نحوه شناسایی و مقابله با حملات ترفیع امتیازی

بر اساس آمار و اطلاعات ارایه شده، در نیمه اول سال 2020 میلادی بیش از 36 میلیارد رکورد اطلاعاتی به دلیل حوادث امنیتی مختلف افشا شده است. پلیس فدرال آمریکا (FBI) پیش‌بینی کرده که با تداوم شیوع بیماری کرونا این رقم ممکن است تا 300 درصد هم افزایش پیدا کند. بنابراین با توجه به تهدیدات داخلی و بیرونی که سازمان‌ها همواره با آنها دست‌ و پنجه نرم می‌کنند و همچنین تداوم دورکاری کارکنان، امنیت سایبری باید جزو اولویت‌های اصلی آنها در سال 1400 باشد.

هکرها همیشه دنبال اطلاعات حساس یا طبقه‌بندی شده هستند تا بتوانند آنها را به سایر مجرمان سایبری فروخته یا از اطلاعات شخصی کاربران برای جعل هویت و اجرای حملات فیشینگ استفاده کنند. آنها با انجام این حملات قادر خواهند بود همچنان به اطلاعات بیشتر و در نتیجه سود زیادتری دست پیدا کنند.

دستیابی به این اطلاعات توسط هکرها با سوءاستفاده از آسیب‌پذیری‌های امنیتی یا خطاهای انسانی صورت می‌گیرد. روش‌های مختلفی همچون تزریق کد میان وب‌گاهی (XSS)، مدیریت نادرست کوکی‌ها یا استفاده از کلمات عبور ضعیف، امکان دسترسی مهاجمان به حساب‌های کاربری را فراهم می‌کنند.

در خصوص موارد اول و دوم، امکان رفع آسیب‌پذیری‌ها با استفاده از روش‌های برنامه‌نویسی وجود دارد. در رابطه با مورد سوم نیز کاربران می بایست درباره اصول انتخاب و حفاظت از کلمات عبور خود آموزش‌های لازم را ببینند. از سوی دیگر مدیران و کارشناسان امنیتی هم باید به این نکته توجه داشته باشند که همواره روش‌های جدیدی برای تصاحب و کنترل حساب‌های کاربری افراد توسط مجرمان سایبری ابداع می‌شود که لازم است در پیاده سازی راهکارهای امنیتی خود توجه لازم را به آنها داشته باشند.

حمله ترفیع امتیازی چیست؟

حمله ترفیع امتیازی چیست؟

حملات ترفیع امتیازی به عملیات سوءاستفاده از یک آسیب‌پذیری یا نقص در پیکربندی توسط مجرمان سایبری در سیستم‌هایی گفته می‌شود که معمولاً حاوی اطلاعات مهمی هستند. امروزه روش‌های زیادی برای بهره‌برداری غیرمجاز از داده‌های سازمانی وجود دارد. مثلاً ممکن است کاربران، دسترسی‌هایی بیش از آنچه برای انجام وظایف کاری شان به آنها نیاز دارند، داشته باشند که به این حالت، “Privilege Creep” (یا خزش امتیاز) گفته می‌شود.

آیا اینکه احتمال دارد کارمندی در یک موقعیت شغلی جدید مشغول به کار شده و دسترسی‌های بیشتری برای او فراهم گردد در حالی که همچنان دسترسی‌های قدیمی (که در حال حاضر دیگر نیازی به آنها ندارد) نیز برای حساب کاربری جدید وی وجود داشته باشد. این اقدام می‌تواند منجر به ایجاد آسیب‌پذیری‌های بیشتری شود که هکرها امکان سوءاستفاده از آنها را دارند. علاوه بر این شاید حتی کارمند یک سازمان عمداً و از روی بدخواهی، عملیات مخربی را انجام داده که باعث ایجاد آسیب‌پذیری‌های دیگر و نشت اطلاعات سازمانی شود.

بنابراین فرایند ترفیع امتیازی به حالتی گفته می‌شود که در آن هکرها پس از دسترسی به یک حساب کاربری می توانند از آن حساب برای افزایش مجدد سطح دسترسی خودشان استفاده کنند. این فرایند به دو روش عمودی یا افقی قابل انجام است. در حملات ترفیع امتیازی به روش افقی، هکرها می‌توانند به سایر حساب‌های کاربری با سطح امتیازات مشابه، دسترسی داشته باشند. یک مثال بارز برای این حالت، زمانی است که هکر با دسترسی به یک حساب بانکی امکان دسترسی به سایر حساب‌های بانکی را دارد.

در فرایند حملات ترفیع امتیازی به روش عمودی، هکرها به امتیازهای بیشتری (مثلاً از طریق یک حساب مدیریتی یا سیستمی) دست پیدا می‌کنند. در واقع نگران کننده‌ترین روش حملات ترفیع امتیازی، روش عمودی است؛ زیرا هکرها در این حالت می‌توانند آسیب‌های جدی وارد نموده، تنظیمات حساب‌های کاربری افراد را تغییر داده، به اطلاعات حساس و محرمانه اشخاص و سازمان ها دسترسی پیدا کرده و حتی بدافزارهای دلخواه شان را در شبکه منتشر کنند.

چگونه می توان حملات ترفیع امتیازی را تشخیص داد؟

تشخیص زمان دقیق وقوع حملات ترفیع امتیازی، کار چندان آسانی نیست. معمولاً هکرها گزارش فعالیت هایشان را از روی سیستم ها پاک کرده یا اقداماتی را در جهت عادی به نظر رسیدن فعالیت‌هایشان انجام می دهند. کاربران سیستم عامل ویندوز، توکن‌های دسترسی خاصی دارند که مالکیت فرایندهای در حال اجرا را مشخص می‌کنند.

یکی از اهداف متداول هکرها “SeDebugPrivilege” است که به کاربران امکان می‌دهد برای خطایابی، دسترسی کامل به نرم‌افزارها داشته باشند. اگر فرایند خطایابی انجام نشده باشد، استفاده از این قابلیت می‌تواند بیانگر انجام یک فعالیت مخرب باشد. از سایر نشانه‌های این حملات می‌توان به اجرای تراکنش‌های بانکی بدون مجوز یا هشدار تلاش برای ورود به حساب کاربری از طریق دستگاه‌های جدید و ناشناس اشاره کرد.

سازمان‌ها باید از نرم‌افزارهایی که قابلیت بررسی حساب‌های مدیریتی را داشته و امکان نظارت بر رویدادهایی مثل حذف یا اضافه کردن کاربران از گروه‌های امنیتی را دارند، استفاده نمایند. این نرم‌افزارها هرگونه تغییری را در این گروه‌ها به اطلاع مدیران مربوطه رسانده و آنها باید تغییرات صورت گرفته را تأیید کنند.

جلوگیری از وقوع حملات ترفیع امتیازی

کارشناسان امنیت با پیاده سازی سازوکارهای امنیتی مختلف می‌توانند از وقوع حملات ترفیع امتیازی جلوگیری کنند. مسئولان بخش‌های امنیتی باید آموزش های لازم را به کارمندان درباره اصول حفاظت از کلمات عبورشان بدهند. آژانس امنیت زیرساخت و امنیت سایبری آمریکا به کاربران توصیه می‌کند با به‌ کارگیری نکات زیر، رمزهای عبور قوی را برای هر یک از حساب‌های کاربری خود انتخاب کنند:

علاوه‌ بر این سازمان‌ها باید ویژگی انقضای کلمه عبور را فعال کنند تا کاربران موظف شوند به صورت منظم رمزهای خودشان را تغییر دهند.

در مرحله بعد و پس از آشنایی با اصول حفاظت از کلمات عبور، کاربران باید اطلاعات لازم را در خصوص راهکارهای مقابله با حملات فیشینگ کسب کنند. معمولاً در این حملات، ایمیل‌هایی شبیه ایمیل‌های معتبر ارسالی توسط منابع قابل اعتماد طراحی می‌شوند که کاربران را تشویق به دانلود یک فایل پیوست یا کلیک بر روی یک لینک مخرب می‌کنند. عموماً این پیوست‌ها و لینک‌ها حاوی بدافزارهایی هستند که برای سرقت کلمه عبور، اطلاعات حساس یا ایجاد آسیب‌های دیگر طراحی شده‌اند.

هنگامی که کاربران از نقش خود برای جلوگیری از هک و نشت اطلاعات آگاه شدند، سازمان‌ها بایستی سیاست‌های مدیریت دسترسی شان را بازنگری کنند. همان‌گونه که پیشتر نیز اشاره شد، مهاجمان همواره از روش‌های جدید برای دسترسی به حساب‌های کاربری کارکنان استفاده می‌کنند. بنابراین لازم است از تمام حساب‌های کاربری سازمان حفاظت شده و با توجه به اینکه همیشه امکان هک آنها وجود دارد، مدیران آمادگی کافی را برای مقابله با آنها داشته باشند.

