Active Directory (AD) ถูกใช้โดย 90 เปอร์เซ็นต์ขององค์กรเป็นแหล่งความน่าเชื่อถือหลักสำหรับการระบุตัวตนและการเข้าถึง แต่ก็เป็นจุดอ่อนได้เช่นกัน ซึ่งถูกนำไปใช้ในการโจมตีทางไซเบอร์สมัยใหม่หลายครั้ง
เราได้พูดคุยกับ Ran Harel ผู้อำนวยการอาวุโสฝ่ายการจัดการผลิตภัณฑ์ที่ Semperis เพื่อสำรวจความท้าทายในการรักษาความปลอดภัยของสภาพแวดล้อม AD แบบไฮบริด และวิธีที่องค์กรต่างๆ สามารถปกป้องพื้นที่การโจมตีแบบขยายนี้ได้ดีที่สุด
BN: Active Directory และ Azure Active Directory?
RH: Active Directory (AD) เป็นเทคโนโลยีของ Microsoft ที่ใช้ในการจัดการบัญชีผู้ใช้ ระบบคอมพิวเตอร์ และทรัพยากรอื่นๆ ภายในเครือข่าย AD ให้การรับรองความถูกต้องและการอนุญาตแบบรวมศูนย์สำหรับคอมพิวเตอร์ที่ใช้ Windows และสามารถใช้ในการจัดการทรัพยากรเครือข่ายต่างๆ เช่น เครื่องพิมพ์และไฟล์เซิร์ฟเวอร์
Azure Active Directory (Azure AD) เป็นเวอร์ชันบนระบบคลาวด์ ของ AD ที่ให้การจัดการข้อมูลประจำตัวและการเข้าถึงสำหรับแอปพลิเคชันบนคลาวด์ รวมถึงบริการออนไลน์ของ Microsoft เอง เช่น Office 365 และ Microsoft 365 สามารถใช้ Azure AD เพื่อจัดการและรักษาความปลอดภัยการเข้าถึงทรัพยากรในองค์กร ระบบคลาวด์ และแบบไฮบริด และผสานรวม ด้วยแพลตฟอร์มและภาษาการเขียนโปรแกรมที่หลากหลาย
BN: เหตุใดการข้ามไปใช้ระบบบนคลาวด์เพื่อตอบสนองความต้องการของสภาพแวดล้อมการทำงานแบบผสมผสานจึงสร้างช่องโหว่ที่เพิ่มขึ้น
RH: การนำระบบบนคลาวด์มาใช้อย่างรวดเร็วเพื่อรองรับสภาพแวดล้อมการทำงานแบบผสมผสานได้เพิ่มช่องโหว่ในหลายๆ ทาง:
ขาดความคุ้นเคยกับความปลอดภัยของคลาวด์: หลายองค์กรขาดความเชี่ยวชาญภายในองค์กรที่จะรักษาความปลอดภัยบนคลาวด์อย่างเหมาะสม-ระบบที่ใช้ ซึ่งนำไปสู่การกำหนดค่าที่ผิดพลาดหรือการกำกับดูแลที่ผู้โจมตีทางไซเบอร์สามารถใช้ประโยชน์ได้ พื้นผิวการโจมตีที่เพิ่มขึ้น: ระบบบนคลาวด์มักจะมีพื้นผิวการโจมตีที่ใหญ่กว่าระบบในสถานที่แบบดั้งเดิม เนื่องจากสามารถเข้าถึงได้จากทุกที่ที่มีการเชื่อมต่ออินเทอร์เน็ต สิ่งนี้สามารถทำให้พวกเขาเป็นเป้าหมายที่น่าสนใจยิ่งขึ้นสำหรับผู้โจมตี ความรับผิดชอบร่วมกัน: ด้วยระบบบนคลาวด์ ความรับผิดชอบด้านความปลอดภัยมักถูกแบ่งปันระหว่างลูกค้าและผู้ให้บริการคลาวด์ ซึ่งอาจนำไปสู่ความสับสนว่าใครเป็นผู้รับผิดชอบในการรักษาความปลอดภัยเฉพาะด้านของระบบ ทำให้เกิดช่องว่างด้านความปลอดภัย ความเป็นส่วนตัวของข้อมูล: องค์กรอาจประสบปัญหาในการควบคุมข้อมูลที่ละเอียดอ่อนซึ่งจัดเก็บไว้ในระบบคลาวด์ และอาจเสี่ยงต่อการเข้าถึงโดยไม่ได้รับอนุญาตหรือการละเมิดข้อมูล การพึ่งพาการเชื่อมต่ออินเทอร์เน็ต: ระบบบนคลาวด์อาศัยการเชื่อมต่ออินเทอร์เน็ตที่เชื่อถือได้ ทำให้องค์กรต่างๆ เสี่ยงต่อการหยุดทำงานหรือข้อมูลสูญหายระหว่างที่อินเทอร์เน็ตขัดข้อง
กล่าวโดยย่อ การเปลี่ยนไปใช้ระบบบนคลาวด์ได้สร้างช่องโหว่ใหม่ที่ต้องได้รับการแก้ไขอย่างเหมาะสมเพื่อให้มั่นใจในความปลอดภัยของข้อมูลที่ละเอียดอ่อนและความต่อเนื่องของการดำเนินธุรกิจ
BN: ช่องว่างใดบ้าง ในการรักษาความปลอดภัยเป็นสิ่งสำคัญที่สุดที่บริษัทควรให้ความสำคัญเมื่อใช้งานสภาพแวดล้อมแบบไฮบริด?
