nss Κυβερνοασφάλεια ως Υπηρεσία
nss Διαχείριση Προνομιακής Πρόσβασης
nss Διαχείριση Ασφάλειας Δεδομένων
nss IT & Security Management
nss Ολοκληρωμένες Λύσεις για MSP & ITSP
nss Διαχείριση κωδικών πρόσβασης για Παρόχους Διαχειριζόμενων Υπηρεσιών (MSPs)
nss Ασφάλεια Ταυτότητας
nss Προσδιορισμός & Διαχείριση Ευπαθειών Ασφάλειας
nss Έλεγχος ασφάλειας εφαρμογών για επιχειρήσεις
nss Link Load Balancing, Wifi & SDWAN
nss Backup & Recovery
nss Optical Networking
nss Document Security
nss Server Load Balancing, Secure GW, WAN Optimization
nss Αρχειοθέτηση email
nss PKI Solutions & Identity Services
nss Πλατφόρμα Διαχείρισης M365
nss Κλιμακωτή Αποθήκευση Αντιγράφων Ασφαλείας
nss Υποδομές Data Center
nss Physical / Virtual Backup & Disaster Recovery
nss Ασφάλεια Κρίσιμων Επικοινωνιών
nss SIEM & Log Management
nss Πλατφόρμα Διαχείρισης Απειλών & Ευπαθειών
ΠΡΟΪΟΝΤΑ
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
PRODUCTS
Facebook Twitter Linkedin Youtube Rss

Cyber Security Elements by NSS

Sophos. Πέρα από το MFA: Αναπτύσσοντας πραγματική ανθεκτικότητα έναντι επιθέσεων βασισμένων στην ταυτότητα

Η πολυπαραγοντική πιστοποίηση της ταυτότητας (MFA) παραμένει ακρογωνιαίος λίθος της κυβερνοασφάλειας, ωστόσο κυβερνοεγκληματίες και απατεώνες έχουν μάθει να βρίσκουν τρόπους παράκαμψής της.

Καθώς οι καθοδηγούμενες από τη ταυτότητα επιθέσεις εξακολουθούν να γνωρίζουν αύξηση, οι οργανισμοί είναι υποχρεωμένοι να προχωρήσουν πέρα του MFA για να οικοδομήσουν ή να «αναπτύξουν» την ανθεκτικότητα τους. Οι ειδικοί και εμπειρογνώμονες της Sophos και τα συμπεράσματα που βγήκαν από μία πρόσφατη έρευνα της Gartner συμφωνούν: Ήρθε η ώρα για μία στρατηγική ασφαλείας που έχει ως πρώτη προτεραιότητα την ταυτότητα, υποστηριζόμενη από αδιάλειπτη ανίχνευση και ανταπόκριση. Για πολλούς οργανισμούς, το να συμβαδίσουν (από άποψη άμυνας) με τις πλέον σύγχρονες απειλές που σχετίζονται με την ταυτότητα μοιάζει κάτι το ακατόρθωτο, ειδικά με την επέκταση των υβριδικών περιβαλλόντων. Υπάρχει, ωστόσο ένας σαφής δρόμος προς τα εμπρός.

Η ταυτότητα αποτελεί πλέον την πρωταρχική επιφάνεια επίθεσης

Ο Chris Yule, διευθυντής της επιχειρησιακής μονάδας Sophos X-Ops Counter Threat Unit επισημαίνει ότι πάνω από το 60% των περιστατικών που διερευνά προέρχονται από αδυναμίες που σχετίζονται με την ταυτότητα. Το ηλεκτρονικό ψάρεμα, η κλοπή διαπιστευτηρίων και η κοινωνική μηχανική αποτελούν κοινά σημεία εισόδου -μέθοδοι που επιτρέπουν στους επιτιθέμενους να διεισδύσουν χωρίς να χρησιμοποιήσουν παραδοσιακού τύπου κακόβουλο λογισμικό.

«Η νούμερο ένα απειλή που αντιμετωπίζουν οι πελάτες μας σήμερα εξακολουθεί να είναι το ransomware, τόσο από την άποψη του αριθμού των περιστατικών που παρατηρούμε όσο και από την άποψη του αντίκτυπου που μπορεί να έχει όταν παρεισδύσει» εξήγησε ο Chris Yule κατά τη διάρκεια ενός πρόσφατου διαδικτυακού σεμιναρίου. «Οι κλασικές περιπτώσεις ransomware δείχνουν σταθερά ότι η παραβίαση ταυτότητας είναι το κρίσιμο πρώτο βήμα».

Καθώς οι οργανισμοί επεκτείνονται σε υβριδικά και cloud περιβάλλοντα, κάθε νέα ενσωμάτωση, από εφαρμογές software-as-a-service (SaaS) έως υπηρεσιακούς λογαριασμούς αποτελεί ένα άλλο σημείο εισόδου. Παρόλα αυτά, όπως επισήμανε ο Chris Yule, συχνά θα παρατηρούμε κυβερνοεπιθέσεις όπου η «χρήση κακόβουλου κώδικα θα είναι πολύ μικρή». Αντιθέτως «για την απόκτηση πρόσβασης στο περιβάλλον» θα προβαίνουν στη «χρήση προνομίων και εμπιστοσύνης, με στόχο την πρόκληση όσο το δυνατόν μεγαλύτερης ζημιάς με αυτή την εμπιστοσύνη».

Γιατί το MFA από μόνο του δεν αρκεί

Το MFA είναι απαραίτητο, αλλά δεν αρκεί. Οι επιτιθέμενοι έχουν εξελιχθεί και οι απειλές που βασίζονται στην ταυτότητα παρακάμπτουν πλέον ακόμη και την ισχυρή αυθεντικοποίηση. Οι οργανισμοί χρειάζονται διαρκή ανίχνευση και ανταπόκριση για να παραμείνουν ένα βήμα μπροστά. Σε πολλές περιπτώσεις παραβίασης επιχειρηματικών μηνυμάτων ηλεκτρονικού ταχυδρομείου (BEC), οι επιτιθέμενοι παρακάμπτουν την πολυπαραγοντική αυθεντικοποίηση (MFA) χρησιμοποιώντας κιτ ηλεκτρονικού ψαρέματος τύπου Adversary-in-the-Middle (AiTM).

Μια επίθεση AiTM υπερβαίνει το παραδοσιακό ηλεκτρονικό ψάρεμα. Αντί να κλέβει απλώς διαπιστευτήρια, ο εισβολέας αναχαιτίζει, υποκλέπτει και αναμεταδίδει τη συνεδρία σύνδεσης του θύματος σε πραγματικό χρόνο. Όταν ένας χρήστης κάνει κλικ σε έναν σύνδεσμο phishing και εισάγει τα διαπιστευτήριά του σε μία ψεύτικη/παραπλανητική ιστοσελίδα, ο εισβολέας προωθεί αυτά τα στοιχεία στην νόμιμη υπηρεσία και καταγράφει ολόκληρη τη ροή ελέγχου της ταυτότητας, συμπεριλαμβανομένων των αποκρίσεων MFA με αποτέλεσμα να καταφέρει να πάρει τη συνεδρία υπό τον έλεγχο του.

Η πραγματικότητα αυτή συνάδει με τα ευρήματα της Gartner που περιγράφονται στην έκθεσή της «Οι CISOs πρέπει να ενσωματώσουν το IAM για να ενισχύσουν τη στρατηγική κυβερνοασφάλειας τους». Στην έκθεση επισημαίνεται ότι η παραβίαση των διαπιστευτηρίων παραμένει η κύρια αιτία των παραβιάσεων και ότι «οι εξελιγμένοι επιτιθέμενοι στοχεύουν πλέον την ίδια την υποδομή IAM».

Η Gartner προειδοποιεί περαιτέρω ότι ενώ η πρόληψη είναι απαραίτητη «δεν υπάρχει απολύτως εγγυημένη πρόληψη». Οι ομάδες ασφαλείας οφείλουν να είναι έτοιμες να εντοπίζουν απειλές και να ανταποκρίνονται μόλις παρακάμπτονται οι άμυνες ταυτότητας.

Ασφάλεια με προτεραιότητα την ταυτότητα: Η επόμενη εξέλιξη

Σύμφωνα με την Gartner, οι ηγέτες στον τομέα της κυβερνοασφάλειας πρέπει να «υιοθετήσουν την ανίχνευση και την ανταπόκριση σε απειλές για την ταυτότητα (ITDR) και να εφαρμόσουν την ασφάλεια με προτεραιότητα στην ταυτότητα, ώστε να επιτύχουν μηδενική εμπιστοσύνη και να βελτιστοποιήσουν τη στάση του οργανισμού τους απέναντι στην κυβερνοασφάλεια».

