إن مفهوم العمل “على أي جهاز ومن أي مكان” ليس جديدًا، ولكن جائحة كوفيد-19 سلطت الضوء على التحديات الأمنية للعمل عن بعد.
للعديد من المؤسسات القضية الفورية كان تمكين القوى العاملة فجأة من المنزل (كثير منهم ليس لديهم خبرة سابقة في العمل بعيدًا عن بيئة المكتب المباشرة) من البقاء على اتصال والحفاظ على إنتاجيتهم، دون المساس بأمن تكنولوجيا المعلومات.
إن التعقيد المتزايد المتمثل في توفير الوصول إلى كل من الخدمات المحلية والسحابية، بالإضافة إلى تطبيقات الهاتف المحمول الأصلية الموجودة على الجهاز أثناء عمل الموظفين في المنزل يعني أن شبكة VPN الآمنة بمفردها لم تعد قوية بما يكفي للعمليات اليومية؛ فهي بحاجة إلى استكمالها بأدوات وممارسات إضافية. (يمكن أن تكون خوادم VPN نقطة فشل واحدة على الشبكة التي تمنع الوصول عن بعد، في حين أن الحاجة إلى تثبيت عميل VPN تحد من القدرة على تبديل الأجهزة. يمكن لعملاء VPN أيضًا أن يكونوا عمليات مكثفة، مما يعني توفر ذاكرة أقل لتشغيل التطبيقات والخدمات .)
وقد سلط هذا الضوء على ضرورة قيام جميع المؤسسات بتبني نهج الثقة المعدومة وشعار “لا تثق أبدًا، تحقق دائمًا”. تعد البيانات أكبر أصول المؤسسة، وتحميها مبادئ الثقة المعدومة باستخدام إطار عمل متعدد الطبقات يتكون من البنية التحتية والشبكات والتطبيقات ونقاط النهاية وإدارة الهوية.
إدارة الهوية والوصول (IAM)
الهوية المدارة لجميع المستخدمين هي مبدأ أساسي من الثقة الصفرية، ويعد توفير تسجيل الدخول الموحد (SSO) مع المصادقة متعددة العوامل (MFA) عنصرًا بالغ الأهمية. يتطلب MFA أن يؤكد المستخدم هويته بشكل متكرر عبر كلمة مرور لمرة واحدة، أو رسائل نصية قصيرة، أو قياسات حيوية، أو تطبيق المصادقة على الجهاز، أو تطبيق التعرف على الصوت. يجب التعامل مع هذا الأمر بحساسية إذا لم تكن الهواتف الذكية للشركة متوفرة ويجب تأكيد الهوية على جهاز شخصي، وهو الأمر الذي قد يشعر بعض المستخدمين بأنه يتجاوز الحدود على الرغم من كونه ضرورة.
يضمن مفهوم ترخيص الوصول الأقل امتيازًا منح المستخدمين فقط حق الوصول إلى النظام المطلوب للقيام بعملهم؛ يضمن الوصول المنتظم ومراجعات الامتيازات وإعادة الاعتماد اتباعها لكل مستخدم. قد تكون طلبات الوصول الاستثنائية أو تسجيلات دخول رجال الإطفاء مطلوبة في بعض الأحيان للوصول إلى النظام بشكل مبالغ فيه، ولكن يجب أن يكون ذلك على أساس قصير المدى فقط.
يمكن تكوين أدوات IDAM لتنفيذ الوصول المستند إلى المخاطر أو الوصول إلى السياسات. هنا، يمكن أن يؤثر موقع المستخدم أو نقطة الوصول إلى الشبكة على ما إذا كانت متطلبات الوصول إلى النظام قد تم تخفيفها لأن المستخدم يقوم بتسجيل الدخول من شبكة مكتب آمنة، أو يحتاج إلى MFA، أو يتم حظره تمامًا، على سبيل المثال إذا كانت شبكة Wi-Fi عامة، كما هو الحال في القهوة يتم استخدام المتجر أو صالة المطار.
نقاط النهاية الأمنية
تتطلب مبادئ الثقة المعدومة أيضًا تأمين جميع نقاط النهاية والتطبيقات في جميع أنحاء المؤسسة.
يمكن أن تكون نقاط النهاية عبارة عن أجهزة مستخدم، وأجهزة إنترنت الأشياء، وأجهزة متصلة بشبكة الشركة مثل الطابعات والخوادم، وما إلى ذلك. تعد التطبيقات جزءًا أساسيًا من مكان العمل، بدءًا من تطبيقات الإنتاجية مثل البريد الإلكتروني وجداول البيانات وأدوات تسجيل الوقت ومنصات إدارة المشاريع والموارد البشرية الأنظمة، وصولاً إلى التطبيقات المتخصصة الخاصة بالصناعة (النفط والغاز والخدمات العامة، على سبيل المثال)، بالإضافة إلى تطبيقات الوسائط الاجتماعية والبث المباشر التي تستخدمها الشركات والأفراد.
تطلبت الحاجة إلى التعاون افتراضيًا أثناء العمل من المنزل من العديد من الشركات تنفيذ برامج التعاون على الأجهزة (نقاط النهاية) لأول مرة. ومع ذلك، لم يكن هذا دائمًا واضحًا؛ على سبيل المثال، كان تطبيق Zoom المستخدم على نطاق واسع التحديات الأولية مع التشفير الضعيف من طرف إلى طرف مما يزيد من خطر “Zoombombing” واحتمالية كشف بيانات المستخدم. كان مطلوبًا من CISO صياغة شروط استخدام جديدة لبرامج التعاون، التي تحمي بيانات الشركة دون المساس بالقدرات التشغيلية.
