לשבור את מעגל מתקפות הסייבר באמצעות ניהול גישה פריבילגית

לביא לזרוביץ', מנהל מחקר האבטחה בחברת סייברארק מציג ארבע דרכים המאפשרות לעסקים להתגונן ממתקפות סייבר

תוכן מקודם
תוכן מקודם
שתפו כתבה במיילשתפו כתבה במייל
סייבר
לשבור את מעגל מתקפות הסייבר באמצעות ניהול גישה פריבילגית

ההשלכות של מתקפת סייבר עלולות להיות יקרות. הנזק הפיננסי הממוצע של מתקפה עלה מ-1.4 מיליון דולר ל-13 מיליון דולר, כך לפי המחקר השנתי בנושא עלויות פשיעת סייבר של חברת Accenture. אם נסתמך על המחצית הראשונה של 2020, מספר זה צפוי להמשיך לעלות ככל שתוקפים יגבירו את המתקפות שמנצלות הזדמנויות חדשות כתוצאה מסביבות העבודה המשתנות, וינסו לפגוע בחוליה החלשה ביותר של הארגון.

ככל שיותר חברות מעבירות את עומסי העבודה שלהן לענן, מאמצות כלים שיתופיים כדי לתמוך בעובדים מרוחקים, ומרחיבות יכולות אוטומציה, גם התוקפים ממשיכים לשפר את האסטרטגיות שלהם כדי לנצל את השינוי  שעסקים עוברים.

שמירה על המשכיות וחסינות עסקית לנוכח נוף האיומים המשתנה מתחילה בהבנת דפוס החשיבה של התוקפים. המוטיבציות שלהם שונות: החל ברווח כספי, דרך ריגול ועד לשיבוש התנהלות העסק -  אבל מחזור חיי ההתקפה קבוע יחסית. בשלב ראשון, התוקפים משתמשים באמצעים נפוצים כגון פישינג או חולשה ידועה בתוכנה כדי להשיג דריסת רגל ברשת הארגונית. בשלב הבא, הם לרוב ינסו להשתלט על חשבונות פריבילגיים, כלומר חשבונות עם גישה נרחבת וחזקה מבחינה ניהולית, בכדי לאסוף מידע או לשמור על נוכחות מתמידה ברשת שתאפשר להם לבצע מתקפות נוספות. ללא גישה פריבילגית, רובן המכריע של המתקפות לא ימשיכו מעבר לשלבים הראשוניים.

זו הסיבה שהשגת גישה פריבילגית היא תמיד מטרה מועדפת על התוקפים. טרנספורמציה עסקית מהירה, שמבוססת על השקעה בטכנולוגיות דיגיטליות, תורמת להתרבות של חשבונות פריבילגיים בענן ובסביבות היברידיות ופותחת נקודות גישה אפשריות נוספות לתוקפים. תהליכים עסקיים קריטיים, יישומים ואינסטנציות ענן, לדוגמה, משויכים כולם לחשבונות פריבילגיים הדרושים כדי לנהלם ולהגן עליהם.

אבטחת הגישה הפריבילגית מסייעת בצמצום השטח הפגיע להתקפה משום שהיא משבשת את ארגז הכלים של התוקפים ומגבילה את יכולת ההתפשטות של המתקפה. הגבלת התנועה הרוחבית מאלצת את התוקפים להשתמש בטקטיקות "רועשות" יותר, ולפיכך גם קלות יותר לזיהוי. במקרה כזה, הארגון מקבל התרעה ויכול לעצור את התקדמות המתקפה לפני שיהיו השלכות דרמטיות על העסק.

לביא לזרוביץ'צילום: ליאת שניטמן

ניתוח שערכו מעבדות סייברארק על וקטורים וטכניקות נפוצות של מתקפות סייבר, מציג ארבע דרכים של תעדוף ניהול גישה פריבילגית, המאפשרות לעסקים להתגונן טוב יותר.

בלימת ההסלמה הפריבילגית

ברגע שהתוקפים מצליחים להשיג גישה ראשונית לרשת, הם משתמשים במגוון טכניקות על מנת להשיג הרשאות ברמה יותר גבוהה ולהתחיל לנוע לרוחב הרשת.

האפליקציות והתוכנות שארגונים מסתמכים עליהן כדי לתפעל את העסק עלולות להיות "מחוררות" בהגדרות לא נכונות וחולשות אבטחה, במיוחד אם עדכוני תוכנה בסיסיים לא מתבצעים באופן סדיר. על פי מחקר של מכון Ponemon, שישים אחוזים מגניבות המידע ב-2019 היו קשורות לחולשות אבטחה שלא תוקנו. עבור התוקפים, חולשת האבטחה היא כמו "דלת פתוחה" המאפשרת להשיג את דריסת הרגל הראשונה. השלב הקריטי הוא האופן שבו התוקפים מנצלים את העמדה הראשונה שהשיגו כדי להסלים את ההרשאות הפריבילגיות ולהתחיל לנוע לרוחב רשתות מבוזרות.

גישה פריבילגית היא החוליה הקריטית ביותר בשרשרת המתקפה משום שהיא מאפשרת לתוקף לנקוט מספר צעדים לרבות השגת נוכחות ברשת, הקמת דלתות אחוריות נוספות, ובסופו של דבר גישה לנכסים קריטיים. תכנית מודרנית לניהול גישה פריבילגית אוכפת את העיקרון של "גישה פרטנית" (least privilege), מה שמבטיח שהמשתמשים יקבלו רק את הגישה הדרושה להם לביצוע עבודתם ולא יותר מכך. בדרך זאת היא מגבילה את ההרשאות למשתמשים החזקים ולמנהלי הרשת ומצמצמת את שטח המתקפה הכולל.

