איך פרצו לארכיון האינטרנט?
פרצות בארכיון האינטרנט מדגישות את הצורך בגישה דינמית מבוססת תכונות
קשה יותר ויותר לארגונים לזהות את היקף הנזק שנגרם כתוצאה ממתקפת סייבר – לפחות אחרי גל ההלם הראשוני של הפאניקה. אתם לא רוצים שיהיה קשה לעקוב אחר מקורות המתקפה כאשר תדירות הפרצות משתוללת כמו היום. פרצות נתונים הן יותר אופציה מאשר אפשרות.
שאלו ראשי מערכות מידע (CISO) כמה זמן לוקח להם לזהות את רדיוס הפיצוץ של פרצה, והתגובה הממוצעת שתקבלו היא, במקרה הטוב, 'שעות'. אבל 'שעות' זה לא מספיק מהיר כיום. שעה אחת בלבד היא כל מה שנדרש לתוקף כדי לעבור בין תשתית כדי לגשת למשאבים רגישים ביותר.
אם הפרצות החוזרות ונשנות לארכיון האינטרנט לימדו אותנו משהו, זה עד כמה חשיפת מידע שגוי יכולה להיות מזיקה. האקרים השתמשו באסימוני גישה חשופים מאירועים קודמים כדי לחדור ליישום Zendesk של הארגון. מפתחות API אלה, שנותרו סטטיים מאז הפריצה המקורית, סיפקו להאקרים גישה נוחה ליותר מ-800,000 פניות תמיכה. כדי להוסיף חטא על פשע, ההאקרים החלו להגיב לפניות תמיכה ישנות וביקרו את ארכיון האינטרנט על כישלונו לסובב את המפתחות הללו.
למרבה הצער, מספר הפעמים שאנו רואים את האירועים הללו הוא סימפטום למורכבותה של תשתית ה-IT. גילוי מי פרץ לנתונים שלך, היכן וכיצד הוא לעתים קרובות גורם כאב ראש. זה נובע בעיקר מהקיצוניות של מפוזי הזהויות, וערימת הזהויות הדורשות ניהול רק הולכת וגדלה. אבל יש גם את העובדה שיחסי הגישה בין משאבים מקוטעים גם הם. פיצול זה של מודלי גישה ואבטחה הופך ארגונים לפגיעים לטעויות אנוש.
מה יתקן את זה? פרדיגמה חדשה של אבטחת סייבר – פרדיגמה ללא אישורים סטטיים, שתבטל את משטח התקיפה שאליו מכוונים גורמי איום. חברות יכולות לחזק עוד יותר את האבטחה שלהן על ידי שינוי מודל הגישה שלהן מאימות מבוסס תפקידים לאימות מבוסס תכונות.
המורכבות של ניהול זהויות
הדו"ח האחרון של מיקרוסופט זיהה למעלה מ-600 מיליון מתקפות זהות בשנת הכספים 2024 בלבד. אם אתם תוהים מדוע המספר הזה כל כך גבוה, זה בגלל שבני אדם הופכים את זה לקל. אנחנו משאירים אישורים כמו סיסמאות, קובצי Cookie של דפדפן ומפתחות API זרוקים במקומות הברורים ביותר. יתר על כן, הרשאות ארוכות טווח ומיושנות מאפשרות לשחקן זדוני לעבור מהפריצה הראשונית שלו ליעדים אחרים ברשת.
זה הופך את זה רק עניין של זמן עד שמשתמש יחשוף בטעות יותר מדי מידע או אישורים קודמים. האקרים מוכנים להסתער על טעויות אלו. ראינו זאת קורה עם הפריצה הראשונית לארכיון האינטרנט, שבה קובץ תצורה של GitLab שנחשף הכיל אסימון אימות שאפשר להאקרים להוריד את קוד המקור של ארכיון האינטרנט, שכלל אישורים נוספים.
זה גם לא עוזר שהגישה מנוהלת לעתים קרובות בדרכים שונות לחלוטין בין אשכולות Kubernetes, ממשקי API של ענן, מכשירי IoT, מסדי נתונים וכו'. הממגורות הנובעות מגישה זו חוסמות את היכולת לבטל גישה לנתונים שנפגעו, או להבין למי הייתה גישה לאילו נתונים מלכתחילה.
אם אנחנו רוצים להתחיל לסכל מתקפות סייבר, הצעד הראשון בצמצום משטח ההתקפה ורדיוס הפיצוץ צריך להיות הסרת כל האישורים הסטטיים כמו סיסמאות, כמו גם הרשאות קבועות. התעשייה שלנו צריכה לעבור לגישה של אבטחת זהויות באופן קריפטוגרפי המבוסס על מאפיינים של העולם הפיזי שלא ניתן לגנוב (כמו אימות ביומטרי). בנוסף, יש לאכוף גישה רק על סמך הרשאות חולפות המוענקות רק לתקופה בה יש להשלים את העבודה. מעל הכל, חברות לא צריכות להתייחס לניהול זהויות, ממשל מדיניות ובקרת גישה כאל פרויקטים נפרדים. כולם קשורים זה בזה.
לא כולם צריכים גישה, והם לא צריכים אותה בשום מקום, בכל זמן
באופן מסורתי, דגש רב הושם על הקצאת הרשאות למשתמשים בהתבסס על תפקידם בארגון – אימות מבוסס תפקידים (RBAC). עם זאת, כדי שמודלים של אבטחת סייבר יתקדמו למודרניזציה, יש עוד דברים שחברות יכולות לעשות כדי להקשיח את בקרות הגישה, ואחת הדרכים היא להבטיח שגישה למשאבים תתבצע רק בהקשר המתאים.
אימות מבוסס תכונות (ABAC) הוא הדרך שבה אנו מגיעים לשם, וקובעים למעשה דרישות מפורטות מאוד לגבי מתי מישהו יכול לגשת למשאב.
דמיינו שיש לכם טבלת מסד נתונים המכילה נתונים רגישים. כן, אתם יכולים להעניק גישה לעובדים בעלי תפקיד מסוים – "מנהל IT בכיר" – אך ישנם גורמים נוספים שעליכם לשקול כדי לקבוע האם מישהו צריך לקבל גישה או לא:
איפה העובד? האם הוא במשרד? או שהוא בהוואי?
באיזה מכשיר הם משתמשים? האם הם משתמשים במחשב נייד של העבודה, בטלפון, בטאבלט או במשהו אחר?
מה השעה? האם הם באמת צריכים גישה למשאב כשהוא בתהליך ייצור?
המטרה של גישה זו היא לתת לארגונים את החופש לומר דברים כמו, "כל המתכנתים הבכירים שמנסים לגשת לטבלת מסד הנתונים X חייבים להיות במילווקי בין השעות 13:00 ל-15:00". כעת למעשה סגרתם את היכולת של כל אחד לגשת למסד הנתונים הזה אם הוא לא עומד בדרישות הנבחרות הללו. אין יותר גישה לבחור האקראי ששותה סלרפי בהוואי.
כל אחד צריך להיות מסוגל לשלוט על מאפיינים בעת מתן גישה למשתמשים, בניגוד למתן גישה לכל אחד בתוך "הרשת". החשיבה צריכה להיות "נעולה כברירת מחדל". זה הכרחי להפחתת משטח ההתקפה.