Thursday, 8 February 2018

Emergence of Massive Security Loophole as Incredible 96% of Survey Respondents Acknowledge Concern Over Dormant Accounts

Telecommunications Regulation Authority in UAE foiled over 600 cyberattacks in first ten months of 2017

Dubai, UAE, 8 February, 2018 —One Identity, a Quest Software business specializing in Identity and Access Management (IAM), released startling findings on corporate security and key strategies to combat the situation. A survey commissioned by One Identity and administered to over 900 IT Security professionals revealed that dormant/former employee accounts, and unchecked privileged access are some of the easiest ways hackers gain access to corporate networks, systems, and data.

Typically, bad actors gain access to corporate systems (the network or a specific application) by hacking legitimate credentials that have been obtained nefariously. These nefarious acts include, cracking a password through social engineering or phishing, or gaining access through a dormant account such as that of a former employee. Whichever method is used, the bad-actor will engage in a series of lateral movements and rights escalation activities to gain the ‘crown jewels’ of access– the all-powerful, shared administrative account.

Cyber security is a much discussed topic amongst all organizations regardless of whether they are government, public, or private. Unauthorized access leads to the theft of sensitive data which can derail companies and do much worse to governments. According to PwC’s ‘Middle East Information Security Survey 2016: A false sense of security?’, companies in the Middle East suffered larger losses than those in other regions in both monetary and working days during the year. Additionally, the UAE’s Telecommunication Regulations Authority’s Computer Emergency Readiness Team foiled over 600 cyberattacks in the first ten months of 2017 in the UAE.

Recent research by One Identity indicates that the problem of dormant accounts are much more widespread than previously thought. Survey respondents (consisting of over 900 IT security professionals from across the world) overwhelmingly (96%) stated that dormant accounts are a concern, but only 19% of respondents have tools in place to help locate the accounts. Additionally, 84% admitted to taking a month or more to proactively discover dormant accounts and 64% are not completely confident that they know what dormant accounts exist. It is a recipe for a security disaster. No matter what efforts go into protecting against phishing and social engineering back-doors, if dormant accounts remain available, the risk is too high.

Locating and eliminating dormant accounts will significantly reduce security risks. But the practice is often difficult because of the way companies handle provisioning and deprovisioning. To mitigate security involved in the proliferation of dormant accounts, companies should place the line-of-business leaders in charge of setting up and terminating accounts, as these individuals know best what is appropriate and inappropriate. They also have the most to lose if it is not done correctly.

When IT (as opposed to the line of business) is tasked with managing employee access, they typically lack the context of what is and is not appropriate and are not accountable to attest to the accuracy and appropriateness of that access. Therefore, even with the best intentions, IT often “over-provisions” users or bases permissions on those of other users, which may or may not be appropriate.

Another method that companies should employ is to automate and unify processes. When a single action, initiated by an authoritative data-source (such as an HR system) fully sets up a user’s rights (provisioning) and fully terminates those rights when they are no longer needed (deprovisioning), dormant accounts quickly becomes the exception, not the rule.

This utopian approach where the line-of-business is equipped to request, assign, manage, and terminate user rights is achievable, although generally requires a shift from traditional, IT-centered approaches to a more business-focused strategy. It is vital to ensure that the underlying technologies support the shift. In other words, the legacy tactics of provisioning and deprovisioning by email, phone call, spreadsheet, and work-ticket is simply insufficient and ineffective.

Another effective way to minimize the impact of bad actors is to manage and monitor access to the many administrative accounts that exist in an enterprise. Nothing discourages a bad actor more than making it impossible for them to gain access to the privileges and systems they desire. This principle of privileged access management eliminates the sharing of administrative credentials and assigns individual accountability to their use. When combined with effective provisioning/deprovisioning security is dramatically improved.

The same research that revealed the challenges of dormant accounts also provided some useful insight into the need for effective privileged access management. For instance, only 14% of security professionals use tools designed to manage the distribution and lifecycle of administrative access credentials while more than half of the respondents reported an inability to monitor all activity performed with administrative access and another 88% admitted to facing challenges in effectively managing privileged passwords. Perhaps the most alarming (and the best news for bad-actors) is that 86% do not change administrative passwords after each use and 40% continue to use default admin passwords.

