នៅពេលអ្នកដាក់ចេញនូវផលិតផលសុវត្ថិភាព អ្នកប្រាកដជាជឿជាក់ថាវាអាចបំពេញនូវមុខងារបានល្អ។ ប៉ុន្តែ តាមពិតទៅវាមិនប្រាកដនោះទេ។ របាយការណ៍ថ្មី ដែលចេញផ្សាយដោយ Osterman Research បានបង្ហាញថា MFA (Multi-Factor Authentication) និង PAM (Privileged Access Management) solutions មិនអាចការពារការគំរាមកំហែងបានគ្រប់ជ្រុងនោះទេ។ ក្រៅពីនោះ Service Accounts ដែលជាអ្នកពិនិត្យលើការការពារទាំងនេះ ក៏ត្រូវបានបង្ហាញទៅកាន់ Malicious Compromise។ លទ្ធផលទាំងនេះ និងរឿងជាច្រើនទៀតត្រូវបានរកឃើញនៅក្នុង ស្ថានភាពនៃការគំរាមកំហែងអត្តសញ្ញាណ នៅក្នុងចន្លោះនៃការការពារដ៏សំខាន់ គឺជារបាយការណ៍ដំបូងនៃការវិភាគរបស់អង្គការចំពោះការគំរាមកំហែងអត្តសញ្ញាណ។
អ្វីទៅជាការ “Identity Attack Surface?” Identity attack surface គឺជាធនធានអង្គភាពគ្រប់យ៉ាងដែលអាចត្រូវបានប្រើប្រាស់តាមរយៈឈ្មោះអ្នកប្រើប្រាស់ និងលេខសម្ងាត់។ មធ្យោបាយចម្បងដែលហេគឃ័រចង់វាយប្រហារ Surface គឺតាមរយៈការប្រើអត្តសញ្ញាណអ្នកប្រើដែលត្រូវបាន compromised។ នៅក្នុងមធ្យោបាយនេះ Identity attack surface ខុសពី attack surface ដទៃទៀត។ នៅពេល target endpoints ហេគឃ័រត្រូវអភិវឌ្ឍមេរោគ និងកេងចំណេញលើ Zero-day។ ប៉ុន្តែនៅក្នុងពិភពនៃ Identity default attack គឺមានឈ្មោះ និងលេខសម្ងាត់អ្នកប្រើប្រាស់ស្របច្បាប់។ ជាមួយនឹងការស្មាន 24B Username-password combinations available នៅលើទីផ្សារងងឹង មធ្យោបាយនេះគឺជារឿងមួយដែលហេគឃ័រត្រូវតែធ្វើដើម្បីអាចចាប់ផ្តើមចូលដំណើរការបាន។
ប៉ុន្តែ ខ្ញុំមាន MFA និង PAM នៅទីតាំងដែលអាចការពារពីការវាយប្រហារ៖ យោងតាមរបាយការណ៍ សង្ខេបពីអ្នកជំនាញសុវត្ថិភាព Identity ចំនួន 600 បានធ្វើការវាស់ស្ទង់នៅទូទាំងពិភពលោក អង្គភាពដែលមាន MFA និង PAM Solutions នៅកន្លែងសម្ងាត់ នៅតែអាចបង្ហាញដល់ហេគឃ័រ។
អង្គការប្រមាណជា 7% មាន MFA protection សម្រាប់ Resources សំខាន់ៗរបស់ពួកគេ។ តើ Resources ខាងក្រោមអាចការពារតាមរយៈការប្រើ MFA ដែរឬទេ?
