درع حصين ضد الهجمات السيبرانية: تعرف على منصة Silverfort

Silverfort….في هذه المقالة، سنقدم لمحة موجزة عن منصة Silverfort، وهي أول منصة موحدة لحماية الهوية (والوحيدة حاليًا) في السوق.

تهدف تقنية Silverfort الحاصلة على براءة اختراع إلى حماية المؤسسات من الهجمات القائمة على الهوية من خلال التكامل مع حلول إدارة الهوية والوصول الحالية، مثل AD (Active Directory) والخدمات المستندة إلى السحابة، وتوسيع نطاق ضوابط الوصول الآمن مثل المصادقة القائمة على المخاطر وMFA (متعددة).

مصادقة العامل) لجميع مواردهم.

يتضمن ذلك الموارد المحلية والسحابية والأنظمة القديمة وأدوات سطر الأوامر وحسابات الخدمة.

كشف تقرير حديث صادر عن سيلفرفورت وأوسترمان للأبحاث ذلك تعرضت 83% من المؤسسات حول العالم لانتهاكات للبيانات بسبب اختراق بيانات الاعتماد.

تعترف العديد من المنظمات بأنها لا تتمتع بالحماية الكافية ضد الهجمات القائمة على الهوية، مثل الحركة الجانبية وبرامج الفدية.

تمثل الموارد مثل أدوات الوصول إلى سطر الأوامر والأنظمة القديمة، والتي يتم استخدامها على نطاق واسع، تحديًا كبيرًا للحماية.

البدء: استخدام لوحة المعلومات

فيما يلي لقطة شاشة للوحة معلومات Silverfort (الشكل 1). بشكل عام، فهو يحتوي على واجهة مستخدم بديهية للغاية.

توجد على اليسار قائمة بأنواع المستخدمين: المستخدمون المميزون، والمستخدمون القياسيون، وحسابات الخدمة، وكيفية وصولهم إلى الموارد: من خلال الدلائل المحلية والمستندة إلى السحابة (AD، Azure AD، Okta)، والخوادم الفيدرالية (Ping، ADFS )، واتصالات VPN (RADIUS).

يعرض الجانب الأيمن من الشاشة قائمة بأنواع الموارد المختلفة التي يحاول المستخدمون الوصول إليها.

يتم تمثيل محاولات الوصول بنقاط متوهجة.

تعرض هذه الشاشة الميزة الفريدة للمنصة – فهي الحل الوحيد اليوم القادر على التكامل مع البنية التحتية للهوية بالكامل في البيئة المختلطة.

مع وجود هذا التكامل، تقوم الدلائل المحلية والسحابية المختلفة بإعادة توجيه كل محاولة مصادقة ووصول إلى Silverfort لتحليلها وتحديد ما إذا كان سيتم السماح بالوصول أو الرفض.

وبهذه الطريقة، يتم تحقيق الحماية في الوقت الفعلي لأي مستخدم أو مورد، كما سنرى قريبًا بمزيد من التفاصيل.

تعرض لوحة المعلومات أيضًا مجموعات من البيانات القيمة المتعلقة بالهوية: عدد محاولات المصادقة بواسطة البروتوكولات والأدلة، ونسبة المصادقة التي تم التحقق منها، وعدد المستخدمين وحسابات الخدمة المحمية بنجاح، وتفصيل المستخدمين حسب مستوى المخاطر (متوسط، مرتفع، حرج) .

تتضمن المنصة وحدات مختلفة تتناول كل منها مشكلة مختلفة تتعلق بحماية الهوية.

سنستكشف الآن اثنين منها: MFA المتقدم وحماية حساب الخدمة.

حماية الموارد باستخدام أسلوب MFA المتقدم

لقد أثبتت تقنية MFA أنها واحدة من أكثر الطرق فعالية للحماية من الهجمات القائمة على الهوية.

ومع ذلك، فإن الحصول على حماية MFA على جميع أصول الشبكة أمر صعب للغاية.

تعتمد MFA تقليديًا على الوكلاء والوكلاء، مما يعني أن بعض أجهزة الكمبيوتر لن يتم تغطيتها أبدًا.

إما لأن شبكتك كبيرة جدًا بحيث لا يمكن أن تحتوي على وكلاء على كل جهاز كمبيوتر، أو لأنه ليست كل أجهزة الكمبيوتر قادرة على تثبيت الوكلاء.

علاوة على ذلك، فإن أدوات الوصول عبر سطر الأوامر، مثل PsExec، وPowerShell، وWMI، على الرغم من استخدامها على نطاق واسع من قبل مسؤولي الشبكة، لا تدعم MFA أصلاً.

تتم إدارة هذه المصادقة وغيرها من عمليات المصادقة المحلية بواسطة AD، لكن بروتوكولات مصادقة AD (Kerberos، NTLM) لم تكن مصممة ببساطة لـ MFA، والمهاجمون يعرفون ذلك. يتحقق AD فقط من تطابق أسماء المستخدمين وكلمات المرور، بحيث يمكن للمهاجمين الذين يستخدمون بيانات الاعتماد الشرعية (التي قد يتم اختراقها أو لا يتم اختراقها) الوصول إلى الشبكة وشن هجمات جانبية وبرامج الفدية دون علم AD.

تتمثل الميزة الرئيسية لـ Silverfort في قدرتها على فرض أسلوب MFA على كل هذه الأمور، وهو أمر لا تستطيع الحلول الأخرى القيام به.

على شاشة السياسة (الشكل 2)، يمكنك عرض السياسات الحالية أو إنشاء سياسات جديدة.

يبدو إنشاء سياسة جديدة أمرًا بديهيًا إلى حد كبير، كما هو موضح في الشكل 3.

نحتاج إلى تحديد نوع المصادقة، والبروتوكولات ذات الصلة، والمستخدمين، والمصادر، والوجهات التي تغطيها السياسة، والإجراء المطلوب.

ما يحدث هنا هو في الواقع بسيط جدًا، ولكنه ذكي بشكل مدهش. ترسل AD كافة طلبات المصادقة والوصول إلى Silverfort.

بالنسبة لكل طلب، تقوم Silverfort بتحليل المخاطر والسياسات المرتبطة بها لتحديد ما إذا كانت MFA مطلوبة أم لا. اعتمادًا على الحكم، يتم منح المستخدم حق الوصول أو حظره أو مطالبته بتقديم MFA.

بمعنى آخر، تتجاوز السياسة بشكل أساسي القيود المتأصلة في البروتوكولات القديمة وتفرض عليها أسلوب MFA.

الشكل 3: إنشاء سياسة

اكتشاف وتأمين حسابات الخدمة

تمثل حسابات الخدمة تحديًا أمنيًا بالغ الأهمية نظرًا لامتيازات الوصول العالية التي تتمتع بها وإمكانية الرؤية المنخفضة إلى الصفر.

علاوة على ذلك، فإن حسابات الخدمة ليست بشرية، لذا فإن MFA ليس خيارًا، وكذلك تدوير كلمة المرور مع PAM، مما قد يؤدي إلى تعطل العمليات الهامة إذا فشلت عمليات تسجيل الدخول الخاصة بهم.

في الواقع، تمتلك جميع المؤسسات حسابات خدمة متعددة، تصل أحيانًا إلى 50% من إجمالي مستخدميها، ولا يخضع الكثير منها للمراقبة.

ولهذا السبب يحب المهاجمون حسابات الخدمة المخترقة، حيث يمكنهم استخدامها للتحرك الجانبي تحت الرادار والوصول إلى عدد كبير من الأجهزة دون أن يلاحظهم أحد.

ويبين الشكل 4 شاشة حسابات الخدمة.

نظرًا لأن Silverfort تتلقى جميع طلبات المصادقة والوصول، فهي قادرة على تحديد حسابات الخدمة من خلال تحليل سلوكيات الجهاز المتكررة.

الشكل 4: شاشة حسابات الخدمة

يبدو أن لدينا 162 حسابًا ضمن آلة إلى آلة. يمكننا تصفيتها بناءً على مجموعة متنوعة من المعلمات.

القدرة على التنبؤ، على سبيل المثال، تقيس الوصول المتكرر إلى نفس المصدر أو الوجهة.

يمكن أن تشير الانحرافات عن هذا النمط إلى نشاط ضار.

في الشكل 5، يمكننا رؤية معلومات إضافية حول حسابات الخدمة لدينا، مثل المصادر والوجهات ومؤشرات المخاطر ومستويات الامتياز والاستخدام.

الشكل 5: شاشة التحقيق في حساب الخدمة

بالنسبة لكل حساب خدمة، يتم إنشاء السياسات تلقائيًا بناءً على سلوكه.

كل ما يتعين علينا فعله هو الاختيار بين “التنبيه” و”الحظر” و”التنبيه إلى SIEM”، وتمكين السياسة (الشكل 6).

الشكل 6: سياسات حساب الخدمة

الأفكار النهائية

تحقق منصة Silverfort حقًا هدفها المتمثل في حماية الهوية الموحدة.

إن قدرته على فرض MFA على أي مورد عمليًا (مثل أدوات سطر الأوامر والتطبيقات القديمة ومشاركات الملفات وغيرها الكثير) وإنشاء السياسات في ثوانٍ لا مثيل لها.

يعد الحصول على رؤية كاملة لجميع حسابات الخدمة والقدرة على حمايتها في النهاية أمرًا ذا قيمة كبيرة.

 توفر منصة Silverfort إمكانات مبتكرة لحماية الهوية والتي أصبحت ضرورية بشكل متزايد كل يوم.