RH: บริษัทควรให้ความสำคัญกับห้าส่วนที่สำคัญ:
ข้อมูลประจำตัว: ข้อมูลประจำตัวที่เหมาะสมและการจัดการการเข้าถึง (IAM ) เกี่ยวข้องกับการนำวิธีการยืนยันตัวตนและการอนุญาตที่ปลอดภัยมาใช้ เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) และการควบคุมการเข้าถึงทรัพยากรตามบทบาทและความรับผิดชอบของผู้ใช้ โครงสร้างพื้นฐานเครือข่าย: การรักษาความปลอดภัยโครงสร้างพื้นฐานเครือข่ายช่วยป้องกันการเข้าถึงทรัพยากรและข้อมูลโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการใช้ไฟร์วอลล์ เครือข่ายส่วนตัวเสมือน (VPN) และมาตรการรักษาความปลอดภัยอื่นๆ เพื่อรักษาความปลอดภัยทั้งในระบบภายในองค์กรและระบบบนคลาวด์ ข้อมูลที่ละเอียดอ่อน: การปกป้องข้อมูลที่ละเอียดอ่อนรวมถึงการใช้โซลูชันการเข้ารหัสข้อมูล การสำรองข้อมูล และการกู้คืนระบบ การควบคุมการเข้าถึงข้อมูลผ่าน IAM และมาตรการรักษาความปลอดภัยเครือข่ายก็มีความสำคัญเช่นกัน จุดสิ้นสุด: การรักษาความปลอดภัยจุดสิ้นสุด–แล็ปท็อป สมาร์ทโฟน และอุปกรณ์อื่นๆ–รวมถึงการใช้โซลูชันป้องกันไวรัสและป้องกันมัลแวร์ การกำหนดค่าอุปกรณ์ที่ปลอดภัย และการควบคุมการเข้าถึงทรัพยากรขององค์กร แอปพลิเคชัน: การรักษาความปลอดภัยแอปพลิเคชัน–มักจะเป็นวิธีการหลักในการเข้าถึงและจัดการกับข้อมูลที่ละเอียดอ่อน–เกี่ยวข้องกับการใช้มาตรการรักษาความปลอดภัย เช่น ไฟร์วอลล์ของแอปพลิเคชัน การตรวจสอบอินพุต และแนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัย
ด้วยการมุ่งเน้นไปที่ช่องว่างที่อาจเกิดขึ้นเหล่านี้ บริษัทต่างๆ สามารถปกป้องข้อมูลที่ละเอียดอ่อนได้ดีขึ้นและรับประกันความต่อเนื่องของการดำเนินงานในสภาพแวดล้อมการทำงานแบบผสมผสาน
BN: เวกเตอร์ทั่วไปที่คุณเห็นอาชญากรไซเบอร์ใช้คืออะไร เป็นช่องทางเข้าสู่ AD ขององค์กรหรือไม่
RH: อาชญากรไซเบอร์มักจะใช้เวกเตอร์ต่อไปนี้เพื่อเข้าถึง AD ขององค์กรโดยไม่ได้รับอนุญาต:
การโจมตีแบบฟิชชิง: การโจมตีเหล่านี้มักเกี่ยวข้องกับการส่งอีเมล ที่ดูเหมือนจะมาจากแหล่งที่เชื่อถือได้และมีลิงก์หรือไฟล์แนบที่เป็นอันตรายซึ่งติดตั้งมัลแวร์บนอุปกรณ์ของผู้ใช้ มัลแวร์: มัลแวร์ เช่น ไวรัส เวิร์ม และโทรจัน สามารถทำให้เครือข่ายขององค์กรติดไวรัส และทำให้อาชญากรไซเบอร์สามารถเข้าถึง AD ขององค์กรได้ รหัสผ่านที่อ่อนแอหรือถูกบุกรุก: รหัสผ่านที่ไม่รัดกุมหรือการใช้รหัสผ่านซ้ำ สามารถทำให้อาชญากรไซเบอร์เข้าถึง AD ขององค์กรได้ง่ายขึ้นผ่านการโจมตีแบบเดรัจฉาน การเพิ่มสิทธิ์: อาชญากรไซเบอร์สามารถใช้ช่องโหว่ในระบบหรือแอปพลิเคชันขององค์กรเพื่อรับสิทธิ์ขั้นสูงและเข้าถึง AD ขององค์กรได้ บุคคลภายใน: ภัยคุกคามจากบุคคลภายใน ไม่ว่าจะโดยเจตนาร้ายหรือโดยบังเอิญ อาจก่อให้เกิดความเสี่ยงอย่างมากต่อ AD ขององค์กร ภัยคุกคามดังกล่าวอาจเกี่ยวข้องกับพนักงาน ผู้รับเหมา หรือผู้ขายที่เป็นบุคคลภายนอกที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
