Ngày 01 tháng 5 năm 2023Tin tức về tin tặc Đe dọa mạng / Xác thực
Chỉ một vài năm trước đây, di chuyển ngang là một chiến thuật chỉ giới hạn ở các tổ chức tội phạm mạng APT hàng đầu và các nhà điều hành quốc gia. Tuy nhiên, ngày nay, nó đã trở thành một công cụ hàng hóa, nằm trong bộ kỹ năng của bất kỳ tác nhân đe dọa ransomware nào. Điều này làm cho việc phát hiện và ngăn chặn chuyển động ngang theo thời gian thực trở nên cần thiết đối với các tổ chức thuộc mọi quy mô và trên tất cả các ngành. Nhưng sự thật đáng lo ngại là thực tế không có công cụ nào trong ngăn xếp bảo mật hiện tại có thể cung cấp khả năng bảo vệ theo thời gian thực này, tạo ra điểm yếu bảo mật quan trọng nhất trong kiến trúc bảo mật của một tổ chức.
Trong bài viết này, chúng ta sẽ xem xét các câu hỏi cơ bản nhất xung quanh thách thức bảo vệ chuyển động ngang, hiểu lý do tại sao xác thực đa yếu tố (MFA) và bảo vệ tài khoản dịch vụ là những lỗ hổng khiến điều đó trở nên khả thi và tìm hiểu cách nền tảng của Silverfort lật ngược tình thế trước những kẻ tấn công và làm cho khả năng bảo vệ chuyển động bên cuối cùng cũng nằm trong tầm với.
Hội thảo trực tuyến sắp tới: Nếu bạn muốn tìm hiểu thêm về chuyển động ngang và cách ngăn chặn chuyển động đó trong thời gian thực, chúng tôi mời bạn đăng ký hội thảo trực tuyến sắp tới của chúng tôi. Các chuyên gia trong ngành sẽ chia sẻ những hiểu biết có giá trị về chủ đề này và trả lời bất kỳ câu hỏi nào của bạn.
Sẵn sàng? Hãy bắt đầu nào.
Tại sao chuyển động ngang là một rủi ro nghiêm trọng đối với một tổ chức?
Chuyển động bên là giai đoạn mà sự thỏa hiệp của một điểm cuối duy nhất trở thành sự thỏa hiệp của các máy trạm và máy chủ bổ sung trong môi trường được nhắm mục tiêu. Đó là sự khác biệt giữa một máy được mã hóa duy nhất và khả năng ngừng hoạt động. Chuyển động ngang được sử dụng trong hơn 80% các cuộc tấn công bằng mã độc tống tiền, khiến mọi tổ chức trên thế giới sẵn sàng trả tiền để mua lại dữ liệu của mình từ những kẻ tấn công đều gặp rủi ro.
Vậy làm thế nào để chuyển động bên thực sự hoạt động?
Nó thực sự khá đơn giản. Không giống như phần mềm độc hại có nhiều dạng khác nhau, quá trình di chuyển bên rất đơn giản. Trong môi trường tổ chức, mọi người dùng đã đăng nhập vào máy trạm hoặc máy chủ đều có thể truy cập các máy bổ sung trong môi trường đó bằng cách mở dấu nhắc dòng lệnh và nhập lệnh kết nối, cùng với tên người dùng và mật khẩu của họ. Điều này có nghĩa là tất cả những gì kẻ thù phải làm để di chuyển theo chiều ngang là có được tên người dùng và mật khẩu hợp lệ. Sau khi có được, kẻ tấn công có thể sử dụng các thông tin đăng nhập bị xâm phạm này để truy cập tài nguyên giống như thể chúng là người dùng hợp pháp.
Nghe có vẻ đơn giản, vậy tại sao nó lại khó ngăn chặn?
Nghe có vẻ đáng ngạc nhiên, thực sự không có công cụ nào trong ngăn xếp nhận dạng hoặc bảo mật có thể phát hiện và ngăn chặn chuyển động bên trong thời gian thực. Điều này là do điều cần thiết là khả năng chặn chính xác thực, nơi kẻ tấn công cung cấp thông tin đăng nhập bị xâm phạm cho Active Directory (AD). Thật không may, AD – về cơ bản là một phần mềm kế thừa – chỉ có khả năng kiểm tra bảo mật duy nhất: liệu tên người dùng và mật khẩu có khớp hay không. Nếu đúng như vậy, quyền truy cập sẽ được cấp; nếu không, quyền truy cập bị từ chối. AD không có khả năng phân biệt giữa xác thực hợp pháp và xác thực độc hại, chỉ có khả năng xác thực thông tin đăng nhập được cung cấp.
Nhưng MFA có thể giải quyết vấn đề này không?
Về lý thuyết. Nhưng đây là vấn đề: Bạn có nhớ cửa sổ dòng lệnh đã đề cập trước đây về cách thực hiện chuyển động ngang không? Đoán xem. Truy cập dòng lệnh dựa trên hai giao thức xác thực (NTLM và Kerberos) không thực sự hỗ trợ MFA. Các giao thức này đã được viết trước khi MFA tồn tại. Và khi “không hỗ trợ”, điều chúng tôi muốn nói ở đây là bạn không thể thêm vào quy trình xác thực một giai đoạn bổ sung có nội dung “các thông tin đăng nhập này hợp lệ nhưng hãy đợi cho đến khi người dùng xác minh danh tính của họ.” Chính sự thiếu bảo vệ MFA này trong môi trường AD – một điểm mù quan trọng – đã cho phép các cuộc tấn công chuyển động ngang tiếp tục xảy ra.
Tại thời điểm này, bạn có thể thắc mắc tại sao vào năm 2023, chúng tôi vẫn sử dụng công nghệ từ hơn 20 năm trước không hỗ trợ biện pháp bảo mật cơ bản như MFA. Bạn có quyền đặt câu hỏi này, nhưng tại thời điểm này, điều quan trọng hơn là đây là thực tế gần như 100% trong các môi trường – bao gồm cả môi trường của bạn. Đó là lý do tại sao việc hiểu những hàm ý bảo mật này là rất quan trọng.
Tạo các chính sách MFA dễ thực hiện cho tất cả các tài khoản đặc quyền của bạn là cách duy nhất để đảm bảo chúng không bị xâm phạm. Không cần tùy chỉnh hoặc phụ thuộc vào phân đoạn mạng, bạn có thể thiết lập và chạy trong vòng vài phút với Silverfort. Khám phá cách bảo vệ các tài khoản đặc quyền của bạn khỏi bị xâm phạm một cách nhanh chóng và liền mạch với các chính sách truy cập thích ứng thực thi bảo vệ MFA trên tất cả các tài nguyên tại chỗ và trên đám mây hiện nay.
Đừng quên các tài khoản dịch vụ – vô hình, đặc quyền cao và gần như không thể bảo vệ
Để thêm một khía cạnh khác cho thách thức bảo vệ chuyển động bên, hãy nhớ rằng không phải tất cả các tài khoản đều được tạo như nhau. Một số trong số chúng dễ bị tấn công hơn những cái khác. Tài khoản dịch vụ, được sử dụng để truy cập giữa các máy, là một ví dụ điển hình. Các tài khoản này không được liên kết với bất kỳ người dùng nào, do đó, chúng ít bị theo dõi hơn và thậm chí đôi khi bị nhóm CNTT lãng quên. Nhưng chúng thường có đặc quyền truy cập cao và có thể truy cập hầu hết các máy trong môi trường. Điều này khiến chúng trở thành mục tiêu thỏa hiệp hấp dẫn đối với các tác nhân đe dọa, những kẻ sử dụng chúng bất cứ khi nào có thể. Việc thiếu khả năng hiển thị và bảo vệ tài khoản dịch vụ này là điểm mù thứ hai mà các tác nhân chuyển động bên dựa vào.
Silverfort có thể bảo vệ theo thời gian thực chống lại chuyển động ngang
Silverfort đi tiên phong trong nền tảng Bảo vệ Danh tính Hợp nhất đầu tiên có thể mở rộng MFA cho bất kỳ tài nguyên nào, bất kể tài nguyên đó có hỗ trợ MFA hay không. Bằng cách sử dụng công nghệ không có tác nhân và không có proxy, Silverfort tích hợp trực tiếp với AD. Với sự tích hợp này, bất cứ khi nào AD nhận được yêu cầu truy cập, AD sẽ chuyển tiếp yêu cầu đó tới Silverfort. Sau đó, Silverfort sẽ phân tích yêu cầu truy cập và, nếu cần, thách thức người dùng bằng MFA. Dựa trên phản hồi của người dùng, Silverfort xác định có nên tin tưởng người dùng hay không và chuyển phán quyết cho AD, sau đó sẽ cấp hoặc từ chối quyền truy cập nếu cần.
Ngăn chặn chuyển động ngang tận gốc #1: Mở rộng MFA sang truy cập dòng lệnh
Silverfort có thể áp dụng bảo vệ MFA cho bất kỳ công cụ truy cập dòng lệnh nào – PsExec, Remote PowerShell, WMI và bất kỳ công cụ nào khác. Khi chính sách MFA được bật, nếu kẻ tấn công cố gắng thực hiện chuyển động ngang thông qua dòng lệnh, Silverfort sẽ gửi lời nhắc MFA tới người dùng thực, yêu cầu họ xác minh xem họ có bắt đầu nỗ lực truy cập đó hay không. Khi người dùng từ chối điều này, quyền truy cập sẽ bị chặn — khiến kẻ tấn công bối rối không hiểu tại sao một phương pháp hoạt động hoàn hảo trong quá khứ giờ lại gặp phải trở ngại.
Ngăn chặn chuyển động ngang tận gốc #2: Tự động hiển thị và bảo vệ tài khoản dịch vụ
Mặc dù tài khoản dịch vụ không thể được bảo vệ bởi MFA – với tư cách là người dùng không phải con người, họ không thể xác nhận danh tính của mình bằng thông báo trên điện thoại di động – họ vẫn có thể được bảo vệ. Điều này là do các tài khoản dịch vụ (không giống như người dùng) hiển thị hành vi có tính lặp đi lặp lại và có thể dự đoán được. Silverfort tận dụng điều này bằng cách tự động tạo chính sách cho mọi tài khoản dịch vụ. Khi được kích hoạt, họ có thể gửi cảnh báo hoặc chặn hoàn toàn quyền truy cập tài khoản dịch vụ bất cứ khi nào phát hiện thấy hoạt động sai lệch tiêu chuẩn. Việc sử dụng tài khoản dịch vụ bị xâm nhập với mục đích xấu chắc chắn sẽ tạo ra sai lệch vì ngay cả khi kẻ tấn công có thông tin xác thực của tài khoản dịch vụ, chúng sẽ không biết cách sử dụng tiêu chuẩn của tài khoản. Kết quả là mọi nỗ lực sử dụng tài khoản dịch vụ bị xâm phạm cho chuyển động ngang sẽ bị dừng lại.
Bạn có thấy chuyển động ngang là một rủi ro bạn cần giải quyết không? Lên lịch một cuộc gọi với một trong những chuyên gia của chúng tôi.
