مرکز خدمات سازمانی -Service Desk-، نقطه ورود تازه مهاجمان سایبری

مرکز خدمات محیط پیرامونی جدید است

مهاجمان قفل‌ها را باز نمی‌کنند — آن‌ها افراد را انتخاب می‌کنند. سریع‌ترین راه نفوذ به بسیاری از سازمان‌ها همچنان Service Desk است.
گروه‌های تهدید مثل Scattered Spider مهندسی اجتماعی را به یک علم تبدیل کرده‌اند و نمایندگان Help Desk هدف اصلی آن‌ها هستند.

یک تماس تلفنی قانع‌کننده می‌تواند یک ریست پسورد عادی را به دسترسی کامل دامنه تبدیل کند.

رخدادهای MGM Resorts و Clorox نشان دادند که یک تماس مهندسی اجتماعی موفق چطور می‌تواند خسارت‌های ویرانگر به همراه داشته باشد — تأثیر مالی ۹ رقمی و هفته‌ها اختلال.

این یک اتفاق تصادفی نبود؛ این همان playbook است.

آکادمی لیان

آموزش کمک می‌کند، اما کنترل‌ها تعیین‌کننده هستند

بله، آموزش نمایندگان اهمیت دارد. نه، به تنهایی شما را نجات نخواهد داد. مهندسان اجتماعی متخصص در سوءاستفاده از انسان‌های مفید تحت فشار زمانی هستند.

اسکریپت‌ها، «Common Sense» و سوالات چالش‌برانگیز موقتی زمانی از کار می‌افتند که مهاجم آرام، آماده و متقاعدکننده باشد.

اگر آخرین خط دفاعی شما یک نماینده خسته باشد که مجبور است تصمیم پرخطر امنیتی بگیرد، شما از قبل بازنده‌اید.

نتیجه: تأیید هویت کاربر باید یک workflow متعلق به امنیت باشد، نه یک مکالمه متعلق به نماینده.

رویکرد Workflow برای تأیید هویت کاربران در Help Desk

تأیید هویت را از ذهن نماینده خارج کنید و وارد یک workflow رسمی امنیت IT کنید که یکپارچه، لاگ‌گذاری‌شده و اجباری باشد:

  • کنترل‌های اجباری: نمایندگان هرگز با Credentialها سروکار ندارند یا آن‌ها را نمی‌بینند. این وظیفه Workflow است.
  • تأیید هویت مبتنی بر نقش: عمق بررسی‌ها را متناسب با ریسک نقش (مدیران، ادمین‌ها، مالی، پیمانکاران و غیره) تنظیم کنید. نقش‌های پرریسک نیازمند اثبات‌های قوی‌تر هستند.
  • انعطاف‌پذیری امتیازمحور: زندگی واقعی رخ می‌دهد — گوشی‌ها خراب می‌شوند، سفرها MFA را مختل می‌کنند. از چندین نوع اثبات با سیستم امتیازدهی استفاده کنید که به یک آستانه Pass/Fail ختم می‌شود.
  • یکپارچگی با ITSM: نماینده در همان ابزار معمول خود (مثل ServiceNow) باقی می‌ماند. تیکت‌ها به‌صورت خودکار جریان تأیید را راه‌اندازی می‌کنند و نتیجه + تلمتری به تیکت بازگردانده می‌شود.
  • کاهش استرس و خطای نماینده: یک Workflow رسمی بار تصمیم‌گیری‌های پرخطر امنیتی را از دوش نمایندگان برمی‌دارد. این کار باعث پردازش سریع‌تر، یکپارچه‌تر و با استرس کمتر تیکت‌ها می‌شود. این فقط امنیت بهتر نیست؛ بلکه خدمت‌رسانی بهتر هم هست.

الگوی «خوب» چه شکلی است (پروفایل‌های همسو با NIST)

بیشتر مشتریان ما با سه پروفایل تأیید هویت شروع می‌کنند که بر اساس ریسک کاربر و عوامل در دسترس طراحی شده است. نمونه می‌تواند این‌طور باشد:

Profile 1 (کاربر استاندارد – Low Assurance): برای درخواست‌های عادی مثل ریست پسورد یک کارمند معمولی.

  • روش: Push notification به اپ احراز هویت شرکتی ثبت‌شده (Okta Verify، MS Authenticator). سریع، آشنا و مبتنی بر زیرساخت موجود.

Profile 2 (کاربر با دسترسی ویژه / اقدام حساس – High Assurance): برای ادمین‌های دامنه، مدیران مالی یا هر کسی که درخواست تغییر حساس دارد.

  • روش: نیازمند دو عامل متمایز. برای مثال: Push notification موفق در اپ احراز هویت
    و
    یک کد یک‌بار مصرف ارسال‌شده به ایمیل شرکتی ثبت‌شده.
    یا پاسخ به یک سوال مبتنی بر ویژگی غیرعمومی از سیستم HRIS (مثل: «شماره کارمندی شما چیست؟»).

Profile 3 (شرایط اضطراری / شکست MFA – Flexible Assurance): زمانی که کاربر دستگاه MFA اصلی خود را از دست داده باشد.

  • روش: کاربر باید ۱۰۰ امتیاز از منوی گزینه‌ها کسب کند تا قفل نشود:
    • کد یک‌بار مصرف به ایمیل شخصی ثبت‌شده: (۵۰ امتیاز)
    • کد یک‌بار مصرف به شماره تلفن شخصی ثبت‌شده: (۵۰ امتیاز)
    • تأیید شماره سریال دستگاه از MDM: (۶۰ امتیاز)
    • پاسخ به سوال مبتنی بر ویژگی غیرعمومی از HRIS (مثلاً شماره کارمندی): (۵۰ امتیاز)

نکته: اگر MFA به‌طور عمومی در دسترس نیست، داده‌های تأییدشده سازمانی (ویژگی‌های HRIS/IDP، وضعیت دستگاه، سیگنال‌های جغرافیایی/رفتاری) را به سوالات شخصی و قابل حدس ترجیح دهید. یک لیست کوتاه و بررسی‌شده نگه دارید و هر سوالی که لو می‌رود یا در رخنه‌ها ظاهر می‌شود را حذف کنید.

حملات را زود تشخیص دهید، همه‌چیز را مستند کنید

وقتی تأیید هویت در داخل workflow انجام شود، نتایج امنیتی را به‌طور «رایگان» به دست می‌آورید. این‌ها برخی از مزایای اضافی هستند که مشتریان ما تجربه کرده‌اند:

  • هشدار اولیه: افزایش ناگهانی در شکست‌های تأیید برای یک کاربر یا نقش مشابه، مثل دود قبل از آتش است — به‌طور خودکار به SecOps هشدار می‌دهد. هشدار خودکار علیه حساب‌های مشکوک یا کاربری که در زمان کوتاه چند بار تماس می‌گیرد.
  • ردیابی (Audit trail): هر تلاش، فاکتور، امتیاز و نتیجه روی تیکت ثبت می‌شود.
  • انطباق (Compliance): گزارش‌دهی خودکار نشان می‌دهد که کنترل‌های ثابت در کل Desk اعمال شده‌اند.

برنامه استقرار بدون شکستن Desk

هر سازمان اصول پروژه مخصوص به خود را دارد اما این ویژگی‌های مشترک هستند:

  • فهرست عوامل + شکاف‌ها: کدام کاربران MFA دارند؟ کدام ندارند؟ چه داده‌های امنی برای بررسی‌های دانش (Knowledge checks) مناسب است؟
  • تعریف ۳ پروفایل: نگاشت به نقش‌های کم/متوسط/پرخطر؛ تعیین آستانه قبولی در ۱۰۰.
  • یکپارچه‌سازی با ITSM: جریان را از روی تیکت (مثل ServiceNow) با ID کاربر + دسته‌بندی آغاز کنید؛ نتایج و تلمتری را بازگردانید.
  • آموزش برای فرایند، نه متقاعدسازی: نمایندگان یک چیز یاد می‌گیرند — دنبال کردن Workflow.
  • اندازه‌گیری و تنظیم: نرخ شکست، زمان تا حل، Escalationها و ردهای اشتباه را ردیابی کنید. امتیازدهی و سوالات را هر فصل تنظیم کنید.

نکته‌ای درباره ابزارهای ما

FastPass Identity Verification Manager (IVM) این مدل را پیاده‌سازی می‌کند: تأیید اجباری، مبتنی بر نقش و امتیازمحور که به‌شدت با ITSM یکپارچه است.

این ابزار بررسی‌ها را متمرکز می‌کند، سیاست‌ها را enforce می‌کند و نتایج + زمینه را برای هشدار، ممیزی و انطباق به تیکت بازمی‌گرداند.

اگر با تاکتیک‌های Scattered Spider روبه‌رو هستید، این همان ریل ایمنی است که آن‌ها را در اولین گام متوقف می‌کند.

FastPassCorp به چندین سازمان بزرگ در پیاده‌سازی یک Workflow امن برای کاربران کمک کرده و تجربه برتری در این حوزه به دست آورده که در راهنماها و ویدیوهای موجود مستند شده است.

نتیجه‌گیری

شما مهندسی اجتماعی را با پوسترهای زیباتر و اسکریپت‌های طولانی‌تر شکست نمی‌دهید.
شما آن را با حذف قضاوت شخصی، افزایش اثبات و ابزارسازی Workflow که مهاجم قصد سوءاستفاده از آن را دارد شکست می‌دهید.

اگر این کار را انجام دهید، Service Desk از یک هدف نرم به یک کنترل واقعی تبدیل می‌شود.

نگران Scattered Spider هستید؟

اگر می‌خواهید بدانید چگونه می‌توانید Service Desk و نمایندگان خود را در برابر Scattered Spider یا دیگر حملات مهندسی اجتماعی محافظت کنید،
به ویدیوها و راهنماهای ما برای پیاده‌سازی یک Workflow امن برای تأیید کاربران نگاه کنید یا برای بررسی وضعیت خودتان با ما تماس بگیرید.

آکادمی لیان

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا