بر اساس آمار و اطلاعات ارایه شده، در نیمه اول سال 2020 میلادی بیش از 36 میلیارد رکورد اطلاعاتی به دلیل حوادث امنیتی مختلف افشا شده است. پلیس فدرال آمریکا (FBI) پیشبینی کرده که با تداوم شیوع بیماری کرونا این رقم ممکن است تا 300 درصد هم افزایش پیدا کند. بنابراین با توجه به تهدیدات داخلی و بیرونی که سازمانها همواره با آنها دست و پنجه نرم میکنند و همچنین تداوم دورکاری کارکنان، امنیت سایبری باید جزو اولویتهای اصلی آنها در سال 1400 باشد.
هکرها همیشه دنبال اطلاعات حساس یا طبقهبندی شده هستند تا بتوانند آنها را به سایر مجرمان سایبری فروخته یا از اطلاعات شخصی کاربران برای جعل هویت و اجرای حملات فیشینگ استفاده کنند. آنها با انجام این حملات قادر خواهند بود همچنان به اطلاعات بیشتر و در نتیجه سود زیادتری دست پیدا کنند.
دستیابی به این اطلاعات توسط هکرها با سوءاستفاده از آسیبپذیریهای امنیتی یا خطاهای انسانی صورت میگیرد. روشهای مختلفی همچون تزریق کد میان وبگاهی (XSS)، مدیریت نادرست کوکیها یا استفاده از کلمات عبور ضعیف، امکان دسترسی مهاجمان به حسابهای کاربری را فراهم میکنند.
در خصوص موارد اول و دوم، امکان رفع آسیبپذیریها با استفاده از روشهای برنامهنویسی وجود دارد. در رابطه با مورد سوم نیز کاربران می بایست درباره اصول انتخاب و حفاظت از کلمات عبور خود آموزشهای لازم را ببینند. از سوی دیگر مدیران و کارشناسان امنیتی هم باید به این نکته توجه داشته باشند که همواره روشهای جدیدی برای تصاحب و کنترل حسابهای کاربری افراد توسط مجرمان سایبری ابداع میشود که لازم است در پیاده سازی راهکارهای امنیتی خود توجه لازم را به آنها داشته باشند.
حمله ترفیع امتیازی چیست؟
حملات ترفیع امتیازی به عملیات سوءاستفاده از یک آسیبپذیری یا نقص در پیکربندی توسط مجرمان سایبری در سیستمهایی گفته میشود که معمولاً حاوی اطلاعات مهمی هستند. امروزه روشهای زیادی برای بهرهبرداری غیرمجاز از دادههای سازمانی وجود دارد. مثلاً ممکن است کاربران، دسترسیهایی بیش از آنچه برای انجام وظایف کاری شان به آنها نیاز دارند، داشته باشند که به این حالت، “Privilege Creep” (یا خزش امتیاز) گفته میشود.
آیا اینکه احتمال دارد کارمندی در یک موقعیت شغلی جدید مشغول به کار شده و دسترسیهای بیشتری برای او فراهم گردد در حالی که همچنان دسترسیهای قدیمی (که در حال حاضر دیگر نیازی به آنها ندارد) نیز برای حساب کاربری جدید وی وجود داشته باشد. این اقدام میتواند منجر به ایجاد آسیبپذیریهای بیشتری شود که هکرها امکان سوءاستفاده از آنها را دارند. علاوه بر این شاید حتی کارمند یک سازمان عمداً و از روی بدخواهی، عملیات مخربی را انجام داده که باعث ایجاد آسیبپذیریهای دیگر و نشت اطلاعات سازمانی شود.
بنابراین فرایند ترفیع امتیازی به حالتی گفته میشود که در آن هکرها پس از دسترسی به یک حساب کاربری می توانند از آن حساب برای افزایش مجدد سطح دسترسی خودشان استفاده کنند. این فرایند به دو روش عمودی یا افقی قابل انجام است. در حملات ترفیع امتیازی به روش افقی، هکرها میتوانند به سایر حسابهای کاربری با سطح امتیازات مشابه، دسترسی داشته باشند. یک مثال بارز برای این حالت، زمانی است که هکر با دسترسی به یک حساب بانکی امکان دسترسی به سایر حسابهای بانکی را دارد.