ด้วยการใช้มาตรการรักษาความปลอดภัยที่รัดกุม เช่น การตรวจจับและตอบสนองต่อภัยคุกคามข้อมูลระบุตัวตน (ITDR), MFA, การอัปเดตซอฟต์แวร์เป็นประจำ และการฝึกอบรมพนักงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ องค์กรต่างๆ สามารถลดความเสี่ยงที่เวกเตอร์เหล่านี้จะถูกใช้เพื่อประนีประนอมโฆษณาของตนได้
BN: คุณช่วยอธิบายให้เราทราบถึงหนึ่งในการโจมตีที่มีรายละเอียดสูง เช่น SolarWinds และสิ่งที่ผิดพลาดที่นั่นได้ไหม
RH: การโจมตีของ SolarWinds ในปี 2020 ได้รับผลกระทบ หน่วยงานราชการและองค์กรเอกชนหลายแห่ง ผู้โจมตีใช้การโจมตีแบบห่วงโซ่อุปทานเพื่อแทรกซึมเข้าไปในระบบของ SolarWinds ซึ่งเป็นผู้ให้บริการซอฟต์แวร์การจัดการด้านไอทีที่ใช้กันอย่างแพร่หลาย
ผู้โจมตีได้แก้ไขซอฟต์แวร์ SolarWinds และแจกจ่ายเวอร์ชันที่เป็นอันตรายให้กับลูกค้า ซึ่งจากนั้นได้ติดตั้งซอฟต์แวร์ที่ติดไวรัสบน ระบบของพวกเขา สิ่งนี้ทำให้ผู้โจมตีมีช่องทางลับในเครือข่ายของลูกค้า ทำให้สามารถโจมตีเพิ่มเติมและขโมยข้อมูลที่ละเอียดอ่อนได้
เกิดข้อผิดพลาดในการโจมตีของ SolarWinds:
การโจมตีห่วงโซ่อุปทาน: ผู้โจมตีสามารถ ประนีประนอมห่วงโซ่อุปทานของซอฟต์แวร์ ซึ่งทำให้มีการแจกจ่ายซอฟต์แวร์ที่เป็นอันตรายไปยังองค์กรหลายพันแห่ง ขาดการมองเห็น: หลายองค์กรมีการมองเห็นไม่เพียงพอในกิจกรรมบนเครือข่ายของตน ทำให้ยากต่อการตรวจจับการโจมตีและตอบสนองในเวลาที่เหมาะสม ระบบกำหนดค่าผิดพลาด: บางระบบ องค์กรต่างๆ กำหนดค่าระบบของตนผิดพลาด ซึ่งทำให้ผู้โจมตีเข้าถึงและคงอยู่ในเครือข่ายได้ง่ายขึ้น การตอบสนองช้า: บางองค์กรใช้เวลาหลายเดือนในการตรวจจับการโจมตี ซึ่งทำให้ผู้โจมตีมีเวลาเหลือเฟือในการดึงข้อมูลที่ละเอียดอ่อนออกมา การประเมินความเสี่ยงต่ำเกินไป: หลายองค์กรอาจประเมินความเสี่ยงจากการโจมตีห่วงโซ่อุปทานต่ำเกินไป และล้มเหลวในการดำเนินมาตรการที่เพียงพอเพื่อป้องกันตนเอง
การโจมตีทางไซเบอร์ขนาดใหญ่เพิ่มเติมในช่วงไม่กี่ปีที่ผ่านมามีเป้าหมายที่ AD รวมถึง:
การโจมตี Microsoft Exchange Server (2021): พบช่องโหว่ Zero-day หลายรายการใน Microsoft Exchange Server ช่องโหว่นี้ทำให้ผู้โจมตีสามารถโจมตี Exchange Servers และเข้าถึงข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลที่จัดเก็บในการโจมตี AD.NetWalker ransomware (2021): กลุ่มแรนซัมแวร์ NetWalker ได้กำหนดเป้าหมายหลายองค์กร โดยใช้กลวิธี เช่น ฟิชชิงและใช้ประโยชน์จากช่องโหว่ในระบบ เช่น AD เพื่อเริ่มต้น เข้าถึงเครือข่ายของเป้าหมาย การโจมตีของ Ryuk ransomware (2021): การโจมตีของ Ryuk ransomware เป็นภัยคุกคามที่เพิ่มมากขึ้น เป็นที่ทราบกันดีว่ากลุ่มนี้กำหนดเป้าหมาย AD เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนและคีย์เข้ารหัส ซึ่งสามารถใช้เข้ารหัสข้อมูลขององค์กรและเรียกค่าไถ่ได้