– Desktop logins (e.g. Windows, Mac)
– VPN និង Other remote connection methods
– RDP
– Command-line remote access (e.g. PowerShell. PsExec)
– SSH
– Homegrown និង legacy apps
– IT infrastructure (e.g. management consoles)
– VDI
– Virtualization platforms and hypervisors (e.g. VMware, Citrix)
– Shared network drives
– OT systems
ចំនួនទាំងនេះបង្ហាញពីចន្លោះដ៏គ្រោះថ្នាក់ តាំងពី Resource ដែលមិនប្រើ MFA គឺជា Resource ដែលហេគឃ័រអាចដំណើរការអត្តសញ្ញាណ Compromised បាន។ បកស្រាយក្រាបនេះទៅជារឿងពិតប្រចាំថ្ងៃ ហេគឃ័រប្រើ Command-line tool ដែលមិនបានការពារជាមួយនឹង MFA ដូចជា PsExec ឬ Remote PowerShell ដើម្បីជ្រៀតចូលទៅកាន់ជនរងគ្រោះដោយមិនជួបប្រទះឧបសគ្គអ្វីទាំងអស់ នៅពេលវាផ្លាស់ទីឆ្លង Network ដើម្បីដាក់បញ្ចូលបន្ទុកមេរោគនៅលើម៉ាសុីនចម្រុះ។
មានតែ 10.2% នៃអង្គការទេដែលបានដាក់បញ្ចូល PAM solution ពេញលេញ៖ PAM solution មានឈ្មោះមិនល្អយូរហើយ ដោយសារតែការដាក់ពង្រាយដ៏ស្មុគស្មាញ ប៉ុន្តែថាតើវាអាក្រក់ពិតមែនឬ? របាយការណ៍បានបង្ហាញថា វាអាក្រក់។ ខាងក្រោមនេះគឺជាការឆ្លើយតបរបស់អ្នកប្រើប្រាស់ “Where are you in your PAM implementation journey?”
ដូចអ្នកបានឃើញអញ្ជឹង អង្គការជាច្រើនគឺគាំងដំណើរការនៅក្នុង PAM journey ដែលបានន័យថាអតិថិជន (privileged users) របស់ពួកគេត្រូវបានបង្ហាញទៅកាន់ហេគឃ័រ។ សូមចងចាំថា Admin users គឺជាផ្លូវមួយដែលលឿនជាងគេ (fastest path) ដែលហេគឃ័រប្រើដើម្បីចូលទៅកាន់ជនរងគ្រោះ។
អង្គភាពប្រមាណ 78% មិនអាចការពារដំណើរការអាក្រក់របស់ Compromised service accounts បានទេ៖ Service accounts គឺជាចំណុចពោរពេញដោយបញ្ហា។ ដោយសារតែ Non-human accounts ទទួលបាន Privileged ប៉ុន្តែមិនត្រូវបានការពារដោយ MFA ទេ ឬក៏អាចនិយាយបានថា ពួកគេគ្មានឯកសារ (undocumented) ដូច្នេះមិនត្រូវបានត្រួតពិនិត្យទេ ហើយពួកគេនោះគឺជាគោលដៅរបស់ហេគឃ័រ។ ខាងក្រោមនេះ គឺជាទំនុកចិត្តដែលអ្នកមានចំពោះលទ្ធភាពនៃការការពារហេគឃ័រមិនឱ្យចូលទៅប្រើ Service accounts នៅក្នុងមជ្ឈដ្ឋានរបស់អ្នក។
តើអ្នកអាចការពារ Identity Attack Surface របស់មជ្ឈដ្ឋានរបស់អ្នកដោយរបៀបណា? សូមប្រើ Maturity Model៖ របាយការណ៍ចង្អុលបង្ហាញពីចំណុចខ្សោយ និងគម្លាត ដែលវាផ្តល់នូវការដាក់ពិន្ទុ Model ដោយអាស្រ័យលើលទ្ធផល ឆ្លងកាត់គ្រប់ Identity protection aspects ដែលអាចបង្ហាញពីកម្រិតនៃភាពធន់នឹង Identity threats។ របាយការណ៍រកឃើញថា មានអង្គភាពតិចតួចណាស់ មិនដល់ 6,6% ផងដែលមានវិន័យ និងវិធីសាស្រ្តការពារអត្តសញ្ញាណ (identity protection strategy) ដែលត្រូវបានអនុវត្តនៅកន្លែងធ្វើការនោះ។ សរុបទៅ ដើម្បីការពារសុវត្ថិភាព ត្រូវការកត្តាជាច្រើនរួមមាន ការប្រើប្រាស់ Model និងឥរិយាបថនៃការរបស់អ្នកផងដែរ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៨ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