از این رو بر مبنای اصل کمترین سطح امتیاز (PoLP[1])، دسترسی کارمندان سازمان باید شامل حداقل سطح امتیازها و دسترسی‌هایی باشد که برای انجام وظایف کاری شان به آنها نیاز دارند. پیاده سازی راهکار PoLP مزایای مختلفی دارد که از جمله آنها می توان به موارد زیر اشاره کرد:

  1. این اطمینان را می دهد که سطح دسترسی کاربران مجاز، بیش از حد نیاز آنها نباشد.
  2. سازمان ها با به کارگیری این اصل، قادر به پیاده‌سازی اصل تفکیک وظایف هستند که جزو الزامات استانداردهای امنیت اطلاعات است.
  3. این اطمینان را فراهم می‌کند که در صورت دسترسی هکرها به یک حساب کاربری، کمترین آسیب ممکن ایجاد شود.

یکی از نکات حیاتی که معمولاً در تعریف اصل PoLP مورد توجه قرار نمی‌گیرد، نحوه اعمال آن است. معمولاً سازمان‌ها این کار را با رعایت اصولی همچون اعطای حداقل سطح دسترسی به کاربران شروع می‌کنند. در حوزه فناوری اطلاعات همواره تغییرات جدیدی ایجاد شده و عموماً با توجه به دلیل نیاز به انجام کارهای فوری در بخش‌هایی از سازمان، مدیران بخش IT مجبور هستند در اسرع وقت دسترسی‌های لازم را برای یک کاربر خاص ایجاد کنند.

بنابراین با توجه به مخاطراتی که در خصوص دسترسی های کاربران وجود دارد باید سیستمی وجود داشته باشد که در آن امتیازهای کلیدی (یعنی امتیازهایی که در صورت دسترسی مهاجمان به آنها می‌توانند آسیب‌های جدی ایجاد کنند) توسط مالکان کسب‌وکارها و مدیران سیستم ها کنترل و بازبینی شوند.

اصولاً سازمان‌ها چنین بازنگری‌هایی را بر اساس الزامات استانداردهای امنیتی انجام می‌دهند. این بازنگری‌ها اغلب به صورت دوره‌ای انجام می‌شوند و نه در هنگام وقوع تغییرات خاص. روش مناسب‌تری که در این خصوص وجود دارد، شناسایی امتیازها و گروه‌های امنیتی مهم و ارسال هشدار در صورت ترفیع امتیاز یک کاربر به شکل عادی یا مخرب است.

علاوه بر این سازمان‌ها باید از روش کنترل دسترسی مبتنی بر نقش (RBAC[2]) نیز استفاده کنند که نقش‌های مختلف موجود در سازمان و دسترسی‌هایی که باید برای هر نقش ایجاد شود را مشخص می‌نماید. چنین اقدامی موجب آسان‌تر شدن مدیریت دسترسی کاربران شده و به هر کاربر هم یک مجموعه امتیاز دسترسی خاص داده می‌شود تا دیگر نیازی نباشد که برای وی دسترسی‌های ویژه ای تعریف شود.

پس از تعریف و پیاده سازی اصول RBAC در کل سازمان باید بررسی دسترسی ها به صورت دوره‌ای و منظم انجام شود. توصیه NIST (مؤسسه ملی استانداردها و فناوری آمریکا) برای هر بار انجام این بازنگری ها، فواصل زمانی شش ماهه است. بازنگری دسترسی، نقش مهمی در حفاظت از امنیت سایبری دارد؛ زیرا همه کاربران و امتیازهای دسترسی آنها بررسی شده و در صورت وجود دسترسی‌هایی بیش از حد نیاز، قبل از سوءاستفاده هکرها از این دسترسی‌ها آنها را شناسایی می‌کند.

با توجه به افزایش روزافزون حوادث امنیتی و سرقت هویت افراد، بهتر است یک سیستمی پیاده‌سازی شود تا هر زمان که به یک کاربر دسترسی مهمی داده می‌شود، به صورت خودکار آن را بررسی کند. اگر چنین سیستمی طراحی شده و به صورت دوره ای نیز دسترسی های کاربران کنترل و بازنگری شود، تا حدود زیادی می توان با حملات سایبری مقابله کرد.

نتیجه گیری

در این مقاله با حملات ترفیع امتیازی و نحوه تشخیص و جلوگیری از آن آشنا شدید. به یاد داشته باشید با افزایش تهدیدات سایبری و تداوم دورکاری، سازمان‌ها باید بیش از پیش مراقب وقوع حملات امنیتی و نشت های اطلاعاتی باشند. پیروی از اصول امنیتی به سازمان‌ها برای حفاظت از کاربران، مشتریان، داده‌ها و اعتبار آنها در برابر حملات مخرب کمک به سزایی می‌کند.

 

[1] Principle of Least Privilege

[2] Role-Based Access Control

خروج از نسخه موبایل