הגנה על זהויות עם Azure AD Identity Protection

0

המאמר הראשון בסדרה של Azure Security התמקד ביכולות הגנה עם Azure Security Center.
”Azure Security Center (בקצרה ASC) מספק מספר יכולות הגנה ומאפשר בין היתר לזהות איומים וסיכונים, למנוע בעיות מראש ולהגיב לכל בעיה ואיום בהתאם לפוליסי שהוגדר מראש בסביבת Azure.

ניהול באמצעות ASC מגביר את הניראות של הפעולות ותעבורה שמתבצעת מול Azure ולכן מאפשר שליטה טובה יותר מול משאבי Azure.”
למאמר המלא אבטחת מידע וסייבר, הגנה עם Azure Security Center

כידוע אבטחת מידע וסייבר בשירות Azure נחלקת למספר רבדים כאשר בכל רובד ישנם טכנולוגיות ומנגנונים שיודעים לזהות סיכונים ולהגיב לפי פוליסי (Detect & Respond).

  • זהויות
    Azure AD מאפשר לנהל זהויות וגישה אל משאבים ולהגן על המידע בארגון באמצעות יכולות multi-factor authentication שמגן על הכניסה לרשת באמצעות מזהה נוסף,
  • AAD Privileged Identity שמאפשר לנהל באופן מלא את הגישה ולאפשר פעולות מסוימות בהתאם לגישה של כל משתמש.
  • תשתיות
    ברמת התשתיות Azure מאפשר לעבוד כמה רבדים נוספים המאפשרים הקשחת הגישה אל התשתיות והגנה על התשתיות עצמם עם יכולות, כגון: חסימה של תעבודה שאינה מאומתת מול Virtual Network,
  • שליטה על התעבורה מול מכונות עם NSG.
    בנוסף יש יכולות, כגון: AM for Azure המאפשר לנהל איומים וסיכונים מול משאבים שונים, שליטה וניהול עם Security Center וכו’.
  • אפליקציות ונתונים
    ברמת אפליקציות ונתונים ניתן לעבוד עם יכולות שונות, כגון: הצפנה המידע (data in rest\transit), כולל קבצים, אפליקציות, services.  הפעלת BitLocker על כוננים מסוימים.

בנוסף לכל אותם אפשרויות Microsoft עובדת לפי תקנים בינלאומיים ומחמירים של שמירה על המידע, מידע נוסף Microsoft Trust Center Compliance.
במאמר הנוכחי נתמקד ביכולות של הגנה על זהויות עם Azure AD Identity Protection שמביא עימו יכולות ובשורות חדשות בהגנה על משתמשי קצה בענן.

ניהול זהויות והאתגרים כיום

כיום רוב הארגונים עובדים בתצורה היברידית שהבסיס הוא סנכרון אובייקטים של Directory מקומי אל Azure AD ולכן ארגונים נדרשים לנהל זהויות בענן באופן שונה ממה שניהלו עד כה בסביבה המקומית.
ניהול זהויות עם Azure AD מהווה כיום כלי מרכזי לניהול מרוכז בענן של משתמשים, הרשאות, גישה לאפליקציות, גישה למערכות שונות, עבודה עם קבוצות ועוד.

הטמעה ויישום נכון של ניהול זהויות משפרת את העבודה של המשתמשים ושל אנשי הסיסטם ע”י אפשרויות ניהול מתקדמות, קישוריות וחיבור בין אפליקציות ומערכות וחשוב מכל מענה בנושא אבטחת מידע וסייבר.
עקב המעבר לענן וניידות המשתמשים נוצרו אתגרים חדשים לניהול אבטחת המידע בארגון, וכיום יותר מבעבר ארגונים מתמודדים עם שתי בעיות עיקריות והם:

  • אבטחת מידע לשירותי הענן השונים
  • מענה למשתמשים ותחנות קצה

כאשר אנו מתמקדים בבעיה של מענה למשתמשים ותחנות קצה הבעיה למעשה נחלקת לשניים:

  • ניהול זהויות והקשחת גישה למשתמשי קצה
  • ניהול, תגובה ומענה לאיומים מתקדמים תוך ניהול מפורט, חקירה ודיווח עם מערכות EDR (כדוגמת Windows Defender ATP)

מכיוון שהגישה לענן עם זהות המשתמש היא למעשה הקו האחרון בהגנה על משאבי המשתמש והמידע, ולכן ניהול והגנה על זהויות הופך להיות חלק קריטי בהגנה על הארגון וככזה אנו צריכים לדעת לנהל את הגישה, לנהל סיכונים, לקבל התראות במקרה של מתקפה ולהגיב על בעיות הזדהות של משתמשי קצה.

בהגנה על משתמשי קצה בענן ישנם מספר אתגרים שונים, כדוגמת: סיסמאות שנגנבו ונפרצו, כניסה ממקומות לא שגרתיים, כניסה בזמנים שונים, כניסה מתוך מכשיר נגוע, ביצוע הזדהויות חריגות ועוד מקרים נוספים.
כאשר מבצעים הגנה על זהויות אנו צריכים לדעת בזמן אמת מה הבעיה ולדעת להגיב בהתאם בין אם בהתראה פשוטה שתאפשר לאנשי הסייבר לדעת מה מבצע התוקף או בביצוע פעולות תגובה שימנעו המשך גישה של המשתמש אל משאבים שונים.

קצת מהשטח. לאחרונה נתקלתי בלקוח שנעשתה עליו מתקפת spear phishing באמצעות דואר שנשלח למנהלים בכירים ברמת מכשירי הטלפון. בזמן המתקפה הוחלפו סיסמאות, נעשתה גישה למשאבי מערכת ונגנב מידע רגיש מתוך אותם מנהלים, בפועל התוקף “חגג” ברשת כמה שעות טובות עד שאחד המנהלים לא יכל להתחבר עם הסיסמא הרגילה שלו למערכות הארגןו והתריע על כך.
חשוב להדגיש כי ללקוח לא היו כלל מערכות הגנה שמותאמות לענן (מעבר לאבטחת מידע המסורתית של Firewall) ולכן לא יכל לדעת מי נכנס, מאיפה, מה ביצע וכתוצאה מכך לא יכל להגיב בהתאם.

מקרים מהסוג הנ”ל לא חסרים ומתרחשים כל הזמן ולכן אנו נדרשים לבצע הגנה על הארגון עם רבדים שונים בכדי למזער את הסיכונים והמתקפות על הארגון ובמקרה קיצון לדעת להגיב בהתאם.

מהו Azure AD Identity Protection

כלי Azure AD Identity Protection הוא רובד אבטחה בענן שנותן מענה להקשחת זהויות ומענה בהתאם לסיכונים.
המטרות העיקריות של Azure AD Identity Protection הם:

  • לזהות איומים וחולשות שעשויות להשפיע על זהויות בארגון
  • מענה ותגובות (respond) בזמן אמת על איומים ברמת זהויות
  • גילוי ותחקור של מקרים חשודים ונקיטה בפעולות מתאימות

גילוי ותחקור זהויות שנפרצו במערכת הינה משימה מורכבת ולכן Azure AD כולל אלגוריתם שבנוי ומבוסס על machine learning שיודע לזהות התנהגויות חשודות ואנומליות על זהויות ויודעת מתי הזהות נפרצה.
בהתאם לתקחור שנעשה על בסיס התאמה ואלגוריתם של Machine Learning ניתן לגלות ולתהריע מתי הזהות נפרצה ובהתאם לכך לפעול.

כלי Azure AD Identity Protection מגיע עם יכולות שונות, החל מיכולות ניטור ודיווח ועד מענה בזמן אמת עם פוליסי שמבוסס על סיכונים (risk based).

בנוסף לכך Azure AD Identity Protection מסוגל לבצע אינטגרציה עם מערכות אחרות שמבצעות conditional access מול הענן  ולהגיב בהתאם עם פעולות של חסימת משתמש או הפעלת MFA באותו רגע.

כאשר מחלקים את היכולות של Azure AD Identity Protection  אנו מחלקים לפי זיהוי, תחקור ותגובה. השלב של התחקור מאופין ביכולות שונות ומתבסס על סיכון ברמת משתמש, סיכון ברמת הזדהות, פגיעויות, סוגי המשתמשים ומאפיינים נוספים.

 

זיהוי

Azure AD Identity Protection מבצע ניתוח קונפיגורציה ובהתאם לכך מבצע זיהוי של סוגי המשתמשים וחולשות במערכת וכן מסווג משתמשים לפי סיכונים וע”י כך מוציא דוח כל סיכונים של זהויות שונות.
השלב הראשון הוא גילוי וזיהוי של סיכונים וזהויות ולכן המאפיינים של כל אותן חולשות נמדד לפי מספר פרמטרים:

  • רישום הזדהות עם MFA – יכולות MFA מביאות לארגון שכבת הגנה נוספת בהזדהות המשתמש מול משאבי הארגון. NFA ידוע ביכולות של הגנה עם מזהה נוסף וניתן להגדיר בתוך ומחוץ לארגון.
    כאשר עובדים עם Azure AD Identity Protection ניתן להגדיר פוליסי מבוסס conditional access ולהתריע על משתמש שאינו מבצע לוגין באמצעות MFA, הזדהות נכשלת עם MFA ואכיפה של MFA על משתמשים שאינם רשומים.
  • אפליקציות לא מנוהלות – החל מאותו רגע שמשתמש נמצא בענן הוא יכול לחבר אפליקציות ע”י משתמש וסיסמא ללא צורך בהרשאת אדמין ולכן עלול לחשוף את הארגון למתקפות. כאשר עובדים עם Azure AD Identity Protection ניתן לגלות משתמשים שמבצעים הזדהות מול אותן אפליקציות
    *אינו מחליף את יכולות Cloud App Security שנותנות מענה לבעיות אלה ועונות על בעית Shadow IT.
  • גישה מורשית – בתרחישים בהם למשתמש ישנה גישה מורשית למשאבי מערכת מסוימים כל גישה מסוג זה חייבת להיות מנוטרת ולהתריע על גישה בכדי למנוע מקרים בהם המשתמש ניגש למערכות מסוימות בשעות לא שגרתיות

בשלב השני של הגילוי ישנם סיווגים של כל אותם משתמשים לפי רמות סיכון, רמת הזיהוי ואנומליות. כיום ישנם מספר מאפיינים לגילוי וזיהוי סיכונים:

  • משתמש עם מזהים שנפרצו
  • הזדהות מתכובת לא ידועה
  • הזדהות ממקומות לא שגרתיים
  • הזדהות ממקומות לא מורכים
  • הזדהות מתוך מכשירים נגועים
  • הזדהות מתוך כתובות חשודות

בתאם לרמות הסיכון של המשתמשים ולפי מאפיינים מרכזיים אנו מסווגים את רמות הסיכון:

  • גבוה – התראה הכי גבוהה ומתארת את זהות המשתמש שנפרצה ופעולות שיש לבצע בהתאם
  • בינוני – רמת סיכון שמדווחת על משתמש עם סיכון וממליצה לבצע פעולות בהתאם
  • נמוך – הרמה הכי נמוכה שאינה מצריכה תגובה מיידית ומדווחת על זהות המשתמש

 

שלב התחקור

שלב התחקור הוא שלב מאד מעניין שכמובן מגיע שלב לאחר הגילוי והזיהוי וכאן למעשה מתבצעות מספר פעולות.
לאחר שהמערכת מבצעת מספר פעולות של גילוי, זיהוי ולמודת את המשתמשים וזהויות בארגון אנו נדרשים לעבוד עם המידע ולדעת מהו סיכון, רמת סיכון ואיך להגיב על כל פעולה מסוימת.

הפעולות מתבצעות על סמך מאפיינים שונים, כגון: כניסות בעלי סיכון – Azure AD מזהה סיכונים לפי אותם מאפיינים שהוסזכרו קודם לכן בזמן אמת. הסיכונים שנמצאו מסווגים לפי risky sign-in ולכן מדווחים במערכת עד לביצוע יציאה של המשתמש.

לאחר שנמצא זהות עם סיכון היא מדווחת באמצעות רמת הסיכון (גבוה, בינוני, נמוך) ועלול להיות הזדהות שלא נעשתה ע”י המשתמש האמיתי.
בתוצאה מכך שנמצא זהות עם סיכון במערכת מתבצעות פעולות נוספות:

  • נטרול הסיכון – בהתאם לרמת הסיכון שנמצא במערכת ניתן להגביל את אותה זהות ע”י פוליסי שמאפשר חסימת המשתמש או אכיפה של הזדהות מחמירה, כדוגמת MFA.
  • במקרים שונים ניתן לשלב עם מערכות שונות של EMS בכדי לחסום את הגישה של המשתמש.
  • פוליסי – בהתאם לרמת הסכיון של המשתמש שנמצא ומנוטר במערכת אנו יכולים להפעיל פוליסי שמסווג את רמת הסיכון, מבצע פעולת תגובה של חסימת המשתמש לענן או שימוש באפשרויות הזדהות שונות, כגון: MFA, החלפת סיסמא מיידית או ביצוע רישום מיידי של MFA.

 

לסיכום

הזהויות הם קו ההגנה האחרון שלנו מול מתקפות ולכן אנו נדרשים להגן על הזהויות,

כלי Azure AD Identity Protection מביא עמו בשורה חדשה של הקשחת הגישה למשתמשים וזהויות מול Azure AD ומאפשר זיהוי מתקפות על זהויות בזמן אמת.
איך מגדירים, מהם ההמלצות וטיפים נוספים במאמר הבא על Azure AD Identity Protection. בינתיים Stay tuned.

 

 

מאת: אלי שלמה


שתף

אודות מחבר

אריאל מרום

שינוי גודל גופנים
ניגודיות