درس آموخته هایی برای جلوگیری از دسترسی مهاجمان به شبکه‌های سازمانی

مهاجمان سایبری در چند ماه گذشته حمله‌ای را بر ضد شرکت خط لوله Colonial که در زمینه انتقال سوخت فعالیت دارد، اجرا نمودند. نتایج بررسی ها و تحقیقات نشان می‌دهد که آنها امکان دسترسی اولیه به سیستم های شبکه این شرکت را از طریق یک حساب کاربری قدیمی وی‌پی‌ان و بی‌استفاده که همچنان فعال بوده است، پیدا کرده اند. کارشناسان امنیتی معتقدند کارمندان شرکت Colonial از کلمات عبور تکراری استفاده نموده و احراز هویت دومرحله‌ای هم برای حساب وی‌پی‌ان مورد نظر فعال نبوده است.

این حمله باعث شد مدیران سازمان‌ها بررسی کنند که آیا برای حساب‌های کاربری کارمندان‌شان با امکان دسترسی از راه دور، احراز هویت دومرحله‌ای فعال شده است یا خیر؟ و اینکه آیا روش‌های دیگری برای ورود مهاجمان به شبکه های سازمانی وجود دارد؟ در این مطلب از فراست به بررسی نکاتی می‌پردازیم که مانع از دسترسی مهاجمان به شبکه‌های ویندوزی می‌شوند.

 

1. پیدا کردن حساب‌های کاربری و دستگاه‌های قدیمی از طریق اکتیودایرکتوری

یکی از ابزارهایی که استفاده از آن برای پیدا کردن حساب‌های کاربری قدیمی و بی‌استفاده توصیه می‌شود، نرم افزار “Oldcmp” است. همچنین می‌توانید از پاورشل برای پیدا کردن حساب‌های کاربری غیرفعال یا تشخیص اینکه چه کاربرانی در 90 روز اخیر یا قبل‌تر از آن وارد سیستم خود نشده‌اند، با استفاده از دستور زیر استفاده نمایید:

Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)}

برای تعیین اینکه آیا دستگاه‌های بدون استفاده‌ای در اکتیودایرکتوری آژور موجود هستند یا خیر، نیاز به استفاده از کنسول یا پاورشل دارید. پاورشل را با دسترسی‌های مدیریتی باز نموده و فرمان‌های زیر را اجرا کنید:

Install-Module -Name AzureAD

Install-Module msonline

Import-Module -Name AzureAD

Import-Module msonline

Connect-MsolService

در مرحله بعد باید کلمه عبور مدیر سیستم را برای دسترسی به Azure AD وارد نمایید. فرمان زیر را اجرا نموده تا فهرست دستگاه‌های قدیمی را در قالب یک فایل csv دریافت کنید:

Get-MsolDevice -all | select-object -Property Enabled, DeviceId, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv “C:\temp\az-devices.csv”

با استفاده از نام کاربری و کلمه عبور مدیر سیستم وارد پورتال آژور شوید. Intune را جستجو و Intune Blade را باز کنید. از منوی سمت چپ ابتدا گزینه Devices و سپس گزینه Device cleanup rules and turn on Delete devices based on last check-in date را انتخاب نمایید. تعداد روزهایی که پس از گذشت آن در صورت عدم ورود به یک دستگاه، آن دستگاه از فهرست حذف می‌شود را انتخاب کنید.

برای پیدا کردن حساب‌های کاربری غیرفعال در Azure AD می توانید نوع ویژگی lastSignInDateTime را که با نوع منبع signInActivity در API Microsoft Graph مرتبط است، ارزیابی کنید. برای تولید گزارش نیز می توانید از این مطلب استفاده نمایید. اگر فهرست اطلاعاتی ایجاد شده خالی است، بیانگر آن است که کاربر هیچ وقت وارد سیستم نشده یا قبل از دسامبر 2019 وارد آن شده است. هر دو حالت نشان دهنده این است که حساب کاربری مورد نظر قدیمی شده و باید غیرفعال شود.

ممکن است امکان دسترسی به وی‌پی‌ان هم از طریق یک دستگاه لبه شبکه[1] وجود داشته باشد. پس اگر می‌خواهید اطلاعات قدیمی کاربران را شناسایی کنید بایستی تمام دستگاه‌های موجود در محیط شبکه را بررسی کنید.

