10 اشتباه بزرگ هنگام پیکربندی سیستم های فناوری اطلاعات سازمانی

10 اشتباه بزرگ هنگام پیکربندی سیستم های فناوری اطلاعات سازمانی

اشتباهاتی که معمولا در هر سازمان بزرگی دیده می شود. تیم امنیت اطلاعات باید مراقب چه چیزی باشد و چه اقدامات حفاظتی باید انجام دهد؟

خطاها در پیکربندی زیرساخت‌های فناوری اطلاعات در سازمان‌های بزرگ – حتی با توجه به بالغ‌ترین و شایسته‌ترین بخش‌های فناوری اطلاعات و امنیت سایبری – یک اتفاق عادی است. این از اخبار هفتگی هک شرکت‌های بزرگ و با سابقه و همچنین نتایج ممیزی‌های امنیتی مشهود است – اگرچه این موارد به ندرت علنی می‌شوند. این مشکل توسط تنظیم کننده های ایالات متحده مانند CISA و NSA نیز تایید شده است. در مقاله جدید خود با توصیه‌هایی که توسط تیم‌های امنیتی پس از ممیزی‌های متعدد و پاسخ‌های رخداد تهیه شده است، آنها خاطرنشان می‌کنند که خطاهای پیکربندی نقاط ضعف سیستمی را در سازمان‌های بزرگ برجسته می‌کند. با این حال، این سند تاکید می کند که تیم های امنیتی شبکه می توانند این نقاط ضعف را با بودجه کافی، آموزش و نیروی انسانی خنثی یا کاهش دهند. بیایید نگاهی به اشتباهاتی بیندازیم که کارشناسان آن را خطرناک ترین می دانند.

1) پیکربندی پیش فرض برنامه

هر دستگاه یا برنامه ای – خواه یک چاپگر، ایمیل یا سرور فایل یا سیستم کنفرانس ویدیویی باشد – معمولاً دارای مکانیزم ورود به سیستم با اعتبار دسترسی پیش فرض است که افراد می توانند فراموش کنند غیرفعال کنند. تنظیمات پیش‌فرض این دستگاه‌ها ممکن است بسیار ساده باشند (مثلاً admin1234 یا فقط 1234) و بنابراین خیلی ایمن نیستند، اما اغلب کسی آنها را تغییر نمی‌دهد. یک مثال معمولی چاپگری است که دارای دسترسی شبکه ممتاز برای چاپ آسان، همراه با یک کنترل پنل مبتنی بر وب با اعتبارنامه های ورود پیش فرض است. یکی دیگر از موارد رایج، سرورهای ویندوز با نسخه های قدیمی تر SMB یا سایر پروتکل های قدیمی فعال است. تنظیمات و قالب‌های پیش‌فرض سرویس‌های گواهی اکتیو دایرکتوری نیز بسیار خطرناک هستند و به کاربران غیرمجاز اجازه می‌دهند گواهی سرور دریافت کنند، امتیازات را به سطوح مدیریتی ارتقا دهند یا با دریافت Kerberos TGT احراز هویت کنند.

اقدامات امنیتی توصیه شده:

  • قبل از شروع به کار هر سیستم IT یک رویه اجباری را اجرا کنید: حساب های پیش فرض (مانند “مدیر” یا “مهمان”) را غیرفعال کنید یا حداقل رمز عبور آنها را تغییر دهید.
  • استفاده از رمزهای عبور قوی از 15 کاراکتر تصادفی یا بیشتر را اعمال کنید.
  • تنظیمات ایمن را روی دستگاه‌ها یا سرویس‌ها، با پیروی از دستورالعمل‌های سازنده برای سخت‌سازی و/یا دستورالعمل‌های عمومی مرتبط – مانند DISA STIG، اعمال کنید.
  • پیکربندی امن ADCS را اجرا کنید: در صورت امکان ثبت نام وب را غیرفعال کنید، NTLM را در سرورهای ADCS غیرفعال کنید و نام جایگزین موضوع (SAN) را برای نقشه برداری UPN غیرفعال کنید.
  • مجوزهای پیش‌فرض در قالب‌های ADCS را مرور کنید، پرچم CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT را از قالب‌ها حذف کنید، و ویژگی‌های FullControl، WriteDacl و Write را از کاربران با امتیاز پایین حذف کنید.
  • تایید ناظر هر گواهی درخواستی را فعال کنید.

