پیاده‌سازی پلت‌فرم SSO کلود و نحوه کاهش ریسک حمله

26 دی 1402 پیاده‌سازی پلت‌فرم SSO کلود و نحوه کاهش ریسک حمله

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ نشت اطلاعات مهم هنوز هم پرکاربردترین تکنیک مهاجمین محسوب می‌شود. در سال 2023 متخصصین Kaspersky Digital Footprint Intelligence در دارک‌نت بیش از 3100 آگهی پیدا کردند که دسترسی به منابع سازمانی را ارائه می‌دادند- برخی‌شان حتی متعلق به شرکت‌های فورچون 500[1] بودند. شرکت‌ها برای اینکه به طور مؤثری ریسک‌های مربوطه را مدیریت کرده، تعداد اکانت‌های آسیب‌پذیر را کاهش داده و تلاش برای دسترسی غیرقانونی را سریع‌تر شناسایی و بلاک کنند در حال اتخاذ سیستم‌های مدیریت هویت هستند. با این حال پروسه مدیریت مؤثر هویت تا وقتی سیستم‌های سازمانی از احراز هویت یکپارچه پشتیبانی نکنند میسر نمی‌شود. سیستم‌های داخلی برای احراز منسجم به کاتالوگ متمرکز مانند اکتیو دایرکتوری وابسته هستند و این درحالیست که سیستم‌های خارجی SaaS از طریق پلت‌فرم SSO که می‌تواند به صورت خارجی قرار گرفته باشد یا در زیرساخت شرکت میزبانی شده باشد (مانند ADFS) هویت سازمانی را مدیریت می‌کنند. پلت‌فرم SSO[2] قرار است امنیت سازمانی را ارتقا بخشد اما لازمه‌اش این است که فروشندگان کلود از تیم امنیت اطلاعات حمایت کنند.

برای کارمندان فرآیند ورود به سیستم را به همان اندازه کاربرپسند می‌کند. برای Sign in کردن در سیستم خارجی مانند Salesforce یا Concur کارمند روند احراز استاندارد را که شامل وارد کردن پسورد و ارسال عامل احراز می‌شود تکمیل می‌کند: پسورد یکبار مصرف، توکن یو‌اس‌بی یا چیز دیگر بسته به خط‌مشی شرکت. هیچ لاگین یا پسورد دیگری نیاز نیست. افزون بر این، بعد از sign in در یکی از سیستم‌ها به صورت پیش‌فرض در بقیه احراز خواهید شد. این پروسه به صورت نظری امن است زیرا تیم‌های امنیت اطلاعات و آی‌تی روی اکانت‌ها، خط‌مشی پسوردها، متودهای MFA و لاگ‌ها کنترل کامل دارند اما در دنیای واقعی استاندارد امنیت پیاده‌سازی‌شده توسط سیستم‌های خارجیِ حامی SSO شاید آنقدرها امتحانشان را پس نداده باشند.

معایب SSO

وقتی کاربر به سیستم SaaS، سرور سیستم ورود می‌کند، دستگاه کلاینت کاربر و SSO همچنان که این پلت‌فرم کاربر را اعتبارسنجی کرده و SaaS و دستگاه مجهز به توکن‌های احرازِ تأییدگرِ مجوزهای کاربر را صادر می‌کند، تحت فرآیند مشترکی قرار خواهند گرفت. این توکن دامنه خصوصیاتی از پلت‌فرم بدست می‌آورد که بر امنیت تأثیر دارند. اینها ممکن است شامل موارد زیر شود:

  •         انقضای رمز (و سشن) که نیاز به احراز هویت مجدد کاربر دارد
  •         ارجاع به یک مرورگر خاص یا دستگاه تلفن همراه
  •         آدرس‌های IP خاص یا محدودیت‌های محدوده IP، که مواردی مانند محدودیت‌های جغرافیایی را فعال می‌کنند
  •         شرایط اضافی برای انقضای سشن، مانند بستن مرورگر یا خروج از سیستم عامل SSO

چالش اصلی این است که برخی از ارائه‌دهندگان کلود این محدودیت‌ها را اشتباه تفسیر می‌کنند یا حتی نادیده می‌گیرند، بنابراین مدل امنیتی ساخته شده توسط تیم infosec را تضعیف می‌کنند. علاوه بر این، برخی از پلتفرم‌های SaaS دارای کنترل‌های اعتبار رمز ناکافی هستند که فضایی برای جعل باقی می‌گذارد.

چطور نقایص پیاده‌سازی SSO توسط اشرار سایبری اکسپلویت می‌شوند؟

رایج ترین سناریو نوعی سرقت توکن است. این می‌تواند سرقت کوکی‌ها از رایانه کاربر، رهگیری ترافیک، یا گرفتن فایل های HAR  (بایگانی‌های ترافیک) باشد. توکن مشابهی که در دستگاه دیگری و از یک آدرس IP متفاوت استفاده می‌شود، عموماً یک سیگنال به اندازه کافی فوری برای پلتفرم SaaS است که اعتبار مجدد و احتمالاً احراز هویت مجدد را می‌طلبد. با این حال، در دنیای واقعی، عوامل مخرب اغلب با موفقیت از توکن‌های دزدیده شده برای ورود به سیستم از طرف کاربر قانونی استفاده می‌کنند، در حالی که رمزهای عبور، کدهای یکبار مصرف و سایر حفاظت‌های infosec را دور می‌زنند. یکی دیگر از سناریوهای رایج، فیشینگ هدف‌دار است که به وب‌سایت‌های شرکتی جعلی و در صورت نیاز، یک پروکسی معکوس مانند evilginx2 متکی است که رمزهای عبور، کدهای MFA و توکن‌ها را نیز می‌دزدد.

ارتقای امنیت SSO

  •         فروشندگان SaaS خود را بررسی کنید. تیم infosec می‌تواند اجرای SSO ارائه‌دهنده SaaS را به لیست سوالاتی که فروشندگان هنگام ارسال پیشنهادات خود باید به آنها پاسخ دهند اضافه کند. به طور خاص، اینها سوالاتی در مورد رعایت محدودیت های مختلف نشانه، اعتبار سنجی، انقضا، و ابطال هستند. مراحل بررسی بیشتر می‌تواند شامل ممیزی کد برنامه، آزمایش یکپارچه‌سازی، تجزیه و تحلیل آسیب‌پذیری و تست نفوذ باشد.
  •         اقدامات جبرانی را برنامه‌ریزی کنید. روش‌های مختلفی برای جلوگیری از دستکاری و سرقت توکن وجود دارد. به عنوان مثال، استفاده از EDR در همه رایانه‌ها به طور قابل توجهی خطر آلوده شدن به بدافزار یا هدایت مجدد به یک سایت فیشینگ را کاهش می‌دهد. مدیریت دستگاه‌های تلفن همراه   EMM/UEM)  ) می‌تواند دسترسی تلفن همراه به منابع شرکت را مرتب کند. در موارد خاص، توصیه می‌کنیم دستگاه های مدیریت‌نشده را از خدمات شرکتی منع کنید.
  •         تجزیه و تحلیل ترافیک و سیستم‌های مدیریت هویت خود را برای مشاهده درخواست‌ها و پاسخ‌های SSO پیکربندی کنید تا بتوانند درخواست‌های مشکوکی را که از برنامه‌های مشتری غیرمعمول یا کاربران غیرمعمول، در مناطق آدرس IP غیرمنتظره و غیره نشات می‌گیرند، شناسایی کنند. توکن‌هایی که طول عمر بیش از حد طولانی دارند را می‌توان با کنترل ترافیک نیز بررسی کرد.
  •         اصرار بر اجرای بهتر SSO.  بسیاری از ارائه دهندگان SaaS SSO را به عنوان یک تسهیلات برای مشتری و دلیلی برای ارائه یک طرح "سازمانی" گرانتر می‌دانند، در حالی که امنیت اطلاعات در جایگاه دوم قرار می گیرد. شما می‌توانید با تیم تدارکات خود شریک شوید تا نفوذ و اشراف بیشتری روی این موضوع داشته باشید. اما همه چیز به آرامی تغییر خواهد کرد. هنگام صحبت با ارائه دهندگان SaaS، هرگز ایده بدی نیست که در مورد برنامه‌های آنها برای ارتقاء ویژگی SSO   -مانند پشتیبانی از محدودیت های توکن ذکر شده در بالا (مسدود کننده جغرافیایی، انقضا، و غیره) یا هرگونه برنامه‌ای برای انتقال به استفاده از موارد جدیدتر، سوال کنید. پروتکل‌های مبادله توکن با استاندارد بهتر - مانند JWT یا CAEP.

 

[1]فهرستی از ۵۰۰ تا از بزرگ‌ترین شرکت‌های آمریکایی از نظر درآمدزایی می‌باشد. این فهرست هر ساله توسط نشریه فُرچون تهیه و اعلام می‌گردد.

[2] Single sign-on

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد