חשבונות פריבילגיים כאבני הנגף בהגנה או התקפה על רשתות ארגוניות

כתב: לביא לזרוביץ', חוקר סייבר בסייבר ארק.

בתחילת שנת 2014 מסכי המחשבים בחדרי השליטה והבקרה של אחד מבתי הקזינו הידועים בלאס-וגאס נעשו שחורים. מערכות השליטה שותקו באחד מבתי הקזינו של סנדס (SANDS) לאחר שתוקפים השתלטו על הרשת במהלך תקיפה ממוקדת על רשת המחשבים הארגונית.

התוקפים, שמטרתם הייתה ככל הנראה לייצר תגובה לאמירותיו של בעלי החברה, שלדון אדלסון, נגד תוכנית הגרעין האיראנית, חדרו לרשת הארגון דרך רשת המחשבים של סנדס הממוקמת בבית-לחם פנסילבניה שבארצות הברית. אחד משרתי האינטרנט של סנדס, שככל הנראה שימש את הארגון לביצוע בדיקות שונות, נפרץ ודרכו הצליחו התוקפים לחדור לרשת.

במשך מספר ימים, פעלו התוקפים ברשת תוך השתלטות על מספר רב של שרתים ואיסוף סיסמאות מאותם השרתים. באותם ימים, ניסו התוקפים למצוא חשבון, שם משתמש וסיסמה, שיאפשר להם "לדלג" לרשת המרכזית של סנדס בלאס-וגאס. ואכן, מספר ימים לאחר מכן, אחד המהנדסים של סנדס בלאס וגאס, התחבר לרשת בבית לחם  ובעצם התחברותו, חשף המהנדס את הסיסמה שלו לתוקפים שמיד עשו בה שימוש כדי לחצות את ה"גשר" הרשתי לרשת המרכזית. בנקודת הזמן הזו, הריצו התוקפים תוכנה זדונית שעברה ממכונה למכונה ברשת ואספה מהמכונות את כל המידע המאוחסן ומחקה מידע מהדיסקים הקשיחים ומהאפליקציות. במקביל, החלו התוקפים להוציא מידע רגיש הכולל מידע פרטי ועסקי של הארגון אותו פרסמו על גבי האתר הרשמי של סנדס שנפרץ גם הוא. התקיפה כולה ארכה כמספר שבועות, בהם התוקפים אספו מידע ונערכו לקראת שעת ה-ש' בה שותקו מערכות החברה לרבות שירותי אי-מייל, ניהול כספים, ניהול ספקים וסחורות.

ניתוח רוחבי של תקיפות ממוקדות, כגון התקיפה על סנדס, חושף את העובדה שב-100% מהתקיפות הממוקדות האחרונות, לאותם חשבונות פריבלגים בארגונים, כמו זה של המהנדס מסנדס, יש חלק בתקיפה. התוקפים זיהו את הפוטנציאל הטמון באותם חשבונות, המאפשרים לתוקפים לנוע בחופשיות ברשת הארגונית תוך התחזות למשתמשים חוקיים בעלי הרשאות גבוהות. בנוסף לכך, בחינה מעמיקה של ארכיטקטורת רשתות מגלה, שמספר החשבונות הפריבילגיים בארגון עומד ביחס של 4 ל-1 ביחס לכמות החשבונות שאינם פריבלגיים. וכך, בארגון של 500 עובדים צפויים להיות בין 1500 ל-2000 חשבונות פריבילגיים שמאפשרים לתוקפים סיכויי הצלחה גבוהים באיסוף החשבונות ובסופו של דבר גישה לנכסים הרגישים ברשת והשגת מטרת התקיפה.

על מנת להפוך את החשבונות הפריבלגיים מנקודת תורפה מרכזית בארגונים, לדרך ללא מוצא עבור התוקפים, החשבונות הפריבלגיים חייבים לצאת מידיהם של כלל עובדי הארגון ולעבור לניהול מרוכז במערכת ייעודית. הניהול המרכזי של החשבונות, יאפשר לארגון לשלוט במדיניות האבטחה והשימוש בחשבונות אלו. כך במידה וצד שלישי, ספק IT למשל, המבקש גישה למשאבים מסוימים ברשת, יוכל לקבל חשבון מסוים שיאפשר לו גישה ממוקדת למשאבים, לפרק זמן מוגבל. בנוסף, לאנשי אבטחת המידע בארגון, תתאפשר שקיפות לגבי כל הנעשה באמצעות החשבון ושליטה מלאה בכדי לעצור את ההתחברות במידת הצורך.

נוסף על כך, כמו בכל מערך הגנה שלם, מערך ההגנה על החשבונות הפריבלגיים חייב לכלול ניטור פעיל של החשבונות. מערכת ניהול החשבונות נדרשת ללמוד את אופן השימוש בחשבונות ולהתריע על כל שימוש חריג. כך שבמידה, ותוקף עושה שימוש בחשבון פריבילגי בשעה 03:00 כדי לגשת לשרת רגיש, כגון בסיס הנתונים המרכזי של הארגון, המערכת תדע להתריע ולחשוף את התוקף ברשת טרם השלמת התקיפה.

לאור העובדה שהחשבונות הפריבליגיים מהווים אבן דרך במסלול התקיפה, מאמצי ההגנה על רשתות ארגוניות חייבים להתמקד בחשבונות אלו. ניהול מרכזי של אותם חשבונות תוך אכיפת מדיניות שימוש וניתור הפעילות, יאפשרו יצירת שכבת הגנה נוספת שתמנע מאיומים חיצוניים, המסתננים דרך אמצעי ההגנה ההיקפיים, או מאיומים פנימיים, מלנצל את החשבונות ובסופו של דבר לשלוט ברשת כולה.