در فرایند حملات ترفیع امتیازی به روش عمودی، هکرها به امتیازهای بیشتری (مثلاً از طریق یک حساب مدیریتی یا سیستمی) دست پیدا میکنند. در واقع نگران کنندهترین روش حملات ترفیع امتیازی، روش عمودی است؛ زیرا هکرها در این حالت میتوانند آسیبهای جدی وارد نموده، تنظیمات حسابهای کاربری افراد را تغییر داده، به اطلاعات حساس و محرمانه اشخاص و سازمان ها دسترسی پیدا کرده و حتی بدافزارهای دلخواه شان را در شبکه منتشر کنند.
چگونه می توان حملات ترفیع امتیازی را تشخیص داد؟
تشخیص زمان دقیق وقوع حملات ترفیع امتیازی، کار چندان آسانی نیست. معمولاً هکرها گزارش فعالیت هایشان را از روی سیستم ها پاک کرده یا اقداماتی را در جهت عادی به نظر رسیدن فعالیتهایشان انجام می دهند. کاربران سیستم عامل ویندوز، توکنهای دسترسی خاصی دارند که مالکیت فرایندهای در حال اجرا را مشخص میکنند.
یکی از اهداف متداول هکرها “SeDebugPrivilege” است که به کاربران امکان میدهد برای خطایابی، دسترسی کامل به نرمافزارها داشته باشند. اگر فرایند خطایابی انجام نشده باشد، استفاده از این قابلیت میتواند بیانگر انجام یک فعالیت مخرب باشد. از سایر نشانههای این حملات میتوان به اجرای تراکنشهای بانکی بدون مجوز یا هشدار تلاش برای ورود به حساب کاربری از طریق دستگاههای جدید و ناشناس اشاره کرد.
سازمانها باید از نرمافزارهایی که قابلیت بررسی حسابهای مدیریتی را داشته و امکان نظارت بر رویدادهایی مثل حذف یا اضافه کردن کاربران از گروههای امنیتی را دارند، استفاده نمایند. این نرمافزارها هرگونه تغییری را در این گروهها به اطلاع مدیران مربوطه رسانده و آنها باید تغییرات صورت گرفته را تأیید کنند.
جلوگیری از وقوع حملات ترفیع امتیازی
کارشناسان امنیت با پیاده سازی سازوکارهای امنیتی مختلف میتوانند از وقوع حملات ترفیع امتیازی جلوگیری کنند. مسئولان بخشهای امنیتی باید آموزش های لازم را به کارمندان درباره اصول حفاظت از کلمات عبورشان بدهند. آژانس امنیت زیرساخت و امنیت سایبری آمریکا به کاربران توصیه میکند با به کارگیری نکات زیر، رمزهای عبور قوی را برای هر یک از حسابهای کاربری خود انتخاب کنند:
- استفاده از احراز هویت چندعاملی
- استفاده از رمزهای عبور متفاوت برای حسابهای کاربری مختلف
- خودداری از انتخاب کلمه عبور بر اساس اطلاعات شخصی یا اطلاعاتی که به راحتی قابل حدس زدن هستند.
- استفاده از کلمات عبور طولانی و پیچیده
- پرهیز از انتخاب کلمههای عبوری که در واژه نامه یافت میشوند.
علاوه بر این سازمانها باید ویژگی انقضای کلمه عبور را فعال کنند تا کاربران موظف شوند به صورت منظم رمزهای خودشان را تغییر دهند.
در مرحله بعد و پس از آشنایی با اصول حفاظت از کلمات عبور، کاربران باید اطلاعات لازم را در خصوص راهکارهای مقابله با حملات فیشینگ کسب کنند. معمولاً در این حملات، ایمیلهایی شبیه ایمیلهای معتبر ارسالی توسط منابع قابل اعتماد طراحی میشوند که کاربران را تشویق به دانلود یک فایل پیوست یا کلیک بر روی یک لینک مخرب میکنند. عموماً این پیوستها و لینکها حاوی بدافزارهایی هستند که برای سرقت کلمه عبور، اطلاعات حساس یا ایجاد آسیبهای دیگر طراحی شدهاند.
هنگامی که کاربران از نقش خود برای جلوگیری از هک و نشت اطلاعات آگاه شدند، سازمانها بایستی سیاستهای مدیریت دسترسی شان را بازنگری کنند. همانگونه که پیشتر نیز اشاره شد، مهاجمان همواره از روشهای جدید برای دسترسی به حسابهای کاربری کارکنان استفاده میکنند. بنابراین لازم است از تمام حسابهای کاربری سازمان حفاظت شده و با توجه به اینکه همیشه امکان هک آنها وجود دارد، مدیران آمادگی کافی را برای مقابله با آنها داشته باشند.
