بواسطة: ماثيو جاردينر | Proofpoint
من السهل أن نفهم سبب تركيز مجرمي الإنترنت اليوم على استغلال الهويات كخطوة أساسية في هجماتهم. بمجرد أن يتمكنوا من الوصول إلى بيانات اعتماد المستخدم الصالحة، لا داعي للقلق بشأن إيجاد طرق مبتكرة لاقتحام البيئة. هم بالفعل في.
يتطلب استغلال الهويات العمل الجاد والمثابرة لتحقيق النجاح. ولكن في كثير من النواحي يعد هذا التكتيك أبسط من استغلال نقاط الضعف التقنية. على المدى الطويل، يمكن للتركيز على تحويل الهويات الصالحة إلى أفعال أن يوفر على الجهات الفاعلة السيئة الكثير من الوقت والطاقة والموارد. ومن الواضح أنه أصبح النهج المفضل للعديد من المهاجمين. في العام الماضي، تعرضت 84% من الشركات لاختراق أمني متعلق بالهوية.
وللدفاع ضد الهجمات القائمة على الهوية، يتعين علينا أن نفهم كيف تستهدف الجهات الفاعلة السيئة آليات المصادقة والترخيص التي تستخدمها الشركات لإدارة ومراقبة الوصول إلى مواردها. في منشور المدونة هذا، سنصف عدة أشكال من الهجمات والأساليب القائمة على الهوية ونقدم نظرة عامة على بعض عناصر التحكم الأمنية التي يمكن أن تساعد في منع هجمات الهوية.
أنواع الهجمات القائمة على الهوية وأساليبها
فيما يلي ثمانية أمثلة لهجمات الهوية والاستراتيجيات ذات الصلة. هذه ليست قائمة شاملة، وبطبيعة الحال، يقوم مجرمو الإنترنت دائمًا بتطوير تقنياتهم. لكن هذه القائمة توفر نظرة عامة قوية على أكثر أنواع تهديدات الهوية شيوعًا.
1. حشو أوراق الاعتماد
حشو بيانات الاعتماد هو نوع من هجوم القوة الغاشمة . يضيف المهاجمون أزواجًا من أسماء المستخدمين وكلمات المرور المخترقة إلى شبكات الروبوت التي تعمل على أتمتة عملية محاولة استخدام بيانات الاعتماد على العديد من مواقع الويب المختلفة في نفس الوقت. الهدف هو تحديد مجموعات الحسابات الناجحة والتي يمكن إعادة استخدامها عبر مواقع متعددة.
يعد حشو بيانات الاعتماد أسلوبًا شائعًا لهجوم الهوية، خاصة بالنسبة لتطبيقات الويب المستخدمة على نطاق واسع. عندما يجد الممثلون السيئون زوجًا فائزًا، يمكنهم سرقة وتعطيل العديد من الأماكن في وقت واحد. ولسوء الحظ، تعتبر هذه الإستراتيجية فعالة للغاية لأن المستخدمين غالبًا ما يستخدمون كلمات المرور نفسها عبر مواقع ويب متعددة.
2. رش كلمة المرور
هناك طريقة أخرى للهجوم على الهوية بالقوة الغاشمة وهي رش كلمة المرور. سيستخدم الممثل السيئ هذا الأسلوب لمحاولة الوصول غير المصرح به إلى حسابات المستخدمين من خلال تجربة كلمات المرور شائعة الاستخدام بشكل منهجي مقابل العديد من أسماء المستخدمين.
لا يعد رش كلمة المرور هجومًا عنيفًا تقليديًا حيث يحاول المهاجم استخدام العديد من كلمات المرور ضد حساب واحد. إنه أسلوب أكثر دقة وخفية يهدف إلى تجنب عمليات إغلاق الحساب. إليك كيفية ظهور هجوم الهوية هذا عادةً:
يقوم المهاجم بجمع قائمة بأسماء المستخدمين من خلال مصادر المعلومات العامة وقواعد البيانات المسربة وأنشطة الاستطلاع والويب المظلم وغيرها من الوسائل.
