبی با مجموعهای بیپایان از نقاط ورودی احتمالی برای دفاع میبینند. و جلوگیری از حرکت آزادانه مهاجمان بین محیطهای on-prem تحت پوشش Active Directory (AD) و محیطهای ابری تحت پشتیبانی Azure AD به عنوان یک نگرانی کلیدی در میان بسیاری از شرکتها ظاهر شده است.
در واقع، محرک اصلی بسیاری از محیطهای ترکیبی در حال توسعه، ضرورت عملیاتی در پاسخ به همهگیری بود – نه امنیت. در نتیجه، بسیاری از سازمانها اکنون به صورت گذشتهنگر تلاش میکنند تا شکافهای امنیتی را پر کنند. متأسفانه، این کار دشوار است. خواه پیشگیری، شناسایی، اصلاح یا بازیابی از تهدیداتی که AD را هدف قرار می دهند، چالش ها در کل چرخه حیات حمله AD پراکنده می شوند.
در واقع، بسیاری از شرکت ها به توانایی خود برای رویارویی با چالش های چشم انداز تهدید فعلی اعتماد ندارند. با انجام یک نظرسنجی از رهبران فناوری اطلاعات و امنیت در بیش از 50 سازمان، متوجه شدیم که تنها یک سوم (33 درصد) به توانایی خود در جلوگیری از حملات اولیه AD مطمئن بودند، در حالی که کمی بیش از یک چهارم (27 درصد) به کاهش Azure AD ابراز اطمینان کردند. حملات
اهمیت شناسایی تهدید هویت و پاسخ به آن
با توجه به این واقعیت که سیستم های هویت به هدف اصلی مجرمان سایبری تبدیل شده اند، این آمار نگران کننده است. تخمین زده می شود که AD در نه مورد از ده حمله سایبری مورد سوء استفاده قرار می گیرد. در واقع، گارتنر توصیه میکند که اعتبارنامههای سوءاستفاده شده اکنون بهترین تکنیک مورد استفاده در نقضها هستند، با مهاجمان سطح دولت که فعالانه AD و زیرساخت هویت را هدف قرار میدهند موفقیت خارقالعادهای را شاهد هستند.
علاوه بر این، محیط های ترکیبی به جایی نمی رسند. نه تنها AD ذخیره هویت اولیه برای 90 درصد سازمانها در سراسر جهان است، بلکه گارتنر همچنین پیشبینی میکند که تنها 3 درصد از سازمانها تا سال 2025 به طور کامل از AD در محل به یک سرویس هویت مبتنی بر ابر مهاجرت خواهند کرد. به این دلایل، گارتنر نه تنها دفاع از سیستم هویت را به عنوان یکی از روندهای برتر سال 2022 در امنیت سایبری معرفی کرد، اما یک دسته کاملاً جدید نیز ابداع کرد: شناسایی تهدید هویت و پاسخگویی (ITDR).
واضح است که سازمانها میدانند که باید از سیستمهای هویتی خود بهتر محافظت کنند.
به طور بحرانی، بیش از سه چهارم (77 درصد) از پاسخ دهندگان نظرسنجی ما اعتراف کردند که اگر حمله سایبری AD را نابود کند، احتمالاً از تأثیر شدید یا فاجعهباری رنج میبرند، در حالی که فقط 32 درصد نشان میدهند که «بسیار مطمئن هستند» که میتوانند پس از یک حمله سایبری بهبود یابند. حمله AD
به همین دلیل، از آنجایی که شرکتها به دنبال تغییر مسیر در تهدیدات مرتبط با AD هستند، راهحلهای ITDR که بهطور خاص برای دفاع از سیستمهای هویتی طراحی شدهاند، به سرعت از نردبان اولویت بالا رفتهاند و سازمانها به دنبال روشهای مختلفی برای محافظت و بازیابی محیطهای ترکیبی خود هستند. در اینجا، ما به مهم ترین الزامات ITDR که توسط پاسخ دهندگان نظرسنجی شناسایی شده است نگاه می کنیم.