از این رو بر مبنای اصل کمترین سطح امتیاز (PoLP[1])، دسترسی کارمندان سازمان باید شامل حداقل سطح امتیازها و دسترسیهایی باشد که برای انجام وظایف کاری شان به آنها نیاز دارند. پیاده سازی راهکار PoLP مزایای مختلفی دارد که از جمله آنها می توان به موارد زیر اشاره کرد:
- این اطمینان را می دهد که سطح دسترسی کاربران مجاز، بیش از حد نیاز آنها نباشد.
- سازمان ها با به کارگیری این اصل، قادر به پیادهسازی اصل تفکیک وظایف هستند که جزو الزامات استانداردهای امنیت اطلاعات است.
- این اطمینان را فراهم میکند که در صورت دسترسی هکرها به یک حساب کاربری، کمترین آسیب ممکن ایجاد شود.
یکی از نکات حیاتی که معمولاً در تعریف اصل PoLP مورد توجه قرار نمیگیرد، نحوه اعمال آن است. معمولاً سازمانها این کار را با رعایت اصولی همچون اعطای حداقل سطح دسترسی به کاربران شروع میکنند. در حوزه فناوری اطلاعات همواره تغییرات جدیدی ایجاد شده و عموماً با توجه به دلیل نیاز به انجام کارهای فوری در بخشهایی از سازمان، مدیران بخش IT مجبور هستند در اسرع وقت دسترسیهای لازم را برای یک کاربر خاص ایجاد کنند.
بنابراین با توجه به مخاطراتی که در خصوص دسترسی های کاربران وجود دارد باید سیستمی وجود داشته باشد که در آن امتیازهای کلیدی (یعنی امتیازهایی که در صورت دسترسی مهاجمان به آنها میتوانند آسیبهای جدی ایجاد کنند) توسط مالکان کسبوکارها و مدیران سیستم ها کنترل و بازبینی شوند.
اصولاً سازمانها چنین بازنگریهایی را بر اساس الزامات استانداردهای امنیتی انجام میدهند. این بازنگریها اغلب به صورت دورهای انجام میشوند و نه در هنگام وقوع تغییرات خاص. روش مناسبتری که در این خصوص وجود دارد، شناسایی امتیازها و گروههای امنیتی مهم و ارسال هشدار در صورت ترفیع امتیاز یک کاربر به شکل عادی یا مخرب است.
علاوه بر این سازمانها باید از روش کنترل دسترسی مبتنی بر نقش (RBAC[2]) نیز استفاده کنند که نقشهای مختلف موجود در سازمان و دسترسیهایی که باید برای هر نقش ایجاد شود را مشخص مینماید. چنین اقدامی موجب آسانتر شدن مدیریت دسترسی کاربران شده و به هر کاربر هم یک مجموعه امتیاز دسترسی خاص داده میشود تا دیگر نیازی نباشد که برای وی دسترسیهای ویژه ای تعریف شود.
پس از تعریف و پیاده سازی اصول RBAC در کل سازمان باید بررسی دسترسی ها به صورت دورهای و منظم انجام شود. توصیه NIST (مؤسسه ملی استانداردها و فناوری آمریکا) برای هر بار انجام این بازنگری ها، فواصل زمانی شش ماهه است. بازنگری دسترسی، نقش مهمی در حفاظت از امنیت سایبری دارد؛ زیرا همه کاربران و امتیازهای دسترسی آنها بررسی شده و در صورت وجود دسترسیهایی بیش از حد نیاز، قبل از سوءاستفاده هکرها از این دسترسیها آنها را شناسایی میکند.
با توجه به افزایش روزافزون حوادث امنیتی و سرقت هویت افراد، بهتر است یک سیستمی پیادهسازی شود تا هر زمان که به یک کاربر دسترسی مهمی داده میشود، به صورت خودکار آن را بررسی کند. اگر چنین سیستمی طراحی شده و به صورت دوره ای نیز دسترسی های کاربران کنترل و بازنگری شود، تا حدود زیادی می توان با حملات سایبری مقابله کرد.
نتیجه گیری
در این مقاله با حملات ترفیع امتیازی و نحوه تشخیص و جلوگیری از آن آشنا شدید. به یاد داشته باشید با افزایش تهدیدات سایبری و تداوم دورکاری، سازمانها باید بیش از پیش مراقب وقوع حملات امنیتی و نشت های اطلاعاتی باشند. پیروی از اصول امنیتی به سازمانها برای حفاظت از کاربران، مشتریان، دادهها و اعتبار آنها در برابر حملات مخرب کمک به سزایی میکند.
[1] Principle of Least Privilege
[2] Role-Based Access Control