מניעת תנועה רוחבית

תנועה רוחבית (לאטרלית) היא טקטיקה - שלעתים קרובות משולבת עם ההסלמה הפריבילגית - המיועדת לאפשר לתוקפים להיכנס ולשלוט במערכות ברשת במטרה להפיץ את המתקפה או להקל על השגת נוכחות לטווח ארוך. תוקפים משתמשים בתנועה רוחבית כדי להתקדם מנקודת האחיזה המקורית עד למציאת מידע רב ערך, השגת גישה למערכות עסקיות קריטיות או ביצוע מתקפה. ניצול גישה פריבילגית הוא אמצעי להקלת התנועה הרוחבית. הסלמת הפריבילגיות מאפשרת לתוקפים לנוע באפקטיביות ממקום למקום, כולל מסביבות  on-premises, לתוך ולרוחב סביבות ענן, וההיפך. ניהול גישה פריבילגית הוא אחת הדרכים האפקטיביות ביותר לבלימת התנועה הרוחבית באמצעות אבטחת נקודות הגישה הדרושות לתוקפים כדי לנוע ברחבי הרשת, ובכך לחסום את התקדמות ההתקפה.

האטת ההתפשטות של תוכנות כופר

מתקפת כופר היא אחד הסוגים השכיחים והיקרים ביותר של מתקפות סייבר. למרות שההתקפה מתחילה בדרך כלל בנקודת קצה, המטרה של מתקפת כופר היא להצפין קבצים, יישומים או מערכות כדי שהתוקפים יוכלו להחזיק בארגון כבן ערובה עד לתשלום הכופר. פריצה ללפטופ אחד לא "תסדר" לתוקף את החודש, אבל פגיעה ברשת שלמה בהחלט כן.

התנועה מנקודת קצה לרשת היא היבט קריטי באסטרטגיית מתקפות כופר. להערכת Cybersecurity Ventures העלות הגלובלית של מתקפות כופר תעלה על 20 מיליארד דולר עד השנה הבאה. היא צופה שמתקפות כופר יפגעו בעסקים מדי 11 שניות.

העסקים המחוברים של ימינו הופכים את מתקפות הכופר לבעיה אמיתית לארגונים מכל הגדלים. אך למרות הנזק, ניהול גישה פריבילגית יכול לצמצם את התפשטות מתקפת הכופר ולבלום אותה בנקודת ההדבקה הראשונית. מחקר של מעבדות סייברארק, אשר בדק 2.5 מיליון גרסאות שונות של תוכנות כופרה, מצא שהסרת זכויות אדמינסטרטור מקומי, בשילוב עם בקרת יישומים בנקודות הקצה השיגו אפקטיביות של 100% בבלימת התפשטות המתקפה.

מניעת השתלטות על חשבונות

מתקפות השתלטות על חשבונות (ATO) הן מתקפות מתוחכמות וממוקדות שנועדו להעניק לתוקף כמה שיותר שליטה בסביבה שאליה חדר באמצעות גניבה וניצול של הרשאות משתמש לגיטימי. במתקפות ATO, התוקפים פונים בראש ובראשונה להרשאות פריבילגיות, במיוחד לחשבונות שהגישה שלהם "פעילה תמיד" (always on). חשבונות עוצמתיים אלה מאפשרים לתוקפים לנוע ברחבי הרשת ולהשיג שליטה  מלאה ב-Active Directory, בבקר הדומיין (DC) ואפילו בסביבות ענן שלמות.

פתרונות לניהול גישה פריבילגית, במיוחד כאלה הכוללים בקרת גישה בזמן אמת (just in time), יכולים לצמצם באופן דרמטי את מרחב ההתקפה באמצעות אבטחת הרשאות אימות הזהות המפוזרות בסביבות השונות. גישת Just in Time מסייעת לספק את רמת הגישה המתאימה למשאבים הנחוצים למשך פרק הזמן המדויק ולא יותר, ובכך מבטלת את תופעת החשבונות הזמינים תמיד שהתוקפים מחפשים. זה  מקשה מאוד על התוקפים כיוון שנשללת מהם היכולת לבצע הסלמה בגישה הפריבילגית והתנועה הרוחבית שלהם מוגבלת משמעותית.

פריצה לחשבונות פריבילגיים עומדת במרכז  מחזור החיים של מתקפת הסייבר. כדי להבין כיצד ניהול גישה פריבילגית יכול לסייע בשבירת המעגל ובהגנה על המידע, התשתית והנכסים הקריטיים ביותר של הארגון.

הורידו עותק חינמי של דו"ח "ריבוע הקסם"  (Magic Quadrant) של חברת גרטנר בנושא ניהול גישה פריבילגית >>

 Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, 4 August 2020

חברת גרטנר אינה תומכת בשום ספק, מוצר או שירות המתוארים בפרסומי המחקר שלה ואינה מייעצת למשתמשים הטכנולוגיים לבחור רק ביצרנים שקיבלו את הדירוג הגבוה ביותר או אותות הצטיינות אחרים. פרסומי המחקר של גרטנר מבוססים על הדעות שנאספו בארגון המחקר של החברה ואין לפרשם כדיווח עובדתי. גרטנר אינה אחראית, במפורש או במרומז למחקר זה, לרבות אחריות לסחירות או התאמה למטרה ספציפית.