ثم يقومون بعد ذلك باختيار مجموعة صغيرة من كلمات المرور شائعة الاستخدام أو التي يمكن تخمينها بسهولة.
بعد ذلك، يحاول المهاجم استخدام كل كلمة من كلمات المرور المحددة مع عدد كبير من حسابات المستخدمين حتى ينجح في ذلك.
تم تصميم رش كلمة المرور ليطير تحت رادار أنظمة الكشف الأمني التقليدية. قد لا تقوم هذه الأنظمة بوضع علامة على هذه الهجمات القائمة على الهوية بسبب انخفاض عدد محاولات تسجيل الدخول الفاشلة لكل مستخدم. الخدمات التي لا تنفذ سياسات تأمين الحساب أو التي لديها سياسات كلمة مرور ضعيفة معرضة لخطر هجمات رش كلمات المرور.
3. التصيد
إليك تكتيك كلاسيكي وفعال للغاية كان موجودًا منذ منتصف التسعينيات. يستخدم المهاجمون الهندسة الاجتماعية والتصيد الاحتيالي لاستهداف المستخدمين من خلال البريد الإلكتروني والرسائل النصية والمكالمات الهاتفية وأشكال الاتصال الأخرى. الهدف من هجوم التصيد الاحتيالي هو خداع المستخدمين للوقوع في فخ الإجراء المطلوب للمهاجم. يمكن أن يشمل ذلك توفير بيانات اعتماد تسجيل الدخول للنظام، أو الكشف عن البيانات المالية، أو تثبيت برامج ضارة، أو مشاركة بيانات حساسة أخرى.
أصبحت أساليب هجوم التصيد الاحتيالي أكثر تعقيدًا على مر السنين، لكنها لا تزال تعتمد على الهندسة الاجتماعية لتكون فعالة.
4. الهندسة الاجتماعية
الهندسة الاجتماعية هي أكثر من عنصر في هجوم الهوية. الأمر كله يتعلق بخداع المستخدمين والتلاعب بهم، وهي ميزة في العديد من أنواع الهجمات الإلكترونية، وليس فقط التصيد الاحتيالي عبر البريد الإلكتروني.
من المقبول عمومًا أن البشر هم الحلقة الأضعف في الأمن السيبراني. والهندسة الاجتماعية هي استراتيجية تهدف إلى الاستفادة من عدم قدرة المستخدم المستهدف على فهم الهجوم أو مقاومته. في التهديد القائم على الهندسة الاجتماعية، يستخدم المهاجم المشاعر الإنسانية - مثل الخوف أو الإلحاح أو الجشع - لخداع الهدف للقيام بعمل ما، مثل الكشف عن بيانات اعتماده أو إرسال الأموال.
5. الخصم في الوسط (AiTM)
AiTM (المعروف سابقًا باسم man-in-the-middle) هو نوع من أنواع التنصت والسرقة الرقمية حيث يعترض المهاجم البيانات من المرسل إلى المستلم، ثم من المستلم إلى المرسل. يقع جهاز المهاجم في مكان ما بين المرسل والمستلم. ينقل الرسائل بصمت، دون علم أي من الطرفين. وبينما يعتقد طرفا الاتصال أنهما يتعاملان مع طرف شرعي، فإن الحقيقة هي أن المجرم الإلكتروني يعمل في المنتصف.
من خلال هذه التقنية، يمكن للمهاجمين السيطرة على الجلسة المصادق عليها بأكملها، والحصول على كلمات المرور، وتجاوز MFA، وسرقة الملكية الفكرية، والرسائل الخاصة والمزيد. وفي هجمات AiTM المتقدمة، قد يذهب المهاجمون إلى حد تثبيت برامج ضارة على جهاز المستخدم دون علمهم أو مشاركتهم.
