چرا پیشگیری از تهدیدات هویتی (ITP) مهم است؟

حمله‌ به هویت افراد عامل اصلی نقض امنیتی است که اغلب با سوءاستفاده از ضعف‌های پلتفرم‌های سنتی رخ می‌دهد. اکنون زمان آن رسیده که رویکردی پیشگیرانه اتخاذ کنیم که این شکاف‌ها را برطرف کرده و تهدیدات را قبل از وقوع متوقف سازد.

هویت کاربران به هدف اصلی حمله در امنیت سایبری تبدیل شده است. بر اساس گزارش وب‌سایت فوربز ۷۵٪ از حملات سایبری هویت کاربر را هدف قرار می‌دهند. مهاجمان با استفاده از دستگاه‌های به خطر افتاده و تکنیک‌های جعل عمیق به سیستم‌ها دسترسی پیدا می‌کنند و اغلب بدون این که ردیابی شوند، وارد سیستم‌های سنتی می‌شوند.

بسیاری از پلتفرم‌ها به احراز هویت چندعاملی مانند اعلان‌های اجباری و رمزهای یکبارمصرف متکی هستند که زمانی ایمن بودند اما امروزه اغلب از طریق فیشینگ،  تأیید ناخواسته به‌دلیل بمباران MFA و حملات Man in the middle مورد سوءاستفاده قرار می‌گیرند. ظهور هوش مصنوعی مولد، این تهدیدات را حتی فراگیرتر نیز کرده است.

سازمان‌ها برای جبران این مسئله ابزارهایی مانند تشخیص و پاسخ نقطه پایانی (Endpoint Detection Response)، تشخیص و پاسخ شبکه (Network Detection Response) و تشخیص و پاسخ تهدیدات هویتی (Identity Threat Detection Response) را به کار گرفته‌اند. این مقاله به بررسی پیشگیری از تهدیدات هویتی (Identity Threat Prevention) می‌پردازد که رویکردی پیش‌دستانه برای حذف حمله‌های هویتی است.

مشکل اینجاست که ساختار امنیتی شما همیشه فرض می‌کند نفوذی رخ داده است!

سال‌هاست که استراتژی‌های امنیت سایبری حول محور اجتناب‌ناپذیری نقض‌ها می‌چرخند. سازمان‌ها سرمایه‌گذاری سنگینی بر ابزارهای تشخیص و پاسخ مانندEDR ، NDR و ITDR انجام داده‌اند تا خسارات خود را به حداقل برسانند. این پلتفرم‌ها به محض آن که تهدیدات از خطوط دفاعی عبور کنند، آن‌ها را نظارت، بررسی و مهار می‌کنند.

این ابزارها اگرچه ارزشمند هستند اما صرفاً به حملات واکنش می‌دهند و تنها پس از دسترسی اولیه، خطر را تشخیص می‌دهند. این امر به مهاجمان فرصت می‌دهد قبل از این که تیم‌های پاسخ بتوانند اقدام کنند، اختیارات را افزایش داده و داده‌ها را استخراج نمایند.

چنین وضعیتی، شرکت‌ها را در معرض خطر قرار می‌دهد و باعث می‌شود به جای این که از وقوع حمله در مرحله اول جلوگیری شود، منابع خود را صرفاً پس از حادثه پاکسازی کنند.

لایه هویتی چطور به مسیر نفوذ مهاجمان تبدیل می‌شود؟

مهاجمان، دیگر نیازی به نفوذ عمیق ندارند. آن‌ها لایه هویتی را هدف قرار می‌دهند که تصمیم می‌گیرد چه کسی و از کجا می‌تواند دسترسی داشته باشد. فیشینگ اطلاعات اعتباری، دور زدن MFA، ربودن و نشت‌ اطلاعات همچنان از رایج‌ترین روش‌های حمله به محیط‌های سازمانی هستند.

البته مسئله فقط کاربر نیست، بلکه خود پلتفرم مورد حمله قرار می‌گیرد. بسیاری از راهکارهای مدیریت و دسترسی هویت که بخش اصلی امنیت هستند، به روش‌های احراز هویت قدیمی مانند رمزهای یکبار مصرف و رمزهای عبور جایگزین اتکا می‌کنند. این مکانیسم‌ها تنها راهکارهایی موقتی‌اند تا حملات را متوقف سازند اما در بهترین حالت فقط به شکل مانع عمل می‌کنند که عبور از آن برای هکرها دشواری ندارد. در واقع آن‌ها امروزه به شدت در حملات واقعی مورد سوءاستفاده قرار می‌گیرند.

