Best Practices for MFA Implementation

Recommendation: Security Tips for Azure MFA Implementation

26/10/2020
CVE
חשיבות
None
None
מושפעים מרכזיים
Microsoft Azure AD

המלצה:

השבוע הוא שבוע הסייבר הלאומי. המוטו המרכזי השבוע הוא השימוש באימות דו / רב שלבי.
לפיכך, ערכנו עבורכם המלצות לשילוב אימות דו/רב שלבי (2FA/MFA) בסביבת ה- Azure שלכם, באופן המאובטח ביותר!

מידע כללי והרחבות:

ארגונים רבים הצורכי את שירותי ה- Azure AD כספק הזהויות שלהם בענן (Cloud Identity Provider), מגנים על הזהויות שלהם בסביבת הענן ע"י שימוש בתוסף ה- MFA (Multi Factor Authentication).
רבים מהארגונים לא יודעים שכאשר מפעילים את יכולת ההגנה ההכרחית והסופר חשובה הזו, ישנם מקומות חולשה שאותם תוקף יוכל לממש. שימוש בפעולות יחסית בסיסיות, ישיגו עבורו גישה לזהות ארגונית. מכאן, בהתחברות פשוטה ע"י פרטי המשתמש בלבד וללא אימות דו/רב שלבי אשר הוחל על המשתמש באופן "אגרסיבי" הוא בתוך המערכות שלכם. על מנת להימנע מסיטואציות אלה, יש לבצע הפעלה מאובטחת של שירות אימות דו/רב שלבי.

להלן שלבי הפעולה והדגשים האבטחתיים במהלך מימוש MFA ב- Azure AD:

1. מיפוי המשתמשים – נתחו את קבוצת המשתמשים שעליהם יכולת ה-MFA עלולה להשפיע. הפרידו בין משתמשי הקצה ומשתמשי שירותים (Service Accounts) אשר פועלים בסביבה ללא שיוך אנושי.

2. מימוש היכולת למשתמשים חזקים – לאחר שביצענו מיפוי לקבוצות המשתמשים, נכיל אימות רב שלבי קודם כל על משתמשים חזקים / אדמיניסטרטיביים. אלה המשתמשים הרגישים ביותר ולכן מהווים מטרת תקיפה אידיאלית לכל סוגי התוקפים. החלת האימות הרב שלבי מפחית בצורה ניכרת את היכולת לגניבת זהותם.

3. מימוש היכולת לשאר משתמשי הסביבה – רק לאחר שווידאנו את הכלת האימות הדו / רב שלבי על משתמשים אדמיניסטרטיביים, יש לעבור לשאר המשתמשים בארגון. שימו לב שביצוע פעולה זו יכולה להשפיע על המשתמשים ולכן מומלץ מאוד לבצע הדרכה מוסדרת למשתמשי הקצה טרם מימוש היכולת.

4. חסימת Legacy Protocols – לאחר החלת יכולת ה-MFA על משתמשי הארגון, עלינו לחסום חלופות התחברות. על מנת להימנע מעקיפת הצורך באימות דו/רב שלבי, עלינו להפעיל חוקה ברמת conditional Access. חוקה זו תימנע התחברות של דפדפנים וכלים נוספים אשר עדיין תומכים ביכולות התחברות ישנות, מה שנקרא בעגה המקצועית - legacy Protocols או Legacy Authentication.
כך זה יראה:

MFA

5. מימוש חוקת MFA עבור כלל ה-Domain – לאחר מימוש חובת האימות הדו/ רב שלבית על כלל משתמשי הארגון, ביצענו הדרכות מתאימות וחסמנו גישה בLegacy Protocols אל מול הAzure AD, עלינו לבצע פעולה נוספת אשר מבטיחה לנו שמשתמשים חדשים אשר יוקמו בעתיד בDomain שלנו, יקבלו באופן אוטומטי את הדרישה לשימוש ב-MFA. גם כאן, יש להגדיר בחוקת ה-Conditional Access ברמת ה-Azure AD את יכולת הRequire MFA for all users כפי שנראה להלן:

MFA3
ע"י שפעול היכולת, אנו יכולים להבטיח שמשתמשים חדשים אשר ייווצרו בעתיד תחת ה-Domain, יידרשו באופן אוטומטי לענות לדרישה של הארגון בשימוש בMFA לצורך הזדהות לסביבה.

לסיכום,
הפעולות לעיל מתארות תהליך מבוקר ומאובטח של מימוש בקרת אימות דו/רב שלבי בארגון.
כפי שניתן לשים לב, התהליך הוא די ברור ועדיין, לכל ארגון יש את המורכבות שלו ולעיתים נדרש לממש עבורו את כלי ההגנה המרובים בדרכים יצירתיות שונות ומגוונות.

חשוב להדגיש - הכלת MFA בסביבת ענן הינה קריטית ביותר! עפ"י מחקרים שונים, הכלת MFA מפחיתה בלמעלה מ-80% את יכולת גניבת הזהויות. בסביבות ענן, זהו וקטור תקיפה שכיח מאוד.
מימוש MFA למשתמשי הארגון הוא מהבקרות הגנה הראשונות ליישום בסביבת ענן. מומלץ ליישמה לפני שבוחרים כלי הגנה מורכבים (ואף יקרים) יותר.

מקור פרסום החולשה:

Microsoft Azure AD
נכתב ע״י Shlomi Halif

Security Engineer

פוסטים נוספים

12/04/2021
Privilege escalation vulnerability in Azure Function

בעזרת מניפולציות בסיסיות ושימוש בכלים סטנדרטיים המורשים לכל חשבון בעל הרשאות נמוכות
(non-privileged accounts) במערכת ההפעלה, ניתן לבצע הזרקה של תוכן זדוני אשר יכול להשפיע באופן נרחב על ה-Docker כולו, וכל זאת ללא ידיעת מנהלי האבטחה בארגון.

30/03/2021
GDPR UNSECURE IMPLEMENTATION

GDPR (General Data Protection Regulation) הינה רגולציית ההגנה על הפרטיות של האיחוד האירופאי, המחייבת ארגונים להגן על מידע אישי שברשותם. במאמר זה נתרכז בבקרה המחייבת חברה לאפשר לאזרח (נשוא המידע) לאחזר את כל המידע שהיא מאחסנת עליו. ובשפת התקן – DSAR (Data Subject Access Request) ועל חולשות שהתגלו בתהליך זה.

08/03/2021
HAFNIUM targeting Exchange servers with Zero-day exploits

מתקפה ושימוש בפרצות אלו מיוחסים על ידי מייקרוסופט ברמת ודאות גבוהה מאוד לקבוצת HAFNIUM (קבוצת ריגול סינית אשר נהגה לתקוף ארגונים בארצות הברית כגון מוסדות השכלה גבוהה, משרדי עורכי דין ועוד).

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram