خیلی از رخدادهای امنیتی از آسیبپذیری عجیب شروع نمیشوند؛ از یک اکانت ساده شروع میشوند. کاربری که از شرکت رفته ولی هنوز فعال است، اکانت سرویس با رمز قدیمی، کاربر عادی با دسترسی اضافه، یا لاگین موفق از جایی که نباید باشد.
مبنای این مطلب: SANS Critical Security Control 16: Account Monitoring and Control، یعنی «پایش و کنترل حسابهای کاربری» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.
کنترل شماره ۱۶ درباره پایش و کنترل حسابهای کاربری است. یعنی چرخه عمر اکانت را جدی بگیریم: ایجاد، تغییر، استفاده، غیرفعالسازی و حذف.
اکانت باید مالک و دلیل داشته باشد
هر اکانت باید معلوم باشد برای چه کسی یا چه سرویسی است. اکانتهایی مثل test، admin2، backup-old یا temp-user اگر بدون توضیح بمانند، بعدا کسی نمیداند حذفشان خطر دارد یا نه. همین تردید باعث میشود اکانتهای خطرناک سالها زنده بمانند.
خروج نیرو باید به IT وصل باشد
وقتی همکاری از سازمان جدا میشود یا سمتش عوض میشود، غیرفعال کردن دسترسی نباید به حافظه افراد وابسته باشد. بهتر است یک فرآیند مشخص وجود داشته باشد: ایمیل، VPN، Active Directory، پنلهای داخلی، اکانتهای ابری، دسترسی Git، دسترسی مانیتورینگ و هر سرویس دیگری بررسی شود.
- اکانتهای غیرفعال دورهای گزارش شوند.
- کاربرانی که مدت طولانی لاگین نکردهاند بررسی شوند.
- دسترسیهای بعد از تغییر سمت حذف شود.
- اکانت مشترک تا حد ممکن حذف یا محدود شود.
MFA برای همه چیز نیست، برای مهمها واجب است
استفاده از MFA برای ایمیل، VPN، پنلهای مدیریتی، سرویسهای ابری و هر چیزی که از اینترنت قابل دسترس است باید جدی گرفته شود. نبود MFA یعنی رمز لو رفته میتواند مستقیم تبدیل به ورود موفق شود.
البته MFA هم باید درست مدیریت شود. روشهای ضعیف، نبود فرآیند بازیابی امن و باقی ماندن دستگاههای قدیمی میتواند خودش دردسر بسازد.
لاگ ورود را نگاه کنیم
فقط داشتن لاگ کافی نیست. ورود از کشور یا IP غیرعادی، تلاش ناموفق زیاد، ورود خارج از ساعت کاری، تغییرات سریع روی گروهها و فعال شدن اکانت قدیمی باید دیده شود. اینجا دوباره پای پایش و تحلیل لاگ وسط میآید.
اکانت سرویسها را فراموش نکنیم
اکانت سرویس معمولا زیاد دسترسی دارد و کم بررسی میشود. باید رمز آن دورهای و با احتیاط تغییر کند، استفادهاش مشخص باشد، لاگین تعاملی برایش بسته شود و دسترسیاش فقط به سرویس مورد نیاز محدود بماند.
برداشت عملی از کنترل امنیت شماره ۱۶
فهرست اکانتها، حذف اکانتهای بیصاحب، MFA برای دسترسیهای مهم، مانیتور کردن لاگینهای غیرعادی و فرآیند خروج نیرو، پایههای این کنترل هستند. امنیت حساب کاربری یعنی هیچ اکانتی بدون دلیل زنده نماند.
پایش حساب کاربری از کجا ارزش عملی پیدا میکند؟
پایش حسابها وقتی مفید است که فقط به «فعال یا غیرفعال بودن کاربر» محدود نماند. حسابهای ادمین، حسابهای سرویس، دسترسی VPN، دسترسی کنسول تجهیزات شبکه و حسابهایی که مدت طولانی استفاده نشدهاند باید جداگانه دیده شوند. در شبکه واقعی، یک حساب قدیمی با دسترسی مدیریتی میتواند از یک آسیبپذیری نرمافزاری هم خطرناکتر باشد.
برای کم کردن ریسک، هر حساب باید owner مشخص داشته باشد، سطح دسترسی آن با نیاز کاری بخواند و تغییرات مهمش در لاگ قابل پیگیری باشد. NIST SP 800-53 در کنترلهای AC و AU، و CIS Controls v8 در بخش Account Management و Access Control Management، همین اصل را به زبان کنترلی بیان میکنند: حسابها باید مدیریت، بازبینی و قابل audit باشند.
نشانههای بدهی عملیاتی در حسابها
- حساب ادمین مشترک بین چند نفر استفاده میشود.
- حسابهای سرویس رمز ثابت و owner نامشخص دارند.
- کاربرانی که از سازمان رفتهاند هنوز در VPN، فایروال یا تجهیزات شبکه دیده میشوند.
- ورودهای ناموفق یا ورود از کشور/شبکه غیرمنتظره alert مشخص ندارند.
این موضوع بهصورت مستقیم به دسترسی بر اساس نیاز کاری و مانیتورینگ امنیت شبکه وصل است. اگر لاگ و مالکیت حسابها مشخص نباشد، incident response بعدی با حدس و پیگیری دستی شروع میشود.
منابع رسمی برای مطالعه بیشتر: NIST SP 800-53 Rev.5 و CIS Controls v8.