There are strategies to remedy this situation. Some of the key strategies include never using a default password or at the very minimum changing the password when new installations or updates are made to the system. It is also important that passwords should not be shared as research has shown that the root of critical security issues is due to many administrators sharing passwords required for their jobs. This removes individual accountability and opens the door to former employees gaining inappropriate access.

Additionally, changing the admin password after each use and using a ‘vaulting’ technology that stores and distributes the passwords automatically changes them after each use is also effective at closing security gaps. Further, carrying out regular preventative and forensic audits of administrator activity significantly reduces risk.

Finally, a key strategy is delegation. Most of the administrative activity required for day-to-day operations is relatively harmless, but is performed with the same permissions and credentials that can wreak havoc if it falls into the wrong hands. Technologies exist to enforce a ‘least privilege’ access model where individual administrators are issued just enough permission to do their daily jobs, but not enough to do damage. If they need additional permissions these can be checked out from the vault and audited for appropriate use.

Unfortunately, the world has shifted from ‘will I be hacked?’ to ‘when will I be hacked?’ But with effective methodologies such as a dual strategy of closing easy front doors in the form of dormant accounts, and removing highly-dangerous security vulnerabilities like unchecked privileged account access, this malice can be countered. In implementing security strategies, the company not only becomes an unattractive target but also minimizes the damage if and when an incident occurs.

استطلاع: 96% يؤكدون خطورة الحسابات الخاملة للموظفين السابقين على امن الشركات والبيانات

هيئة تنظيم الاتصالات في الإمارات تحبط أكثر من 600 هجوم إلكتروني في الأشهر العشرة الأولى من عام 2017

(دبي، 8 فبراير 2018) - أصدرت شركة "ون ايدنتيتي"، وهي شركة بحث في البرمجيات المتخصصة في إدارة الهوية والدخول (أي ايه ام)، نتائج مذهلة حول أمن الشركات والاستراتيجيات الرئيسية لمكافحة المشاكل الامنية. فكشفت دراسة استقصائية قامت بها "ون ايدنتيتي" شارك فيها أكثر من 900 من المتخصصين في أمن تكنولوجيا المعلومات، أن حسابات الموظفين غير الفعالة والسابقة وطرق الدخول العشوائي وغير المقيد المميز غير المقيد هي بعض أسهل الطرق التي يستخدمها قراصنة الانترنت للوصول إلى شبكات الشركات والأنظمة والبيانات.

عادة، تستطيع الجهات المقرصنة الوصول إلى أنظمة الشركات (سواء الشبكات او التطبيقات) عن طريق القرصنة وثائق التفويض المشروعة التي تم الحصول عليها بصعوبة. وتشمل هذه الأفعال الشائنة، سرقة كلمة السر من خلال الهندسة الاجتماعية أو التصيد، أو الحصول على طرق الدخول للشبكات من خلال الحسابات غير الفعالة مثل الخاصة بالموظفين السابقين. وأيا كانت الطريقة المستخدمة، فإن مقرصن الشبكة سيشارك في سلسلة من الحركات الجانبية وأنشطة تصعيد الحقوق للحصول على اهم الحسابات ومعلومات الوصول لكل الحسابات الإدارية.

يعتبر الأمن الإلكتروني موضوع ذا أهمية كبيرة وتتم مناقشته كثيرا بين جميع المنظمات بغض النظر عما إذا كانت حكومية او خاصة، فالدخول غير المصرح به الى أنظمة الشبكات يؤدي إلى سرقة البيانات الحساسة التي يمكن أن تعرقل اعمال الشركات وتضع اعمال وامن الحكومات بمواقف صعبة. ووفقا لتقرير شركة "بي دبليوسي": "مسح أمن المعلومات في الشرق الأوسط 2016: إحساس زائف بالأمن؟" عانت الشركات في الشرق الأوسط من خسائر أكبر من تلك الموجودة في مناطق أخرى من العالم في الأيام المالية وايام العمل خلال العام. بالإضافة إلى ذلك، أحبط فريق الاستعداد لحالات الطوارئ في هيئة تنظيم الاتصالات في دولة الإمارات أكثر من 600 هجوم إلكتروني خلال الأشهر العشرة الأولى من عام 2017.