دو شرکت Caesars Entertainment و MGM Resorts در سال ۲۰۲۳ با نقض‌های متعددی مواجه شدند چرا که مهاجمان از طریق تکنیک‌های مهندسی اجتماعی و تأیید ناخواسته به‌دلیل بمباران MFA توانسته بودند محافظت‌های هویتی شرکت را دور بزنند. مهاجمان در هر دو مورد ابتدا از طریق سیستم‌های پشتیبانی هویت دسترسی اولیه را به دست آوردند و سپس به صورت جانبی در محیط حرکت کردند. نقض امنیتی سیسکو در سال ۲۰۲۲ نیز با به خطر افتادن اعتبار یک کارمند آغاز شد و سپس از طریق درخواست‌های مکرر Push ،MFA دور زده شد که در نهایت دسترسی کامل به VPN را ممکن ساخت.

متأسفانه ارائه‌دهندگان، هویت دسترسی را اغلب بدون ارزیابی وضعیت امنیتی دستگاه اعطا می‌کنند. برای مثال ممکن است کاربری که از طریق گوشی ثبت‌نشده یا لپ‌تاپ آلوده به بدافزار وارد سیستم می‌شود، معتبر به نظر برسد.

پلتفرم‌های هویتی که دسترسی را تأیید می‌کنند در واقع راه را به روی مهاجمان می‌گشایند و تیم‌ها را به جای پیشگیری به ابزارهای تشخیص وابسته می‌کنند.

معرفی پیشگیری از تهدیدات هویتی

با توجه به این که پلتفرم‌های هویتی امروزه به اهداف اصلی حملات تبدیل شده‌اند، صرفاً تقویت سیستم‌های نظارتی کافی نیست. ما به تقویت بنیادی این سیستم‌ها نیاز داریم که شامل جایگزینی روش‌های احراز هویت آسیب‌پذیر، اعتبارسنجی مستمر کاربران و دستگاه‌ها و پیاده‌سازی کنترل‌های دسترسی لحظه‌ای ‌شود.

پیشگیری از تهدیدات هویتی، چارچوب امنیتی پیشگیرانه‌ای است که مختص خنثی‌سازی حملات هویتی قبل از وقوع طراحی شده است. پیشگیری از تهدیدات هویتی، برخلاف سیستم‌های سنتی که پس از اعطای دسترسی به شناسایی نفوذ می‌پردازند، اساساً امکان ورود مهاجمان را مسدود می‌کند.

پیشگیری از تهدیدات هویتی با تغییر رویکرد از «پذیرش احتمال نقض» به «جلوگیری قطعی از نقض» سیستم کنترل دسترسی را به مؤثرترین سد دفاعی سازمان‌ها تبدیل می‌کند. این تحول اساسی در معماری امنیتی سازمان‌ها را قادر می‌سازد به جای واکنش صرف به حملات از وقوع آن‌ها جلوگیری کنند.

نقش پیشگیری از تهدیدات هویتی در تقویت زیرساخت هویت

پیشگیری از تهدیدات هویتی علاوه بر تکمیل ابزارهای هویتی، آن‌ها را تقویت نیز می‌کند. هرچند ITP می‌تواند جایگزین برخی قابلیت‌های موجود شود، اما بهترین کاربرد آن به‌عنوان لایه‌ای پیشگیرانه است که بین کاربران و اپلیکیشن‌های حیاتی قرار می‌گیرد و با استفاده از سیگنال‌های دریافتی از هر دو بخش هویت و امنیت، سیاست‌های امنیتی را به‌صورت بلادرنگ اعمال می‌کند.

پیشگیری از تهدیدات هویتی بر چهار اصل بنیادین استوار است:

۱. احراز هویت مقاوم در برابر فیشینگ: رویکرد پیشگیری از تهدیدات هویتی، رمزهای عبور، اعلان‌های اجباری و OTPها را با اعتبار رمزنگاری‌شده و وابسته‌به‌دستگاه جایگزین می‌کند که امکان فیشینگ، تکرار یا سرقت را از بین می‌برد.

۲. اعتماد به دستگاه و اجرای سیاست: کنترل‌های امنیتی مورد نیاز برای دسترسی نظیر روشن‌بودن رمزگذاری دیسک، سطح وصله سیستم عامل، وجود تشخیص و پاسخ نقطه پایانی روی دستگاه، ورود بیومتریک و وضعیت فایروال را تعیین کنید. ITP این شرایط را قبل از اعطای دسترسی و در طول جلسه به‌طور مداوم تأیید می‌کند. اگر هر عنصری از سیاست دستگاه نقض شود دسترسی به طور خودکار و بدون نیاز به دخالت کاربر رد یا لغو می‌شود.

۳. تأیید مستمر هویت و امنیت دستگاه: پیشگیری از تهدیدات هویتی نیازمند تأیید مستمر هر دو مورد هویت کاربر و وضعیت دستگاه است، آن هم نه فقط در لحظه ورود، بلکه در تمام زمان حضور. این امر نشان می‌دهد که دسترسی کاربر با تغییر شرایط همچنان مطابق با سیاست همسو باقی می‌ماند. اگر دستگاه از انطباق خارج شود، برای مثال مواردی همچون غیرفعال‌کردن رمزگذاری، حذف EDR یا از دست‌دادن محافظت بیومتریک رخ دهند دسترسی کاربر بلافاصله لغو یا محدود می‌شود. این فرآیند در پس‌زمینه اجرا می‌شود و فقط در صورت لزوم تجربه کاربر را مختل می‌کند.

۴. چارچوب دسترسی مبتنی بر ریسک لحظه‌ای: ITP نوعی چارچوب دسترسی است که وضعیت امنیتی هویت و دستگاه را به‌طور همزمان و با استفاده از داده‌های لحظه‌ای از سراسر زیرساخت امنیتی ارزیابی می‌کند و به‌جای اینکه احراز هویت و ارزیابی ریسک را به‌عنوان دو فرآیند جداگانه در نظر بگیرد، این دو را با هم ترکیب می‌کند. ITP سیگنال‌هایی از ابزارهایی مانند EDR ،MDM ،ZTNA ،SIEM و اسکنرهای آسیب‌پذیری دریافت می‌کند تا هر تصمیم مرتبط با دسترسی را آگاهانه اتخاذ کند. این ورودی‌ها به سازمان‌ها امکان می‌دهند سیاست‌های دقیق و تطبیقی تعریف کنند که منعکس‌کننده شرایط جاری باشد. در نتیجه، دسترسی تنها زمانی اعطا می‌شود که هویت، دستگاه و زمینه ریسک همگی با سیاست‌های تعیین‌شده همخوانی داشته باشند.

اهمیت چشم‌انداز تهدیدات هوش مصنوعی 

هوش مصنوعی به سرعت در حال تغییر ماهیت تهدیدات است. مهاجمان اکنون از هوش مصنوعی مولد برای ساخت ایمیل‌های فیشینگ باورپذیر، شبیه‌سازی صداها و تولید ویدیوهای جعل عمیق استفاده می‌کنند که می‌تواند رفتار مدیران اجرایی، پشتیبانان فناوری اطلاعات یا فروشندگان را جعل کنند. این تهدیدات آن‌قدر واقعی هستند که می‌توانند کاربران را فریب دهند، تأیید اجتماعی را دور بزنند و اقدامات پرخطر را فعال کنند و هم‌زمان از اعتبار افراد نیز سوءاستفاده کنند.

پیشگیری از تهدیدات هویتی به‌طور مستقیم این چالش را برطرف می‌کند، زیرا اعتماد را از کاربران به سمت مدارک رمزنگاری‌شده قابل‌تأیید و وضعیت امنیتی سخت‌گیرانه دستگاه‌ها منتقل می‌کند. با تأیید مداوم هویت و اعمال سیاست‌های امنیتی به‌صورت بلادرنگ، رویکرد ITP تلاش‌های جعل هویت مبتنی بر هوش مصنوعی را بی‌اثر می‌سازد. چرا که با مقیاس‌پذیرتر و پیچیده‌تر شدن تهدیدات مبتنی بر AI، ابزارهای امنیتی ایستا دیگر پاسخگو نخواهند بود.

معیارهای پلتفرم آماده دریافت پیشگیری از تهدیدات هویتی

همه راهکارهای هویتی مختص پیشگیری ساخته نشده‌اند. اگر می‌خواهید تشخیص دهید آیا پلتفرم شما واقعاً با مدل پیشگیری از تهدیدات هویتی همسو است یا خیر، به این سوالات پاسخ دهید:

• آیا پلتفرم شما از اعتبار مقاوم در برابر فیشینگ وابسته به دستگاه استفاده می‌کند؟
• آیا رمزهای عبور و روش‌های احراز هویت جایگزین را حذف می‌کند؟
• آیا می‌تواند سیاست‌های دقیق دستگاه را در نقطه دسترسی اعمال کند؟
• آیا هویت و وضعیت دستگاه را در طول هر جلسه مستمر تأیید می‌کند؟
• آیا می‌تواند هنگام عدم‌انطباق دستگاه‌ها یا تغییر سیگنال‌های ریسک، فوراً اقدام کند؟
• آیا می‌تواند داده‌های لحظه‌ای را از ابزارهایی مانند EDR ،MDM و ZTNA دریافت و پردازش کند؟
• آیا برای مقابله با تهدیدات هوش مصنوعی نظیر جعل عمیق و جعل هویت لحظه‌ای آماده است؟

این مشکلات نه‌تنها قابل حل‌شدن هستند بلکه بهترین راه برای ساخت زیرساخت دسترسی بر پایه پیشگیری‌اند.

آینده امنیت هویتی

تیم امنیت سایبری نیاز دارد دیدگاه خود را تغییر دهد. اگر لایه دسترسی تقویت شود نقض‌ها دیگر اجتناب‌ناپذیر نیستند. پیشگیری از تهدیدات هویتی مسیر جدیدی پیش رویتان می‌گذارد که هویت را از نقطه آسیب‌پذیری به نقطه قوت تبدیل می‌کند.

پیشگیری از تهدیدات هویتی با حذف روش‌های احراز هویت ضعیف، اعمال انطباق دستگاه و ادغام سیگنال‌های ریسک در هر تصمیم دسترسی بردارهای حمله‌ای را که مهاجمان به آن متکی هستند از بین می‌برد. منبع

برای اطلاعات بیشتر و مشاوره با کارشناسان ابرآمد، با ما در تماس باشید:

• پیشگیری از تهدیدات هویتی (ITP) چه تفاوتی با ابزارهای سنتی تشخیص و پاسخ دارد؟

  ابزارهای سنتی تشخیص و پاسخ مانند EDR، NDR و ITDR بعد از وقوع نفوذ و اعطای دسترسی، تهدیدات را شناسایی و مهار می‌کنند. اما پیشگیری از تهدیدات هویتی (ITP) رویکردی پیشگیرانه دارد که اصلاً اجازه ورود مهاجم را نمی‌دهد. به جای آن‌که بعد از حمله واکنش نشان دهد، از همان ابتدا با احراز هویت مقاوم در برابر فیشینگ، اعتبارسنجی مستمر دستگاه و چارچوب دسترسی لحظه‌ای، تهدیدات را متوقف می‌کند.

• چرا احراز هویت چندعاملی سنتی (MFA) دیگر کافی نیست؟

  زیرا مهاجمان می‌توانند به راحتی از روش‌هایی مانند خستگی MFA، حملات فیشینگ یا میانجی برای دور زدن آن استفاده کنند. حتی OTPها و Push Notificationها قابل سرقت و تکرار هستند. به همین دلیل رویکرد ITP به جای این مکانیسم‌های آسیب‌پذیر، اعتبار مقاوم در برابر فیشینگ وابسته به دستگاه را به کار می‌برد که امکان جعل و سرقت ندارد.

• چگونه پیشگیری از تهدیدات هویتی با تهدیدات مبتنی بر هوش مصنوعی مقابله می‌کند؟

  امروزه مهاجمان با کمک هوش مصنوعی مولد ایمیل‌های فیشینگ، ویدیوهای جعل عمیق و صدای جعلی تولید می‌کنند. ITP با انتقال اعتماد از کاربران به مدارک رمزنگاری‌شده و اعتبارسنجی دستگاه‌ها به صورت لحظه‌ای این تهدیدات را بی‌اثر می‌کند. حتی اگر مهاجم هویت کاربر را جعل کند، بدون داشتن دستگاه ثبت‌شده و مطابق سیاست امنیتی، نمی‌تواند دسترسی بگیرد.