إدارة أجهزة الشركة
الأجهزة إما مملوكة للشركة أو شخصية (إحضار جهازك الخاص أو BYOD). بغض النظر عن الفئة التي تندرج ضمنها، يجب أن تحتوي جميع الأجهزة، سواء كانت سطح المكتب أو الكمبيوتر المحمول أو الكمبيوتر اللوحي أو الهاتف الذكي، على نظام تشغيل محدث وتطبيقات محدثة، وأن تتم إدارتها بشكل آمن، والحفاظ على أمان بيانات الشركة وإعدادها. بحيث يعتمد الوصول إلى النظام على الموقع.
تتطلب جميع أجهزة الكمبيوتر المكتبية والمحمولة التي تديرها الشركة تثبيت عميل VPN لضمان توجيه الوصول من شبكات wifi الخاصة أو العامة من خلال شبكة VPN آمنة للشركة، ويمكن لأدوات إدارة البرامج المركزية توزيع تحديثات نظام التشغيل وعمليات تثبيت التطبيقات وتصحيح البرامج. نظرًا لأن الأمر يتطلب فقط من المستخدم تثبيت برنامج أو تطبيق من المجال العام لإدخال فيروس أو ثغرة أمنية يمكن استغلالها من قبل جهات فاعلة سيئة، تقوم العديد من الشركات بإغلاق أجهزة سطح المكتب واستخدام الأدوات المناسبة لضمان سلامة أي تطبيقات وخدمات مثبتة. وافقت الشركة.
بالإضافة إلى شبكة VPN الآمنة، تعد إدارة الأجهزة المحمولة (MDM) ضرورية لأجهزة الكمبيوتر اللوحية والهواتف الذكية الخاصة بالشركة. يتيح ذلك للشركات تسجيل كل جهاز لمالك محدد، والتأكد من تحديث نظام التشغيل (OS)، ومنع الأجهزة غير المتوافقة من الوصول إلى تطبيقات الشركة وخدماتها، والتحكم في التطبيقات التي يمكن تثبيتها، وإضافة إصدارات التطبيقات المعتمدة إلى القائمة البيضاء ، ومسح الأجهزة إذا تم اختراقها أو سرقتها.
إدارة BYOD
يتحدى BYOD حدود مسؤولية الأعمال والمستخدم فيما يتعلق بأمان الأجهزة والوصول، حيث تعتبر حماية البيانات الحساسة التي يتم تنزيلها على الأجهزة الشخصية واحدة من أكبر المشاكل. يمكن أن يعود الأمان إلى شيء فردي مثل مدى استباقية مالك الجهاز عندما يتعلق الأمر بتثبيت تصحيحات نظام التشغيل والأمان وأحدث إصدارات التطبيقات.
سيكون لدى العديد من المؤسسات سياسة BYOD التي توثق إجراءات السلامة مثل: كيفية استخدام الأجهزة الشخصية بأمان؛ التطبيقات المحظورة؛ سياسة الوصول إلى بيانات الشركة؛ والحاجة إلى تثبيت عميل VPN الخاص بالشركة للوصول إلى الخدمات المحلية. ولكن لكي تكون آمنًا حقًا، يعد الاستثمار في حل إدارة نقاط النهاية مثل Microsoft Intune أمرًا بالغ الأهمية لإدارة جميع الأجهزة (أجهزة الكمبيوتر المكتبية والأجهزة اللوحية والهواتف الذكية وما إلى ذلك) والتأكد من تسجيلها مع مالكيها المحددين، بالإضافة إلى توفير إدارة الأجهزة عبر العقارات السحابية والهجينة.
تسمح حلول إدارة نقاط النهاية للشركات بالتحكم في جميع الأجهزة التي تصل إلى تطبيقات الشركة وخدماتها. يمكن تعيين قواعد امتثال الجهاز لضمان الالتزام بالحد الأدنى من مستويات نظام التشغيل (أو الحد الأقصى إذا لم يتم اختبار الإصدار الأخير من البرنامج)، بالإضافة إلى إصدارات تطبيقات القائمة البيضاء والقائمة السوداء اعتمادًا على ما إذا كانت مطلوبة أو محظورة. تتضمن عمليات التحقق الأخرى الحد الأدنى من إصدارات البرامج، ونشر تصحيحات الأمان، وتثبيت البرامج المطلوبة مسبقًا (مثل عميل VPN أو أدوات المراقبة التي تمنع تنزيل الملفات من الأجهزة الشخصية).
بالإضافة إلى ذلك، تسمح حلول إدارة نقاط النهاية بتصميم السياسات القائمة على المخاطر للسماح بالوصول أو منعه، أو تحدي MFA إذا لم يتم استيفاء قواعد الامتثال، أو تم طلب الوصول من موقع أقل ثقة.
عقلية انعدام الثقة
أدى الوباء وعمليات الإغلاق الناتجة إلى وضع تكنولوجيا المعلومات والأمن السيبراني في دائرة الضوء. ولكن بغض النظر عن المكان الذي يعمل فيه الأشخاص جسديًا، تواجه فرق الأمن السيبراني باستمرار تحديات جديدة، مع الانتقال إلى السحابة، والظهور المتسارع لتطبيقات الذكاء الاصطناعي والمناظر الطبيعية الهجينة الموزعة والمتزايدة التعقيد والتي تعد حاليًا جزءًا من هذا التطور. ومع أخذ هذا السياق في الاعتبار، تعد سياسات وعقليات انعدام الثقة عنصرًا حاسمًا في الحفاظ على أصول المؤسسة آمنة ومأمونة من مجموعة واسعة من المخاطر؛ ويشكل اعتمادها ممارسة تجارية جيدة ــ وبالتالي فهو أمر ضروري.