Η ασφάλεια με προτεραιότητα στην ταυτότητα αναδιαμορφώνει την προστασία με βάση το ποιος και τι συνδέεται, αντί για το από πού συνδέεται. Αντί για στατικούς μηχανισμούς ελέγχου της περιμέτρου, εστιάζει στη συνεχή αξιολόγηση της εμπιστοσύνης και στην προσαρμοστική πρόσβαση. Στην πράξη, αυτό σημαίνει:

  • Συνεχή παρακολούθηση της στάσης της ταυτότητας, όχι μόνο επιβολή ελέγχων της σύνδεσης.
  • Ανίχνευση και ανταπόκριση σε ανώμαλες συμπεριφορές, όπως στην κλιμάκωση προνομίων ή στην πλευρική μετακίνηση.
  • Μείωση της επιφάνειας επίθεσης με την αντιμετώπιση των λανθασμένων διαμορφώσεων και των υπερπρονομιακών λογαριασμών.

Ανίχνευση για το επίπεδο ταυτότητας

Ο Chris Yule τόνισε ότι η Sophos ανέπτυξε και σχεδίαση την υπηρεσία Identity Threat Detection and Response (ITDR) ακριβώς για να καλύψει αυτό το κενό.

«Ιστορικά, η διαχείριση της ταυτότητας και της πρόσβασης και οι λειτουργίες ασφαλείας ήταν παραδοσιακά ως επί το πλείστον ξεχωριστά πράγματα» είπε ο Chris Yule. «Επομένως, αυτό που προσπαθήσαμε να κάνουμε με το ITDR είναι να εξετάσουμε αυτή την αλληλοεπικάλυψη μεταξύ τους».

Με τη συνεχή αξιολόγηση της κατάστασης της ταυτότητας, το Sophos ITDR παρακολουθεί:

  • Κλεμμένα ή εκτεθειμένα διαπιστευτήρια στον σκοτεινό Ιστό
  • Λογαριασμούς με υπερβολικά ή ασυνήθιστα δικαιώματα
  • Λανθασμένες διαμορφώσεις εφαρμογών που επιτρέπουν την κατάχρηση προνομίων

Αυτή η προληπτική προσέγγιση λειτουργεί συμπληρωματικά στις υπηρεσίες Sophos Managed Detection and Response (MDR) και Extended Detection and Response (XDR) εξασφαλίζοντας ότι οι οργανισμοί είναι σε θέση να ανιχνεύουν τις απειλές εν δράσει ενώ παράλληλα μειώνουν τον κίνδυνο εκμετάλλευσης της ταυτότητας πριν οι επιθέσεις ξεκινήσουν.

Η ταυτότητα έχει καταστεί ο ακρογωνιαίος λίθος της σύγχρονης κυβερνοασφάλειας και η οικοδόμηση ανθεκτικότητας ξεκινά με την αντιμετώπιση της ως βασική αρχή. Μαζί, οι υπηρεσίες ITDR, MDR και XDR δημιουργούν ένα πλαίσιο ασφάλειας που είναι συνεχές, προσαρμοστικό και ανθεκτικό.

«Καθώς αυξάνουμε την εμπιστοσύνη σε διάφορα πράγματα, η κατάσταση γίνεται περιπλοκότερη και πιο αδιαφανή με αποτέλεσμα να γίνεται δυσκολότερο πλέον να γνωρίζουμε και να προσδιορίζουμε αυτές τις μικρο-αδυναμίες που θα μπορούσαν να αποτελέσουν αντικείμενα εκμετάλλευσης για κάποιον αρκετά έξυπνο να τις ανακαλύψει» δήλωσε ο Chris Yule.

Οι οργανισμοί που υϊοθετούν στρατηγικές ασφάλειας με προτεραιότητα στην ταυτότητα αποκτούν την ευελιξία να ανιχνεύουν και να εξουδετερώνουν τις απειλές προτού κλιμακωθούν.

Ανακαλύψτε πως το Sophos Identity Threat Detection and Response (ITDR) βοηθά τους οργανισμούς να προλαμβάνουν και να εξουδετερώνουν τις απειλές που βασίζονται στην ταυτότητα προτού εξελιχθούν σε παραβιάσεις.

Πηγή: Sophos