2) مدیریت نادرست امتیازات کاربر و مدیر

در هر شبکه بزرگی، اغلب امتیازات بیش از حدی را خواهید دید که به کاربران عادی اعطا شده است (در ابتدا برای اهدافی موقت اختصاص داده شده و سپس هرگز لغو نشده اند)، امتیازات توسعه یافته برای حساب های خدمات (برنامه ها و خدمات)، و بالاترین امتیازات برای مدیران (که اغلب در این حالت ممتاز همیشه). مهاجمان عمداً به دنبال این حساب‌ها هستند و از آنها سوء استفاده می‌کنند، زیرا تسلط بر شبکه را سریع‌تر و آسان‌تر می‌کنند.

اقدامات امنیتی توصیه شده:

  • اصل کمترین امتیاز را اجرا کنید.
  • پیاده سازی یک سیستم مدیریت هویت که شامل ورود به سیستم صدور و استفاده از مجوزها است. این امر تشخیص استفاده غیرمجاز از حقوق دسترسی را آسان تر می کند.
  • از این سیستم برای به حداقل رساندن تعداد حساب های اداری و کاهش تعداد کلی حساب ها (با ادغام صحیح آنها) استفاده کنید.
  • حساب های کاربری را به طور منظم بررسی کنید، حساب های غیرفعال را غیرفعال کنید و امتیازات بیش از حد را حذف کنید.
  • حساب‌های دارای امتیاز را از انجام فعالیت‌های پیش پا افتاده مانند مرور وب و دسترسی به ایمیل محدود کنید.
  • امتیازات بالا را فقط برای مدت وظایف مورد نیاز – حتی به مدیران اعطا کنید.
    در صورت امکان، سرویس ها و دیمون ها را با امتیازات و حقوق دسترسی محدود اجرا کنید.

3) نظارت شبکه داخلی کافی نیست

بسیاری از سازمان‌ها فقط ترافیک دریافتی از میزبان‌های خارجی و سرورهای انتخابی را نظارت می‌کنند، در حالی که نظارت شبکه داخلی به رویدادهای نقطه پایانی محدود می‌شود. این امر تشخیص حملات و بررسی حوادث را به موقع دشوار می کند.

اقدامات امنیتی توصیه شده:

  • فعالیت عادی روزانه برنامه ها و سرویس ها را تجزیه و تحلیل کنید تا بتوانید ناهنجاری ها را در دسترسی و استفاده شناسایی کنید. به عنوان مثال، مدیران باید به طور منظم لیست های دسترسی و مجوز سرویس های کلیدی را بررسی کنند و حساب های مشکوک یا قدیمی را حذف کنند.
  • ترافیک شبکه روزانه سازمان را تجزیه و تحلیل کنید تا بتوانید ناهنجاری های درون آن را شناسایی کنید.
  • پیاده سازی یک سیستم SIEM برای جمع آوری و تجزیه و تحلیل تله متری از منابع مختلف، از جمله سیستم های EDR و IDS، گزارش های شبکه و غیره.

4) عدم تقسیم بندی شبکه

شبکه هایی با اهداف و سطوح اهمیت متفاوت اغلب از یکدیگر جدا نیستند. مسائل رایج شامل اتصال کامل شبکه های حاوی اطلاعات طبقه بندی شده و طبقه بندی نشده و همچنین شبکه های IT و OT می باشد. در بیشتر موارد، یا بخش‌بندی کاملاً وجود ندارد، یا پیاده‌سازی شده است، اما برخی از مهندسان تصمیم می‌گیرند که خیلی ناخوشایند است و به میل خود تونل‌هایی بین شبکه‌ها ایجاد می‌کنند (یا حتی شبکه‌های ایزوله را به اینترنت متصل می‌کنند). در نتیجه، روسای بخش امنیت اطلاعات و فناوری اطلاعات فکر می‌کنند که شبکه‌ها تقسیم‌بندی شده‌اند در حالی که در واقع اینطور نیستند.

اقدامات امنیتی توصیه شده:

  • اگر قبلاً وجود ندارد، تقسیم‌بندی شبکه را اجرا کنید. این می تواند شامل تقسیم بندی فیزیکی و منطقی (VLAN) باشد. برای جلوگیری از اتصال دستگاه‌های غیرمجاز به شبکه‌های اداری، صنعتی و محرمانه، اطمینان از اینکه دستگاه‌های شبکه زیرساخت دارای فهرست‌های کنترل دسترسی (ACL) به‌روز و به‌درستی پیکربندی شده‌اند، مهم است. ما همچنین استفاده از مناطق غیرنظامی (DMZ) را برای کاهش دسترسی به سیستم‌های IT داخلی از اینترنت توصیه می‌کنیم.
  • فایروال های نسل بعدی (NGFW) را با قابلیت بازرسی وضعیت و بازرسی بسته های عمیق با در نظر گرفتن برنامه اصلی پیاده سازی کنید. فایروال باید ترافیک متفاوت از ترافیک استاندارد مجاز در شبکه را رد کند. فیلتر ترافیک مبتنی بر برنامه تنها بر اساس پورت های شبکه نیست و به طور قابل توجهی فرصت های مهاجمان را برای سوء استفاده مخرب از پروتکل های شبکه کاهش می دهد.

5) فرهنگ مدیریت پچ ضعیف

یک مشکل سیستماتیک، استفاده آهسته و ناقص وصله ها و به روز رسانی ها در سیستم های سخت افزاری و نرم افزاری است. این وضعیت با این واقعیت تشدید می شود که بسیاری از سازمان ها، به دلایل مختلف، به کارکردن سیستم های ناامیدکننده قدیمی (مانند Windows XP، SAP R/3، و غیره) که برای مدت طولانی هیچ به روز رسانی دریافت نکرده اند، ادامه می دهند.

اقدامات امنیتی توصیه شده:

  • فرآیند مدیریت وصله را سیستماتیک کنید، با اولویت اصلاح آسیب‌پذیری‌های قابل بهره‌برداری شناخته شده و آسیب‌پذیری‌های حیاتی.
  • به‌روزرسانی‌ها را تا حد امکان با استفاده از سیستم‌های به‌روزرسانی خودکار فروشندگان نرم‌افزار، یا – حتی بهتر – با داشتن یک سیستم مدیریت پچ متمرکز، به‌طور خودکار انجام دهید.
  • نه تنها نرم افزار، بلکه سفت افزار سخت افزاری و BIOS/UEFI کامپیوتر را نیز به روز کنید.
  • سیستم های قدیمی مورد استفاده در کسب و کار را تجزیه و تحلیل کنید و در صورت امکان برای بازنشستگی آنها برنامه ریزی کنید. اگر این امکان پذیر نیست، اقدامات جبرانی مانند جداسازی شبکه برای سیستم های قدیمی را اجرا کنید.

6) امکان دور زدن کنترل دسترسی

تنظیمات محیط و برنامه اغلب به حملاتی مانند «pass-the-hash» و «kerberoasting» اجازه می‌دهند بدون دانستن رمز عبور به منابع هدف دسترسی پیدا کنند.

اقدامات امنیتی توصیه شده:

  • استفاده از اعتبارنامه های یکسان را در سیستم های مختلف به حداقل برسانید تا از نفوذ مهاجمان در شبکه جلوگیری کنید. تلاش‌های غیر استاندارد و ناموفق برای ورود را نظارت کنید.
  • مدیریت پچ را اجرا کنید (اشاره شده در شماره 5).
  • اقداماتی را در برابر حملات PtH اعمال کنید: به‌روزرسانی‌های KB2871997 را اعمال کنید، پس از ورود به شبکه، محدودیت‌های UAC را روی حساب‌های محلی اعمال کنید، و کاربران دامنه را از پیوستن به گروه مدیران محلی در رایانه‌ها منع کنید.
  • ارتباط مستقیم بین رایانه های معمولی را محدود کنید. آنها باید از طریق سرورها تعامل داشته باشند.
  • فقط در سیستم هایی که به این امتیازات نیاز دارند از حساب های دارای امتیاز استفاده کنید. استفاده از رایانه های اختصاصی را برای دسترسی مدیر ممتاز در نظر بگیرید.

7) روش های احراز هویت چند عاملی ضعیف یا پیکربندی نادرست

یک اشتباه رایج، پیکربندی دسترسی است که در آن احراز هویت فقط توسط یک کارت هوشمند انجام می شود، اما هش برای رمزهای عبور طولانی مدت استفاده نشده هنوز معتبر تلقی می شود. اگر خط‌مشی‌های انقضای هش پیکربندی نشده باشند، مهاجمان می‌توانند از حساب‌های قدیمی با استفاده از تکنیک‌های ذکر شده در 6 استفاده کنند.

یکی دیگر از مسائل رایج، روش‌های MFA است که در برابر فیشینگ آسیب‌پذیر هستند، مانند کدهای SMS. مهاجمان می توانند کدها را از طرق مختلف به دست آورند – از مهندسی اجتماعی و بمباران وزارت خارجه تا حملات شبکه مخابراتی SS7 یا تکرار نامشروع سیم کارت.

اقدامات امنیتی توصیه شده:

  • روش های احراز هویت قدیمی مانند NTLM را غیرفعال کنید.
  • از خط مشی‌های گروهی یا تنظیمات Windows Hello for Business استفاده کنید تا مرتباً هش‌ها را برای حساب‌هایی که از طریق کارت‌های هوشمند به آن‌ها دسترسی دارند، تصادفی کنید.
  • انتقال به استانداردهای احراز هویت باز بر اساس زیرساخت های ابری را در نظر بگیرید.
  • به سیستم های MFA که در برابر فیشینگ مقاوم هستند تغییر رویه دهید.

8) محدودیت ناکافی دسترسی به پوشه ها و خدمات شبکه

در شبکه‌های شرکتی، یافتن پوشه‌های شبکه‌ای که بدون احراز هویت قابل دسترسی هستند یا مخازن مدیریتی قابل دسترسی برای کاربران معمولی معمول است. این فایل‌ها اغلب حاوی فایل‌هایی با رمز عبور مدیریت یا سایر اطلاعات حساس به صورت متن ساده هستند.

اقدامات امنیتی توصیه شده:

  • تمام مخازن و سرویس ها باید فقط به کاربران تایید شده و مجاز اجازه دسترسی بدهند.
  • منابع حیاتی باید بر اساس اصل حداقل امتیاز پیکربندی شوند.
  • فایل‌ها و پوشه‌ها باید تنظیمات سخت‌گیرانه‌ای داشته باشند که دستکاری‌های غیرمجاز را محدود می‌کند – به‌ویژه پوشه‌هایی که حاوی اطلاعات محرمانه مانند کلیدها هستند.
  • اطمینان حاصل کنید که مهاجمان نمی توانند لیست های کنترل دسترسی (ACL) را به میل خود تغییر دهند، که اساساً تمام اقدامات فوق را لغو می کند.
  • در خط مشی‌های گروه ویندوز، «شمارش ناشناس حساب‌های SAM و اشتراک‌گذاری» را غیرفعال کنید.

9) گذرواژه ها و سیاست های گذرواژه با کیفیت پایین

بسیاری از سازمان ها به کاربران اجازه می دهند تا رمزهای عبور کوتاه و ساده داشته باشند. در نتیجه، تا 80 درصد از رمزهای عبور کارمندان را می توان به سرعت با استفاده از ابزارهایی مانند Hashcat شکست.

اقدامات امنیتی توصیه شده:

  • معیارهای پیچیدگی توصیه شده را برای همه رمزهای عبور تنظیم کنید.
  • ارزیابی کنید که آیا کاربران می‌توانند از مدیریت رمز عبور استفاده کنند یا خیر.
  • استفاده از رمزهای عبور مدیر محلی یکسان در رایانه های مختلف را ممنوع کنید.
  • معیارهای پیچیدگی بالا را برای گذرواژه‌های اداری و عبارت‌های عبور روی گواهی‌ها/کلیدهای خصوصی پیاده‌سازی کنید.
  • یک فرآیند و سیستم خودکار را برای جستجوی رمزهای عبور ذخیره شده در متن ساده یا قالبی ساده برای استخراج (گذرواژه های ذخیره شده در مرورگرها) پیاده سازی کنید.

10) عدم محدودیت در اجرای کد

تعداد کمی از سازمان ها حالت “فهرست برنامه های کاربردی مجاز” را فعال می کنند – که در آن فقط برنامه های کاربردی تایید شده می توانند بر روی رایانه های شرکت اجرا شوند. اجازه دادن به اجرای فایل‌های غیرقابل اعتماد، مهاجمان را قادر می‌سازد تا بدافزارهای مختلف را مستقر کنند، امتیازات را با استفاده از درایورهای آسیب‌پذیر افزایش دهند و غیره.

اقدامات امنیتی توصیه شده:

  • تنظیماتی را فعال کنید که از اجرای برنامه ها از منابع نامعتبر جلوگیری می کند.
  • با این حال بهتر است از لیست مجاز (که به عنوان رد پیش فرض نیز شناخته می شود) استفاده کنید که اجازه اجرای برنامه ها را فقط از لیست ثابتی از موارد تأیید شده می دهد. اطمینان حاصل کنید که ابزار اجرای این خط مشی به جای تمرکز بر نام ها، امضاهای دیجیتال و سایر ویژگی های فایل کلیدی را بررسی می کند.
  • برنامه های آسیب پذیر شناخته شده (مخصوصاً درایورها) را از اجرا مسدود کنید.
  • محدود کردن توانایی اجرای زبان‌های برنامه‌نویسی (مانند PowerShell)، بررسی گزارش‌ها برای اجرای اسکریپت‌های تایید شده، و عدم اجرای زبان‌های برنامه‌نویسی که در سیستم‌های IT شرکت استفاده نمی‌شوند.
  • به طور منظم سیستم‌های امنیتی میزبان و محیطی را بررسی کنید تا مطمئن شوید که هرزنامه‌ها را به طور موثر فیلتر می‌کنند و از اجرای بدافزار جلوگیری می‌کنند.

ترجمه:
پیشگامان تجارت امن ایرانیان

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.