بازیابی خودکار و سریع AD
نظرسنجی ما نشان میدهد که اکثریت واضح (77 درصد) شرکتها از تأثیر شدید (زیرا آنها یک راهحل کلی بازیابی بلایای طبیعی دارند، اما پشتیبانی خاصی برای AD ندارند) یا تأثیر فاجعهباری (آنها باید با استفاده از نسخههای پشتیبان بازیابی دستی انجام دهند) متحمل میشوند. اگر یک حمله سایبری AD را از بین ببرد، روزها یا هفته ها زمان نیاز دارد. به همین دلیل، توانایی شرکت ها برای بازیابی سریع (به جای چند روز یا هفته در چند ساعت) و به روشی خودکار، اولویت اصلی برای کسانی است که به دنبال راه حل های ITDR هستند.
شناسایی حملاتی که ابزارهای سنتی را دور می زنند
پاسخ دهندگان نظرسنجی همچنین عدم شناسایی حملاتی را که ابزارهای نظارت سنتی را دور می زنند، به عنوان یک نگرانی کلی در حفاظت از AD ذکر کردند. سازمانها به دنبال راهحلهایی هستند که از منابع داده متعدد – از جمله جریان تکرار AD – برای شناسایی و کاهش اثرات حملات پیشرفته استفاده میکنند.
شفافیت بهبود یافته در AD و Azure AD
شناسایی حملاتی که از AD on-prem به Azure AD یا بالعکس منتقل میشوند، به عنوان یکی از دغدغههای اصلی سازمانهایی که محیطهای ترکیبی را مدیریت میکنند ظاهر شده است. در واقع، تنها یک سوم از پاسخ دهندگان اظهار داشتند که در جلوگیری یا اصلاح یک حمله AD اولیه بسیار مطمئن هستند و تنها 27 درصد نشان دهنده همان سطح اطمینان در مورد Azure AD هستند. شرکتها به راهحلهایی نیاز دارند که میتوانند شفافیت بیشتری را در فعالیتهایی که شامل محیطهای AD و Azure AD هستند، ارائه دهند.
کشف پیکربندیهای نادرست و آسیبپذیریهای قدیمی
با توجه به تعداد حملاتی که تقریباً روزانه از آسیبپذیریهای AD سوء استفاده میکنند، سازمانها به طور قابلتوجهی نگران ارزیابی محیطهای خود برای آسیبپذیریهایی هستند که میتواند آنها را برای مهاجمان باز کند. دانستن اینکه این آسیبپذیریها در کجا قرار دارند، اولین قدم برای بهبود امنیت است. یک برنامه نگهداری طولانی مدت شامل بررسی مداوم وضعیت امنیتی هویت برای نقاط ضعف است – چیزی که سازمان ها در راه حل های ITDR به دنبال آن هستند.
اصلاح خودکار
حملات سایبری اغلب به محض اینکه مهاجمان بدافزار را رها می کنند با سرعت برق حرکت می کنند، بنابراین اصلاح خودکار برای جلوگیری از سوء استفاده از منجر به افزایش امتیازات و تصاحب نهایی شبکه بسیار مهم است. در حمله بدنام 2017 NotPetya به غول کشتیرانی Maersk، کل شبکه این شرکت در عرض چند دقیقه آلوده شد. پاسخدهندگان نظرسنجی نشان دادند که اصلاح خودکار تغییرات مخرب برای توقف حملات سریع، مهمترین قابلیت اصلاح است و به دنبال آن ردیابی و مرتبط کردن تغییرات بین on-prem AD و Azure AD است.
پرداختن به نیازهای متنوع با یک استراتژی چند لایه
واضح است که سازمانها به دنبال راهحلهایی هستند که بتوانند تهدیدات را قبل، در حین و بعد از حمله مرتبط با هویت برطرف کنند. بهبود سریع از حملات یک اولویت است. توانایی پاسخگویی به تهدیدات به همان اندازه مهم است که شرکتها به دنبال رفع آسیبپذیریهای خود و متوقف کردن بازیگران شرور در مسیر خود هستند. طیف وسیعی از قابلیت ها مورد نیاز است، از ارزیابی وضعیت امنیتی و نظارت در زمان واقعی تا اصلاح خودکار تهدیدات شناسایی شده و پشتیبان گیری و بازیابی سریع جنگل AD.
به همین دلیل، هنگام ارزیابی راهحلهای ITDR، سازمانها باید به دنبال اتخاذ راهحلهایی باشند که دفاعی جامع و لایهای را برای دستیابی به حفاظت بهینه از محیطهای ترکیبی خود ارائه میدهند.
منبع: https://www.professionalsecurity.co.uk/products/cyber/five-itdr-capabilities-to-look-for/