وتشير البحوث الأخيرة التي أجرتها "ون ايدنتيتي" إلى أن مشكلة الحسابات غير الفاعلة هي أكثر انتشارا مما كان يعتقد سابقا. وقد أفاد المشاركون في الاستطلاع (وهم أكثر من 900 متخصص في مجال أمن تكنولوجيا المعلومات من جميع أنحاء العالم) بأغلبية ساحقة تصل الى (96٪) أن الحسابات الخاملة تعتبر مصدرا للقلق، بالمقابل اكد 19٪ فقط من المشاركين ان لديهم أدوات تساعد في تحديد موقع الحسابات. إضافة الى ذلك، اشار 84٪ انهم يحتاجون لمدة شهر أو أكثر لاكتشاف الحسابات بشكل استباقي، بينما قال 64٪ انهم ليسوا واثقين تماما من الحسابات الخاملة في شركاتهم، وهو ما يعتبر كارثة امنية. فبغض النظر عن الجهود المبذولة لحماية أنظمة الشركات ضد حركات التصيد ومحاولات اقتحامها من خلال الهندسة الاجتماعية، فان الخطر الأمني عال جدا إذا ما ظلت الحسابات الخاملة متاحة.

تحديد مواقع الحسابات الخاملة والقضاء عليها سوف يقلل بشكل كبير من المخاطر الأمنية، ولكن هذه الممارسة غالبا ما تكون صعبة بسبب الطريقة التي تتعامل بها الشركات فيما يخص تفعيل وإلغاء الحسابات. وللتخفيف من حدة الخطورة التي تسببها الحسابات الخاملة، يفضل ان تعين الشركات أشخاصا مسؤولين عن إعداد الحسابات وإنهائها، حيث بإمكانهم معرفة ما هو ملائم وغير ملائم من الحسابات للشركة، وتكون لديهم القدرة لإيقاف عمل أي حساب إذا لم يتم التعامل معه بشكل صحيح.

وعندما تكون مهمة قسم تكنولوجيا المعلومات مكلفة بإدارة دخول الموظفين لحساباتهم، فإنها تفتقر عادة إلى تحديد سياق ما هو ملائم وغير ملائم، وليست مسؤولة عن إثبات دقة ومدى ملائمة عمليات الدخول. لذلك، وحتى مع أفضل النوايا، يعمد قسم تكنولوجيا المعلومات في كثير من الأحيان الى الافراط في اعتماد تصاريح دخول المستخدمين أو إعطاء الأذونات للمستخدمين الآخرين، والتي قد تكون أو لا تكون مناسبة.

وهناك طريقة أخرى يتعين على الشركات توظيفها وهي أتمتة العمليات وتوحيدها. فعندما يتم إجراء أية حركة على البيانات من مصدر موثوق (مثل نظام الموارد البشرية) يكون للمستخدم حقوقا لاستخدام البيانات تنتهي فور انتهاء حاجته للبيانات، مثلا عندما يصبح الحساب خاملا، فبذلك تضمن الشركة استثناء الحسابات الخاملة من إمكانية الدخول للبيانات.

وهذا النهج المثالي الذي يكون فيه خط الأعمال مجهزا لطلب حقوق المستخدمين وتعيينها وإدارتها وإنهائها أمر قابل للتحقيق، على الرغم من أنه يتطلب عموما تحولا من النهج التقليدية التي تركز على تكنولوجيا المعلومات إلى استراتيجية تركز على الأعمال. ومن الحيوي ضمان أن تدعم التكنولوجيات الأساسية هذا التحول. وبعبارة أخرى، فإن التقنيات القديمة لتوفير الخدمات وإلغاء توفيرها عن طريق البريد الإلكتروني والمكالمة الهاتفية وجدول البيانات وتذكرة العمل هي ببساطة غير كافية وغير فعالة.

وهناك طريقة فعالة أخرى للتقليل من اثر الجهات الفاعلة السيئة إلى أدنى حد، وهي إدارة ورصد الدخول الى البيانات والحسابات الإدارية الموجودة في المؤسسة. فلا شيء يثبط محاولات اقتحام البيانات أكثر من حمايتها بحيث يصبح من المستحيل الوصول إلى امتيازاتها وباقي أنظمة المؤسسة. وهذا المبدأ المتمثل في إدارة امتياز الوصول يلغي مشاركة وثائق التفويض الإدارية ويعين حسابات فردية لاستخدامها، وذلك عند دمجها مع حسابات فعالة توفر الأمن وتحسن الاداء بشكل كبير.

كما بينت نفس البحوث التي كشفت عن تحديات الحسابات الخاملة بعض المعلومات المفيدة عن الحاجة إلى إدارة دخول متميزة وفعالة. على سبيل المثال، يستخدم 14٪ فقط من العاملين في مجال الأمن أدوات مصممة لإدارة توزيع ودورة حياة وثائق اعتماد الوصول الإداري، في حين أفاد أكثر من نصف المستجيبين بعدم القدرة على مراقبة جميع الأنشطة التي تم تنفيذها مع الدخول الإداري، واعترف 88٪ بمواجهة تحديات بشكل فعال لإدارة كلمات المرور المميزة. ولعل الأكثر إثارة للقلق (ومن افضل الاخبار للمقرصنين) هو أن 86٪ من المستطلعة ارائهم لا يغيرون كلمات المرور الإدارية بعد كل استخدام بينما يستمر 40٪ من المستطلعين في استخدام كلمات المرور الافتراضية التي وضعها لهم مسؤول تكنولوجيا المعلومات. 

وهناك استراتيجيات لمعالجة هذا الوضع، فبعض الاستراتيجيات الرئيسية تشمل عدم استخدام كلمات مرور افتراضية ابدا أو في الحد الأدنى تغيير كلمة المرور عند إجراء عمليات تثبيت جديدة أو تحديثات للنظام. ومن المهم أيضا عدم مشاركة كلمات المرور مع الآخرين، حيث أظهرت الأبحاث أن جذر المشاكل الأمنية الحرجة يرجع إلى مشاركة الموظفين الاداريين لكلمات المرور المطلوبة لوظائفهم. وهذا يزيل المسائلة الفردية ويفتح الباب أمام الموظفين السابقين للحصول على فرص لدخول أنظمة العمل بصورة غير ملائمة.بالإضافة إلى ذلك، يعتبر تغيير كلمة مرور الاداري بعد كل استخدام واستخدام تقنية "تغيير كلمات المرور التلقائية" التي تخزن وتوزع كلمات المرور تلقائيا للمستخدمين بعد كل استخدام، حيث تعتبر هذه الاستراتيجية فعالة أيضا في سد الثغرات الأمنية. وعلاوة على ذلك، فإن إجراء عمليات تدقيق وقائية وشرعية منتظمة لحساب المدير يقلل بدرجة كبيرة من المخاطر. وأخيرا، هناك استراتيجية رئيسية وهي التفويض. فبالعموم يعتبر معظم النشاط الإداري للعمليات اليومية يعتبر غير ضار نسبيا، ولكن يتم تنفيذها بنفس أذونات ووثائق التفويض التي يمكن أن تعيث فسادا إذا وقعت في الأيدي الخطأ. لذا توجد تكنولوجيات خاصة لتطبيق نموذج الدخول "الأقل امتيازا"، فيكون للموظفين والاداريين اذونات خاصة للقيام بوظائفهم اليومية، الا انها لا تعطيهم الحق للتعدي او التسبب باية اضرار، وإذا ما كانوا بحاجة إلى أذونات إضافية خلال عملهم، يمكن سحبها بعد تدقيقها وتحديد الاستخدام المناسب. لسوء الحظ، تحول تساؤل العالم "هل سيتم اختراق بياناتي؟" إلى "متى سيتم اختراق بياناتي؟" ولكن مع منهجيات فعالة مثل استراتيجية مزدوجة لتأمين البيانات واغلاق جميع المنافذ امام المقرصنين، مثل الحسابات الخاملة، وإزالة الثغرات الأمنية عالية الخطورة مثل إعطاء امتيازات الدخول الى الحسابات المميزة. فعند تنفيذ استراتيجيات الأمن هذه، ستبتعد الشركة عن دائرة خطر الاختراق وستقلل من اضراره ان حدث.