6. Kerberasting
على الرغم من أن اسمه يستحضر نوعًا من النشاط المريح بجوار المدفأة، إلا أن Kerberoasting ليس ممتعًا بالنسبة لأولئك المستهدفين. يستفيد Kerberoasting من مصادقة Kerberos من Microsoft، وهي عملية يقوم من خلالها المستخدمون والخدمات بمصادقة أنفسهم على الشبكة. تحاول الجهات الفاعلة السيئة كسر (أو kerberoast) كلمات مرور حسابات الخدمة داخل بيئات Microsoft Active Directory (AD).
عندما يطلب مستخدم الوصول إلى خدمة مثل تطبيق ويب، ينتج عن هذا الطلب تذكرة خدمة مشفرة بمفتاح مشتق من كلمة مرور حساب الخدمة. في هجوم Kerberoasting، تستهدف الجهات الفاعلة السيئة تذاكر الخدمة المشفرة هذه وتحاول اختراق كلمة المرور الأساسية باستخدام تقنيات مختلفة. إذا نجحوا، فيمكنهم بعد ذلك استخدام وصولهم إلى حساب الخدمة لسرقة البيانات الحساسة أو التعامل مع الخدمات أو التحرك أفقيًا داخل الشبكة، اعتمادًا على امتيازات الحساب.
7. التذكرة الفضية
في هذه الهجمات، يستخدم الممثلون السيئون بيانات الاعتماد المسروقة لإنشاء تذكرة مصادقة مزورة. وبشكل أكثر تحديدًا، يقومون بإنشاء تذاكر خدمة منح التذاكر Kerberos المزورة أو TGS. تبدو هذه التذاكر المشفرة والمزورة أصلية بالنسبة إلى الخدمة المستهدفة. وبمجرد دخولهم إلى الخدمة، يمكنهم انتحال شخصية مستخدم آخر، والوصول إلى الموارد وربما تصعيد الامتيازات. (يمكنهم أيضًا الانتقال لإنشاء تذكرة ذهبية، كما هو موضح أدناه.)
على عكس الهجمات الأخرى المستندة إلى الهوية والتي تتضمن بروتوكول Kerberos، لا تتضمن هجمات البطاقة الفضية التفاعل مع خدمة المصادقة المركزية أو مركز توزيع المفاتيح (KDC). وهذا يجعل من الصعب اكتشاف النشاط المشبوه في مصدر المصادقة.
8. التذكرة الذهبية
لن تسمح لك هذه التذكرة بالدخول إلى مصنع Willy Wonka's Chocolate Factory (إلا إذا كان المصنع عرضة لهذا النوع من الهجمات). ولكنه يمكن أن يساعد الجهات الفاعلة السيئة في الوصول بشكل شامل إلى مجال الشركة من خلال الوصول إلى بيانات المستخدم المخزنة في Active Directory . مثل Kerberoasting وهجمات هوية التذكرة الفضية، يستغل نهج التذكرة الذهبية نقاط الضعف في بروتوكول Kerberos. يسمح للمهاجمين بتجاوز المصادقة العادية.
في هجوم التذاكر الذهبية، يقوم المهاجمون بتزوير تذاكر Kerberos المعروفة باسم Ticket Granting Tickets، أو TGTs. تتضمن الخطوات الحاسمة في هذه العملية الوصول إلى تجزئة NTLM الخاصة بحساب krbtgt، والتي تُستخدم لتشفير TGTs. (حساب krbtgt هو حساب افتراضي موجود في جميع مجالات AD.) تجزئة NTLM عبارة عن بيانات اعتماد حساسة تحتفظ بها وحدة تحكم المجال وتستخدم لإنشاء TGTs صالحة.
التذكرة الذهبية تستحق حقًا وزنها ذهبًا بالنسبة للمهاجمين. فهو يحتوي على معلومات هوية مستخدم خيالي يتمتع بامتيازات عشوائية، كما يوفر إمكانية الوصول على المدى الطويل. بمجرد حصول المهاجم على هذه التذكرة، يمكنه تقديمها إلى مركز التوزيع الرئيسي (KDC) للمصادقة دون الحاجة إلى المساس ببيانات اعتماد المستخدم الفعلية. وتمنح هجمات هوية التذكرة الذهبية الجهات الفاعلة السيئة وسيلة للحفاظ على الوصول غير المصرح به إلى الشبكة حتى لو تم تغيير كلمات مرور المستخدم المشروعة.
تقنيات الوقاية لتجنب هجمات الهوية
لذا، ربما تتساءل عما يمكنك فعله للمساعدة في منع هذه الأنواع من الهجمات القائمة على الهوية. هناك العديد من الضوابط الأمنية التي من شأنها أن تساعد. وهنا بعض الأمثلة:
تنفيذ المصادقة متعددة العوامل (MFA)
وهذا إجراء دفاعي قوي ضد هجمات الهوية. تجعل MFA اختراق كلمة المرور أكثر صعوبة بالنسبة للمهاجمين عن طريق إضافة طبقة إضافية من الأمان، مثل الرموز المميزة لمرة واحدة أو القياسات الحيوية، بما يتجاوز مجرد استخدام اسم المستخدم وكلمة المرور. حتى إذا سرق أحد المهاجمين كلمة مرور المستخدم، فلن يتمكن من الوصول إلى طريقة المصادقة الثانوية، في معظم الحالات.
ومع ذلك، ضع في اعتبارك أن الجهات الفاعلة السيئة الماكرة قد تحولت إلى أساليب أخرى، مثل هجمات الإرهاق MFA ، لتجاوز MFA - وقد حققت نجاحًا. إن أسلوب الـMFA مهم، لكنه ليس كافياً لإيقاف حتى المهاجمين ذوي الخبرة المتوسطة.
تعزيز بروتوكولات المصادقة
قم بتحسين بروتوكولات المصادقة الخاصة بك لمنع هجمات Kerberoasting والتذكرة الفضية والتذكرة الذهبية. بالإضافة إلى استخدام أسلوب MFA، تتضمن بعض الاستراتيجيات العديدة التي يمكنك استخدامها ما يلي:
• تدوير مفاتيح التشفير بانتظام
• فرض سياسات كلمة المرور القوية
• تقليل الحد الأقصى لعمر التذاكر
• وضع سياسات تأمين الحساب
• مراقبة وتحليل أحداث المصادقة
• إجراء عمليات تدقيق أمنية منتظمة
• تأمين حسابات krbtgt بشكل أكثر قوة
• أنظمة التحديث والتصحيح
• اتباع مبدأ الامتياز الأقل (PoLP)
• توفير تدريب مستهدف للتوعية بالأمن السيبراني للمستخدمين
يلعب العنصر البشري دوراً حيوياً في نجاح الهجمات المبنية على الهوية. لذا، ساعد في تحويل المستخدمين لديك إلى مدافعين أفضل. ففي نهاية المطاف، هم على الخط الأمامي عندما يتعلق الأمر بالعديد من التهديدات المتعلقة بالهوية.
من خلال التدريب المستهدف للتوعية الأمنية ، يمكن للمستخدمين أن يتعلموا كيفية اكتشاف هجمات التصيد الاحتيالي ومعرفة كيفية مقاومة أساليب الهندسة الاجتماعية.
وبنفس القدر من الأهمية، يمكنك استخدام التدريب لإرشاد المستخدمين حول كيفية الإبلاغ عن الأنشطة المشبوهة. يمكنك أيضًا التأكيد على ضرورة التحرك بسرعة إذا اعتقدوا أنهم تعرضوا للخداع من قبل أحد المهاجمين. كل ثانية لها أهميتها عندما تكون الهجمات القائمة على الهوية قيد التنفيذ وقد وجدت الجهات الفاعلة السيئة طريقة لاختراق إعلانك والخدمات والأنظمة والتطبيقات الهامة الأخرى.