ตัวอย่างเหล่านี้แสดงให้เห็นถึงความจำเป็นที่องค์กรต้องตรวจสอบและรักษาความปลอดภัยของ AD และโครงสร้างพื้นฐานข้อมูลประจำตัวอื่นๆ อย่างต่อเนื่องด้วยโซลูชัน ITDR และนำมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพมาใช้เพื่อป้องกันการโจมตีที่เป็นอันตรายต่อผู้ใช้ ระบบ และเครือข่ายของตน
BN: ผู้เชี่ยวชาญด้านไอทีสามารถเปลี่ยนจากภายในองค์กรไปสู่ระบบคลาวด์ด้วยวิธีที่ปลอดภัยที่สุดได้อย่างไร
RH: ผู้เชี่ยวชาญด้านไอทีสามารถเปลี่ยนจากภายในองค์กรไปสู่ระบบคลาวด์ได้อย่างปลอดภัย โดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้:
วางแผนและประเมิน: เริ่มต้นด้วยการวางแผนการเปลี่ยนแปลง รวมถึงการระบุปริมาณงานที่จะย้าย การกำหนดทรัพยากรที่จำเป็น และการกำหนดไทม์ไลน์การย้ายข้อมูล ประเมินข้อกำหนดด้านความปลอดภัยและดำเนินการวิเคราะห์ความเสี่ยงเพื่อระบุภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้น รักษาความปลอดภัยสภาพแวดล้อมระบบคลาวด์ของคุณ: ใช้มาตรการรักษาความปลอดภัย เช่น การแบ่งส่วนเครือข่าย IAM และการเข้ารหัสข้อมูล เพื่อรักษาความปลอดภัยสภาพแวดล้อมระบบคลาวด์ ใช้เครื่องมือและบริการรักษาความปลอดภัย เช่น ITDR เพื่อตรวจสอบและรักษาความปลอดภัยสภาพแวดล้อมของคุณอย่างต่อเนื่อง จัดการการเข้าถึงและการอนุญาต: ใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) เพื่อจัดการสิทธิ์ของผู้ใช้ ตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลและทรัพยากรที่ละเอียดอ่อนได้ ใช้ MFA เพื่อเพิ่มความปลอดภัย ใช้แผนกู้คืนระบบ: ตรวจสอบให้แน่ใจว่าคุณมีแผนกู้คืนระบบเพื่อกู้คืนระบบและข้อมูลในกรณีที่เกิดความล้มเหลวหรือข้อมูลสูญหาย แผนนี้อาจรวมถึงการสำรองข้อมูลและการนำการกู้คืนจากความเสียหายไปใช้เป็นบริการ ทดสอบแผนเป็นประจำ ตรวจสอบและตรวจสอบ: ตรวจสอบสภาพแวดล้อมระบบคลาวด์ของคุณอย่างต่อเนื่องเพื่อหากิจกรรมที่ผิดปกติ และตรวจสอบบันทึกและเหตุการณ์ด้านความปลอดภัยของคุณเพื่อตรวจหาเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น ตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทันทีและใช้มาตรการตอบโต้ที่เหมาะสม
เมื่อปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้ ผู้เชี่ยวชาญด้านไอทีสามารถรับประกันการเปลี่ยนจากภายในองค์กรไปสู่ระบบคลาวด์ได้อย่างปลอดภัย และลดความเสี่ยงของเหตุการณ์ด้านความปลอดภัยและการละเมิดข้อมูล
เครดิตรูปภาพ: IgorVetushko/depositphotos.com