 

2. فعال‌سازی احراز هویت دومرحله‌ای

همه سرویس‌ها اعم از اکتیودایرکتوری و سرویس‌های ابری قابلیت پشتیبانی از احراز هویت دومرحله‌ای را دارند. مدیران فناوری اطلاعات سازمان‌ها می‌توانند برای دسترسی از راه دور و ورود کاربران به حساب‌های کاربری‌شان از سازوکار احراز هویت دومرحله‌ای Duo.com یا Saaspass.com (که با کمک یک پلاگین، احراز هویت دومرحله‌ای را برای وب‌سایت‌ها پیاده‌سازی می‌کند) استفاده کنند.

سازمان‌ها همچنین با استفاده از راهکارهای Windows Hello و Microsoft Authenticator می‌توانند احراز هویت زیست سنجی را پیاده‌سازی نموده و از امکان ارسال اعلان ها به دستگاه‌های سیار و نیز کلیدهای امنیتی FIDO2 بهره‌مند شوند.

 

3. نظارت بر فعالیت‌های کاربران

در این مرحله باید ورود کاربران به حساب‌های کاربری‌شان و دسترسی‌های آنها را بررسی نموده و به کارمندان‌تان درباره پیامدهای به مخاطره افتادن اطلاعات ورود به حساب‌های کاربری‌شان آگاهی های لازم را بدهید. معمولاً یک فیلتر ساده ورود به حساب کاربری با استفاده از گزینه Failure در Azure AD به شما نشان می‌دهد کدام حساب کاربری سازمان بیشترین تلاش را برای ورود داشته است.

همچنین باید بررسی کنید که آیا از سازوکارهای حفاظتی و امنیتی لازم برای حساب‌های کاربری کاربران استفاده می شود یا خیر؟ در صورت دسترسی به Azure AD می‌توانید برای تشخیص رفتارهای مخاطره‌آمیز، سیاست‌های شرطی تعریف کنید.

 

4. آموزش اصول امنیت کلمه عبور به کارمندان

مدیران امنیت سازمان‌ها باید آموزش‌های لازم را به کارمندان درباره رفتارهای صحیح در زمینه مراقبت از کلمه عبورشان بدهند. کاربران می بایست در خصوص مخاطرات به اشتراک گذاری یا یادداشت کلمات عبورشان از آگاهی لازم برخوردار بوده و بدانند که هرگز نباید از گذرواژه‌های تکراری استفاده کنند. HaveIbeenpwnd.com منبع بسیار خوبی برای برنامه‌های کاربردی و وب‌سایت‌ها است که کلمات عبور فعلی شما را بررسی می‌کند تا نفوذهای احتمالی را تشخیص داده و اطلاعات لازم را در اختیارتان قرار دهد. چنین راهکارهایی می‌توانند زیرساخت اکتیودایرکتوری سازمان شما را برای پیدا کردن مشکلات احتمالی بررسی کنند. همانطور که پروژه k-Anonymity[2] اعلام کرده اگر نگران استفاده از APIها هستید می‌توانید برای بررسی وضعیت کلمات عبور کاربران از پایگاه‌های داده آفلاین استفاده نمایید.

به کاربران باید آموزش‌های لازم در خصوص انتخاب کلمات عبور مناسب داده شود. تنظیمات سیاست گروهی برای تعیین حداقل پیچیدگی کلمه عبور، نقطه شروع خوبی برای بازبینی تأثیر سیاست کلمه عبور شما بر انتخاب‌های کاربران است. این سیاست‌ها معمولاً کاربران را ملزم به تغییر مکرر کلمه عبور در بازه های زمانی مشخص می‌کنند (مثلاً هر سه ماه یکبار). متأسفانه مشکلی که وجود دارد این است که کاربران در بسیاری از مواقع فقط یک حرف از کلمه عبور فعلی شان را تغییر داده و این رفتار منجر به ایجاد گذرواژه‌هایی می‌شود که به راحتی توسط مهاجمان قابل حدس زدن هستند. مدیران امنیت باید حتماً تنظیمات مربوطه را بازبینی کرده و مطمئن شوند به کاربران برای انتخاب گذرواژه‌هایی که باعث حفاظت هر چه بیشتر از اطلاعات آنها و سازمان‌شان می‌شود، کمک می‌کنند.

[1] دستگاهی که از آن به عنوان یک نقطه ورود به شبکه‌های اصلی شرکت یا ارایه‌دهندگان خدمات استفاده می‌شود.

[2] یک روش که با ایجاد تغییراتی در اطلاعات باعث حفظ حریم خصوصی کاربران می شود.

 

منبع: csoonline