رویکرد مایکروسافت به Zero Trust

مرداد ۴, ۱۴۰۰

در سال‌های اخیر مجرمان سایبری بدون فعالیت نبوده‌اند و حملات گسترده‌ای به زیرساخت‌های دنیا اجرا کرده‌اند. حملات گسترده‌ای مانند Nobelium و Hanfnium همراه با حملات باج‌افزار به زیرساخت‌ها نشان دهنده پیشرفته‌تر شدن و هماهنگ‌تر شدن حملات است.

پرواضح است که همکاری بخش‌های IT و Cybersecurity برای جلوگیری از این حملات الزام آور است. مایکروسافت به اطلاعات تهدیدات امنیتی سایبری و حملات گسترده جهانی دسترسی دارد و این اطلاعات را از طریق اینترنت منتشر کرده است. همکاری مایکروسافت با مقامات دولتی منجر به ایجاد US Cybersecurity Executive Order یا EO شده است. EO اقدام‌های بخصوصی برای تقویت بخش امنیت سایبری مشخص کرده است و تهدیدات پیچیده را در کل اکوسیستم دیجیتال درنظر گرفته است.

۱. نقش حیاتی Zero Trust در امنیت سایبری دنیا

مشاهدات به وضوح نشان می‌دهند که روش‌های امنیتی قدیمی نقشی در چالش‌های سایبری امروزی ندارند. کارمندان دورکار مرتبا مکانشان را تغییر می‌دهند. همچنین از چندین وسیله مانند لپ‌تاپ، کامپیوتر رومیزی و موبایل برای انجام دادن وظایف کاری استفاده می‌کنند و به همین خاطر همکاری‌ها خارج و داخل محدوده شرکت افزایش پیدا کرده است. تحلیل اجرای حملات از نظر داده ها، زیرساخت، برنامه کاربردی، شبکه، تجهیزات و هویت های خارج از محدوده سازمان در طرح‌های قدیمی امنیتی در نظر گرفته نشده‌اند.

در فصل سوم EO یا decisive steps مقامات دولتی را ملزم به مدرن کردن راه‌حل‌های سایبری می‌کند. این عملیات را با افزایش انتقال اطلاعات به سیستم‌های ابری و پیاده‌سازی Zero Trust مانند پیاده‌سازی چند مرحله‌ای احرازهویت و رمزنگاری نقطه به نقطه اطلاعات، اجرا می‌کند. استراتژی Zero Trust به عنوان بهترین راهکار سایبری شناخته می‌شود.

پیش از فصل سوم استاندارد‌ها و راهنمای Zero Trust است که توسط NIST توسعه داده شده است و با صنایع دیگر و نوآوری علمی برابری می‌کند. برای خواندن جزئیات بیشتر در مورد این فصل می‌توانید به مقاله‌ای با عنوان مشابه که در باگدشت منتشر یافته است مراجعه کنید.

۲. پیاده‌سازی Zero Trust با اپلیکیشن‌های پلتفرم Microsoft identity

پلتفرم Microsoft identity برای یکپارچگی سیستم با Zero Trust به توسعه دهندگان پیشنهاد شده است. این پلتفرم استاندارهای صنعتی را رعایت می‌کند که شامل:

از یک پرتال برای رجیستر نمودن همه برنامه های کاربردی استفاده شود.
دارا بودن کتابخانه‌های احراز هویت مایکروسافت برای ساختن اپلیکیشن‌های وب، موبایل و دسکتاپ با فریم‌ورک و زبان برنامه نویسی دلخواه.
یک اکانت برای احراز هویت یکپارچه در Microsoft identity که با کتابخانه‌های خارجی سازگاری دارد.
دسترسی امن به API‌ها از طریق Microsoft Graph تا Microsoft Azure و یا APIهای شخصی.

پلتفرم احراز هویت مایکروسافت به توسعه دهنگان امکان اجرای فرایندهای احراز هویت را در تمامی پلتفرم های محل کار، مدرسه و خانه و یا حساب شخصی را می‌دهد. همچنین امکان استفاده از فرایند‌های احراز هویت شرکت‌های دیگر مانند حساب‌های کاربری شبکه‌های اجتماعی(فیس‌بوک و گوگل) و ثبت نام با ایمیل در Microsoft identity امکان‌پذیر است.

۳. پیاده‌سازی Zero Trust توسط بخش IT

پیاده‌سازی Zero Trust هنوز در حال تغییر است و هر سازمان روش متفاوتی برای پیاده‌سازی آن انتخاب می‌کند. ولی نقطه شروع منطقی می‌تواند پلتفرم Microsoft identity باشد. بعضی از سیاست‌هایی که سازمان‌ها باید برای پیاده‌سازی Zero Trust در اهمیت بالاتری قرار دهند شامل موارد زیر است:

سازمان‌ها موافقت کاربر را برای انتشار تاییدیه‌ها در اپلیکیشن‌ها باریسک کمتری محدود می‌کنند. قبل از اینکه به سازمان یا مشتری تاییدیه داده شود، دسترسی‌ها توسط مدیران سیستم ارزیابی شوند.
سازمان‌ها سیاست‌های محرمانگی و دوره‌ای را برای سرویس‌ها و اپلیکیشن‌ها تنظیم کنند. اگر محرمانگی یکی از اپلیکیشن‌ها از بین رفت، مهاجم توکن کاربر را دراختیار می‌گیرد و به عنوان کاربر به سیستم وارد می‌شود و به اطلاعات حساس دسترسی پیدا می‌کند. همچنین با انجام عملیات‌های بعدی دسترسی خود به حساب‌کاربری را همیشگی می‌کند.
سازمان‌ها فرایند احراز هویت مقاوم را پیاده‌سازی کنند. مدیران IT انتظار دارند که بتوانند سیستم احرازهویت چند مرحله‌ای و تجهیزات بی‌نیاز به رمزعبور را تنظیم کنند.
سازمان‌ها پروتکل‌ها وAPI‌های قدیمی را محدود کنند. این موارد شامل جلوگیری از فرایند احرازهویت قدیمی مانند ٬Basic authentication٬ است و جایگزینی پروتکل‌های مدرن مانند Open ID Connect و OAuth2 میباشد. مایکروسافت پایان Azure AD Graph و کتابخانه ADAL auth در ژون ۲۰۲۲ اعلام کرده است. سازمان‌ها باید اپلیکیشن‌های خود را برای این تغییر آماده کنند.

۴. بهترین روش توسعه با Zero Trust

۴.۱. استفاده ازکتابخانه‌هایاستاندارداحرازهویت

استفاده از کتابخانه‌ها در مرحله توسعه زمان زیادی از توسعه دهنده را ذخیره می‌کند و توسعه دهنده می‌تواند تمرکز خود را برروی قسمت‌های دیگر محصول بگذارد. همچنین برای مقابله با تهدیدات باید از جدیدترین کتابخانه استفاده کرد.

۴.۲. اطلاعات محرمانه درکدهای برنامه وجودنداشته باشد

با انجام این کار مدیران سیستم بدون اینکه اپلیکیشن را دوباره دپلوی کنند، تغییر اطلاعات محرمانه را انجام دهند. برای انجام این کار می‌تواند از Azure Key Vault یا Azure Managed Identities استفاده کرد.

۴.۳. طراحی برای حداقل سطح دسترسی باشد

این کلید پیاده‌سازی Zero Trust است. این ویژگی فقط منابع و دسترسی‌هایی را با توجه به سطح کاربر در اختیارش می‌گذارد. برای مثال، incremental consent برای دادن دسترسی‌های بیشتر در زمانی که مورد نیاز است، استفاده می‌شود و همچنین می‌توان از Microsoft Graph استفاده کرد. با استفاده از Graph Explorer می‌توان API را فراخوانی کرد و سطح دسترسی مورد نیاز بررسی شود. در این محصولات سطح دسترسی از کمترین به بیشترین دسته بندی شده‌اند. انتخاب کمترین سطح دسترسی، احتمال نرم‌افزار را به آسیب‌پذیری کاهش می‌دهد.

۴.۴. پشتیبانی ازCAE(Continuous Access Evaluation)

این ویژگی بهMicrosoft Graph اجازه ابطال سریع نشست فعال در صورت اتفاق رویداد امنیتی را می‌دهد. برای مثال، زمانی که حساب کاربری پاک یا غیرفعال شود، MFA برای کاربر فعال است. مدیر صراحتاً توکن کاربر را باطل می‌کند و در غیر اینصورت حساب کاربری، کاربر در معرض تهدیدات قرار می‌گیرد. این روش انعطاف‌پذیر است و اپلیکشن بدون اینکه در هر ساعت به Azure Active Directory برای توکن جدید رجوع کند به کار خود ادامه می‌دهد.

۴.۵. تعریف نقش‌های برای تخصیص به کابران و گروه‌ها

تعریف نقشها به اپلیکیشن برای اجرای احرازهویت و امنیت براساس نقش یا سطح دسترسی کمک می‌کند. برای مثال، نقش و سطح دسترسی Administrator, Readers و Contributors به اپلیکیشن اجازه محدود کردن عملیات‌ها را بر روی داده‌های حساس برای گروه‌ها و کاربرها را تعیین کرد. استفاده از نقشها امکان استفاده از ویژگی‌های دیگری مانند PIM را امکان‌پذیر می‌کند. ویژگی PIM دسترسی زمانی محدود و محدودیت اجرای عملیات روی نقش‌های حساس می‌گذارد و احتمال رفتار مخرب و دسترسی به اطلاعات حساس را برای کاربر مهاجم کم می‌کند.

۴.۶. انتشار اپلیکیشن توسط مرجع معتبر

زمانی که اپلیکیشن توسط مرجع معتبر امضا می‌شود به معنی این است که منتشر کننده از حساب کاربری Microsoft Partner Network استفاده می‌کند و توسط محصول مایکروسافت احرازهویت شده است.

منبع:

وبلاگ

آخرین مطالب

پنجمین رویداد سالانه امنیتی باگدشت با نام CTB در مرداد ماه سال ۱۴۰۳ برگزار شد

پنجمین رویداد امنیتی CTB با حمایت شرکتهای خدمات ارتباطی ایرانسل، دیجی‌کالا، سفرهای علی‌بابا، تپسی، بانک توسعه و تعاون و رسانه پیوست از هشتم تا هفدهم مرداد ماه برگزار شد.

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.