تُتيح التطورات في الأمن السيبراني لأنظمة مراقبة التهديدات الكشف عن الأنشطة غير العادية للمُجرمين. للتغلب على هذه الأدوات المُتقدمة ، يستغل المُتسللون الآن الوضع الشرعي والقياسي وامتيازات الوصول للمُستخدمين المُصرح لهم لأغراض ضارة.
يُمكن أن يتمتع المُتسلل بوصول غير محدود إلى بياناتك دون إثارة أي دلائل عن طريق شن هجوم التذكرة الذهبية. عند القيام بذلك ، سيكون لديه عمليًا نفس حقوق الوصول مثلك. من الخطورة أن يمتلك المُهاجم مثل هذه الصلاحيات ، ألا تعتقد ذلك؟ إليك كيفية إيقافه. تحقق من ما هو أمن الملفات؟ كيف ولماذا تحتاج إلى حماية الملفات الموجودة على أجهزتك.
ما هو هجوم التذكرة الذهبية؟
في هذا السياق ، تعني التذكرة الذهبية وصولاً غير محدود. يُمكن للمُجرم الذي يحمل التذكرة التفاعل مع جميع مُكوِّنات حسابك بما في ذلك البيانات والتطبيقات والملفات وما إلى ذلك. هجوم التذكرة الذهبية هو الوصول غير المُقيِّد الذي يحصل عليه المهاجم لتهديد شبكتك. ليس هناك حد لما يُمكنه فعله.
يُمكن أن يكون هجوم التذكرة الذهبية مُدمرًا للغاية. يُمكن للمُتسلل استخدامه لسرقة البيانات أو إسقاط الأنظمة أو حتى اختراق الأنظمة الحساسة. من المُهم أن تكون على دراية بهجوم التذكرة الذهبية وأن تتخذ خطوات لحماية نفسك منه.
كيف يعمل هجوم التذكرة الذهبية؟
Active Directory (AD) هو مبادرة من Microsoft لإدارة شبكات النطاق. حيث لديه مركز توزيع مفاتيح Kerberos (KDC) ، وهو بروتوكول مُصادقة للتحقق من شرعية المُستخدمين. يقوم KDC بتأمين AD من خلال إنشاء وتوزيع تذكرة فريدة لمنح التذاكر (TGT) للمُستخدمين المُصرح لهم فقط. تمنع هذه التذكرة المُشفرة المُستخدمين من أداء الأنشطة الضارة على الشبكة وتحد من جلسة التصفح الخاصة بهم بوقت مُحدد ، لا يزيد عادة عن 10 ساعات.
عند إنشاء نطاق في AD ، تحصل على حساب KRBTGT تلقائيًا. يقوم مُرتكب هجمات التذاكر الذهبية بخرق بيانات حسابك للتعامل مع وحدة تحكم نطاق AD بالطرق التالية.
تجميع المعلومات
يبدأ المهاجم بجمع معلومات حول حسابك ، وخاصة اسم النطاق المُؤهل بالكامل (FQDN) ومُعرِّف الأمان وتجزئة كلمة السر. يُمكنه استخدام تقنيات التصيد لجمع بياناتك ، أو الأفضل من ذلك ، إصابة جهازك ببرامج ضارة والحصول على هذه التفاصيل بنفسه. قد يختار هجوم القوة الغاشمة في عملية جمع المعلومات.
تزوير التذاكر
قد يتمكن مُمثل التهديد من رؤية بيانات Active Directory عند دخوله إلى حسابك باستخدام بيانات اعتماد تسجيل الدخول الخاصة بك ، لكن لا يمكنه أداء الأنشطة في هذه المرحلة. يحتاج إلى إنشاء تذاكر شرعية لوحدة تحكم النطاق. يقوم KDC بتشفير جميع التذاكر التي يقوم بإنشائها باستخدام تجزئة كلمة سر KRBTGT الخاصة به ، لذلك يجب على المُتسلل أن يفعل الشيء نفسه إما عن طريق سرقة ملف NTDS.DIT أو شن هجوم DCSync أو الاستفادة من نقاط الضعف في نقاط النهاية.
الاحتفظ بالوصول طويل المدى
نظرًا لأنَّ الحصول على تجزئة كلمة سر KRBTGT يمنح المُتسلل وصولاً غير محدود إلى نظامك ، فإنه يستخدمه إلى أقصى حد. فهو ليس في عجلة من أمره للمغادرة ولكنه يظل يتواجد في الخلفية بدون لفت الإنتباه ، مما يعرض بياناتك للخطر. يُمكنه حتى انتحال شخصية المُستخدمين الذين يتمتعون بأعلى امتيازات الوصول دون إثارة الشكوك. تحقق من الهجمات الإلكترونية على الرعاية الصحية: كيف تحدث وما الذي يُمكنك القيام به.
طرق لمنع هجوم التذكرة الذهبية
تُعتبر هجمات التذكرة الذهبية من بين أخطر الهجمات الإلكترونية نظرًا لحرية المُتسلل في القيام بأنشطة مختلفة. يُمكنك تقليل حدوثها إلى الحد الأدنى من خلال تدابير الأمن السيبراني التالية.
1. حافظ على خصوصية بيانات اعتماد المسؤول
مثل معظم الهجمات الأخرى ، يعتمد هجوم التذكرة الذهبية على قدرة المُجرم على استرداد بيانات اعتماد الحساب الحساسة. عليك تأمين البيانات الرئيسية عن طريق الحد من عدد الأشخاص الذين يُمكنهم الوصول إليها.
توجد بيانات الاعتماد الأكثر قيمة في حسابات المستخدمين الإداريين. بصفتك مسؤول شبكة ، فأنت بحاجة إلى تقييد امتيازات الوصول الخاصة بك على أقل تقدير. يتعرض نظامك لخطر أكبر عندما يكون لدى المزيد من الأشخاص حق الوصول إلى امتيازات المسؤول.
2. تحديد ومقاومة محاولات التصيد
يُعد تقييد صلاحيات المسؤول إحدى الطرق لمنع سرقة بيانات الاعتماد. إذا قمت بحظر هذه النافذة ، فسوف يلجأ المُتسلل إلى طرق أخرى مثل هجمات التصيد الاحتيالي. يُعتبر التصيد الاحتيالي أمرًا نفسيًا أكثر منه تقنيًا ، لذلك عليك أن تكون مستعدًا ذهنيًا مُسبقًا لاكتشافه.
تعرف على سيناريوهات وتقنيات التصيد المختلفة. والأهم من ذلك ، كن حذرًا من الرسائل الواردة من الغرباء الذين يسعون للحصول على معلومات تعريف شخصية عنك أو عن حسابك. لن يطلب بعض المُجرمين بيانات اعتمادك مباشرةً ، لكنهم يرسلون إليك رسائل بريد إلكتروني أو روابط أو مرفقات مصابة. إذا كنت لا تستطيع أن تضمن أي محتوى ، فلا تفتحه.
3. تأمين Active Directory باستخدام أمان الثقة المعدومة
المعلومات المُهمة التي يحتاجها المُتسللون لتنفيذ هجمات التذكرة الذهبية موجودة في دلائل Active Directory الخاصة بك. لسوء الحظ ، قد تظهر نقاط الضعف في نقاط النهاية في أي وقت وتظل باقية قبل أن تُلاحظها. لكن وجود الثغرات لا يضر بالضرورة بنظامك. تُصبح ضارة عندما يتعرف عليها المُتسللون ويستغلونها.
لا يُمكنك أن تضمن عدم انغماس المُستخدمين في الأنشطة التي من شأنها أن تُعرض بياناتك للخطر. قم بتنفيذ أمان الثقة المعدومة لإدارة المخاطر الأمنية للأشخاص الذين يزورون شبكتك بغض النظر عن صلاحياتهم أو حالتهم. اعتبر كل شخص تهديدًا لأنَّ أفعاله يمكن أن تعرض بياناتك للخطر. تحقق من ما هو أمان المعرفة المعدومة ولماذا هو مُهم اليوم؟
4. تغيير كلمة سر حساب KRBTGT الخاص بك بانتظام
كلمة سر حساب KRBTGT هي تذكرة المهاجم الذهبية لشبكتك. يُؤدي تأمين كلمة السر إلى إنشاء حاجز بينها وبين حسابك. لنفترض أنَّ مجرمًا قد دخل بالفعل إلى نظامك بعد استرداد تجزئة كلمة السر. تعتمد المدة الافتراضية لمُكوثه على صلاحية كلمة السر. إذا قمت بتغييرها ، فلن يتمكن من العمل.
هناك ميل لأن تكون غير مُدرك لوجود مهاجم التذكرة الذهبية في نظامك. كرس عادة تغيير عبارة مرورك بانتظام حتى في حالة عدم الشك في حدوث هجوم. يلغي هذا الإجراء المنفرد امتيازات الوصول للمستخدمين غير المصرح لهم الذين لديهم بالفعل حق الوصول إلى حسابك.
تنصح Microsoft المستخدمين على وجه التحديد بتغيير كلمات سر حساباتهم في KRBTGT بانتظام لدرء المجرمين الذين لديهم وصول غير مُصرح به. تحقق من كيفية الوصول بأمان إلى جهاز توجيه Wi-Fi الخاص بك من أي مكان.
5. اعتماد مُراقبة التهديد البشري
يعد البحث النشط عن التهديدات في نظامك أحد أكثر الطرق فعالية لاكتشاف واحتواء هجمات التذكرة الذهبية. هذه الهجمات غير غازية وتعمل في الخلفية ، لذلك قد لا تكون على دراية بوجود خرق لأنَّ الأشياء قد تبدو طبيعية على السطح.
يكمن نجاح هجمات التذكرة الذهبية في قدرة المجرم على التصرف كمستخدم مرخص له ، والاستفادة من امتياز الوصول الخاص به. هذا يعني أن أجهزة مراقبة التهديدات التلقائية قد لا تكتشف أنشطته لأنها ليست غير عادية. أنت بحاجة إلى مهارات مراقبة التهديدات البشرية لاكتشافها. وذلك لأن البشر لديهم الحاسة السادسة لتحديد الأنشطة المشبوهة حتى عندما يدَّعي الدخيل أنه كيان شرعي. تحقق من ما هي آلية التحدي ومُصادقة الاستجابة (CRAM) ولماذا هي مهمة؟
تأمين تفاصيل الاعتماد الحساسة ضد هجمات التذكرة الذهبية
لن يتمكن مُجرمو الإنترنت من الوصول غير المحدود إلى حسابك في هجوم تذكرة ذهبية دون ثغرات من جانبك. بقدر ما تظهر ثغرات أمنية غير مُتوقعة ، يُمكنك وضع تدابير للتخفيف منها في وقت مُبكر.
إن تأمين بيانات الاعتماد الأساسية ، وخاصة تجزئة كلمة سر حساب KRBTGT ، يترك المُتسللين بخيارات محدودة للغاية لاختراق حسابك. يمكنك التحكم في شبكتك بشكل افتراضي. يعتمد المهاجم على إهمالك الأمني من أجل تمكنه من الازدهار. لا تمنحه الفرصة. يُمكنك الإطلاع الآن على إرشادات السلامة المُستندة إلى السلوك التي يجب عليك اتباعها للبقاء آمنًا على الإنترنت.
