کنترل امنیت شماره ۱۶: پایش و کنترل حساب‌های کاربری

خیلی از رخدادهای امنیتی از آسیب‌پذیری عجیب شروع نمی‌شوند؛ از یک اکانت ساده شروع می‌شوند. کاربری که از شرکت رفته ولی هنوز فعال است، اکانت سرویس با رمز قدیمی، کاربر عادی با دسترسی اضافه، یا لاگین موفق از جایی که نباید باشد.

مبنای این مطلب: SANS Critical Security Control 16: Account Monitoring and Control، یعنی «پایش و کنترل حساب‌های کاربری» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.

کنترل شماره ۱۶ درباره پایش و کنترل حساب‌های کاربری است. یعنی چرخه عمر اکانت را جدی بگیریم: ایجاد، تغییر، استفاده، غیرفعال‌سازی و حذف.

اکانت باید مالک و دلیل داشته باشد

هر اکانت باید معلوم باشد برای چه کسی یا چه سرویسی است. اکانت‌هایی مثل test، admin2، backup-old یا temp-user اگر بدون توضیح بمانند، بعدا کسی نمی‌داند حذفشان خطر دارد یا نه. همین تردید باعث می‌شود اکانت‌های خطرناک سال‌ها زنده بمانند.

خروج نیرو باید به IT وصل باشد

وقتی همکاری از سازمان جدا می‌شود یا سمتش عوض می‌شود، غیرفعال کردن دسترسی نباید به حافظه افراد وابسته باشد. بهتر است یک فرآیند مشخص وجود داشته باشد: ایمیل، VPN، Active Directory، پنل‌های داخلی، اکانت‌های ابری، دسترسی Git، دسترسی مانیتورینگ و هر سرویس دیگری بررسی شود.

• اکانت‌های غیرفعال دوره‌ای گزارش شوند.
• کاربرانی که مدت طولانی لاگین نکرده‌اند بررسی شوند.
• دسترسی‌های بعد از تغییر سمت حذف شود.
• اکانت مشترک تا حد ممکن حذف یا محدود شود.

MFA برای همه چیز نیست، برای مهم‌ها واجب است

استفاده از MFA برای ایمیل، VPN، پنل‌های مدیریتی، سرویس‌های ابری و هر چیزی که از اینترنت قابل دسترس است باید جدی گرفته شود. نبود MFA یعنی رمز لو رفته می‌تواند مستقیم تبدیل به ورود موفق شود.

البته MFA هم باید درست مدیریت شود. روش‌های ضعیف، نبود فرآیند بازیابی امن و باقی ماندن دستگاه‌های قدیمی می‌تواند خودش دردسر بسازد.

لاگ ورود را نگاه کنیم

فقط داشتن لاگ کافی نیست. ورود از کشور یا IP غیرعادی، تلاش ناموفق زیاد، ورود خارج از ساعت کاری، تغییرات سریع روی گروه‌ها و فعال شدن اکانت قدیمی باید دیده شود. اینجا دوباره پای پایش و تحلیل لاگ وسط می‌آید.

اکانت سرویس‌ها را فراموش نکنیم

اکانت سرویس معمولا زیاد دسترسی دارد و کم بررسی می‌شود. باید رمز آن دوره‌ای و با احتیاط تغییر کند، استفاده‌اش مشخص باشد، لاگین تعاملی برایش بسته شود و دسترسی‌اش فقط به سرویس مورد نیاز محدود بماند.

جمع‌بندی عملی

فهرست اکانت‌ها، حذف اکانت‌های بی‌صاحب، MFA برای دسترسی‌های مهم، مانیتور کردن لاگین‌های غیرعادی و فرآیند خروج نیرو، پایه‌های این کنترل هستند. امنیت حساب کاربری یعنی هیچ اکانتی بدون دلیل زنده نماند.