وفي المشهد الرقمي اليوم، انهار المحيط الأمني التقليدي، مما جعل الهوية خط المواجهة الجديد للدفاع. مع تزايد اعتماد المؤسسات للخدمات السحابية ونماذج العمل عن بعد، أصبحت إدارة الهويات وتأمينها أمرًا بالغ الأهمية. فعال إدارة الهوية والوصول تعد ممارسات (IAM) ضرورية لأقسام تكنولوجيا المعلومات للحماية من الهجمات الإلكترونية ومحاولات التصيد الاحتيالي وتهديدات برامج الفدية. من خلال تنفيذ إستراتيجيات IAM القوية، يمكن للمؤسسات ضمان أن الأفراد المصرح لهم فقط هم من يمكنهم الوصول إلى الموارد الحيوية، وبالتالي التخفيف من المخاطر الأمنية المحتملة. دعونا نتعمق في أهم الأشياء التي يجب التركيز عليها، والتي تتوافق جميعها مع المبادئ الأساسية لانعدام الثقة.
التحقق صراحة
أحد الدوافع الرئيسية التي تغذي الاعتماد المستمر للتكنولوجيا السحابية هو السهولة التي لا مثيل لها في الوصول إلى الموارد من أي مكان ومن أي جهاز وفي أي وقت من اليوم. ومع ذلك، من الناحية العملية، سيكون من قصر النظر السماح بهذا المستوى من الوصول دون منازع دون التحقق من أن طلبات الوصول يتم صنعها من قبل الشخص الصحيح. بعد كل شيء، ما زلنا نعيش في عصر يتم فيه غالبًا كتابة أسماء المستخدمين وكلمات المرور بالقرب من الأجهزة التي يتم استخدامها عليها. يجب أن يكون لدى فرق أمن تكنولوجيا المعلومات آليات قوية للتحقق بشكل صريح من طلبات الوصول هذه حتى تكون هناك ثقة في السماح بالوصول، خاصة من مواقع الشبكة غير المعروفة.
بعض الأمثلة على كيفية ظهور ذلك عمليًا ستكون باستخدام مصادقة قوية متعددة العوامل أساليب (MFA) لتأمين الطلبات. تتضمن الأساليب القوية الموافقة على طلب الوصول عبر إشعار في تطبيق المصادقة الذي اخترته على جهاز ذكي (يستخدم بالفعل القياسات الحيوية لفتح القفل) أو باستخدام مطالبة مطابقة الأرقام بحيث يجب على مقدم الطلب إدخال “الإجابة” الصحيحة يدويًا في تطبيقه قبل يتم منح الوصول. تساعد هذه الأساليب في تجنب بعض التقنيات المتنامية التي يستخدمها المهاجمون لمحاولة التغلب على مطالبات MFA: وهي تبديل بطاقة sim وإرهاق MFA. يُظهر ظهور تقنيات الهجوم التي تركز على MFA أن المهاجمين سيحاولون دائمًا البقاء متقدمين بخطوة على ميزات الأمان الناشئة.
بالرغم من ذلك، فإن أسلوب MFA ليس هو الحل الشامل عندما يتعلق الأمر بأمن الهوية. إنها مجرد العقبة الأولى التي يجب على فرق الأمن وضعها بين المهاجم وهدفهم المتمثل في المساس بالبيئة. كلما زادت العقبات الموجودة، زاد احتمال استسلام المهاجم والانتقال إلى هدف أسهل. سوف يردع أسلوب MFA معظم المهاجمين، ولكن ليس جميعهم.
التحليلات السلوكية للمستخدم والكيان (UEBA) هي تقنية حديثة أخرى يمكنها توفير طبقة إضافية من الأمان. بغض النظر عما إذا كان المهاجم قد تمكن من تجاوز عقبة MFA التي واجهها، فإن UEBA يراقب باستمرار المقاييس المختلفة التي يتم إنشاؤها عندما يتفاعل المستخدم مع النظام الأساسي السحابي. يتم تعيين درجة خطورة لأي انحرافات عما يعتبر طبيعيًا لهذا المستخدم، وإذا تم اكتشاف عدد كافٍ من الحالات الشاذة، فقد يجبر ذلك المستخدم على تجربة إعادة تعيين كلمة المرور، أو حتى قفل الحساب تمامًا حتى يقتنع فريق الأمان بأن الحساب قد تم. لم يتم اختراقها.
توضح هذه التقنيات جزءًا صغيرًا مما يمكن القيام به لتعزيز منصة IAM لتكون أكثر مرونة في مواجهة الهجمات التي تركز على الهوية. حيث سينتقل هذا حتماً في المستقبل إلى الحماية من استخدام التزييف العميق الناتج عن الذكاء الاصطناعي.
أصبحت تكنولوجيا الذكاء الاصطناعي أيضًا في متناول الجميع – وهذا يشمل الجهات الفاعلة السيئة أيضًا! استخدام الميزات الموجودة في Microsoft Entra مثل التحقق من الهوية، بما في ذلك الاضطرار إلى إجراء عمليات مسح بيولوجية في الوقت الفعلي لإثبات صحتها، سيكون أمرًا شائعًا قريبًا، مما يضمن أنه عندما يتلقى شخص ما تلك المكالمة من المدير المالي في نهاية بعد ظهر يوم الجمعة للموافقة على فواتير ضخمة للدفع، يمكن أن يكون لديه الثقة. إنهم يتحدثون مع المدير المالي، و ليست مكالمة فيديو تم إنشاؤها بواسطة الذكاء الاصطناعي.
استخدم مبادئ الوصول ذات الامتيازات الأقل
مع نمو المؤسسات وتطورها، تنمو أيضًا الأذونات والامتيازات التي يتم توفيرها لجعل التكنولوجيا تعمل. مع مرور الوقت، يمكن للهويات أن تتراكم كميات هائلة من الأذونات الانتقائية المختلفة لأداء مهام محددة للغاية. إذا لم يتم تحديد حجم هذه الأذونات بشكل منتظم، فقد يعني ذلك أن بعض الهويات يمكن أن تحمل قدرًا هائلاً من القوة على بيئة تكنولوجيا المعلومات. دعونا نغطي بعض المفاهيم التي تساعد في التخفيف من هذه المخاطر.
التحكم في الوصول على أساس الدور (RBAC) هي طريقة لتوفير الأذونات والامتيازات المعينة مسبقًا بشكل متسق لتناسب دور أو مهمة محددة. تسهل هذه الأدوار المحددة مسبقًا توفير القدر الصحيح من الحقوق للمهمة التي بين يديك. تأتي الأنظمة الأساسية السحابية مثل Microsoft 365 وAzure مع العديد من الأدوار المبتكرة، ولكنها تسمح أيضًا بأدوار مخصصة لتناسب احتياجات أي مؤسسة. يوصى باستخدام أدوار RBAC قدر الإمكان، ويتضاعف هذا الأمر عند تنفيذ التقنية التالية.
الوصول في الوقت المناسب (JIT) يأخذ RBAC خطوة إلى الأمام. بدلاً من تجميع الهويات مع أذونات وامتيازات مرتفعة على مدار 24 ساعة في اليوم، يمنح الوصول إلى JIT حقوقًا مرتفعة على أساس مؤقت. إدارة الهوية المميزة من Microsoft يعد مثالاً على أداة JIT، ويسمح للهويات المناسبة بترقية أذوناتها مؤقتًا إلى دور RBAC محدد مسبقًا، ويمكن أن يتضمن ضوابط وتوازنات إضافية مثل الموافقات، أو فرض موافقة MFA، أو إشعارات البريد الإلكتروني أو خيارات التخصيص للمدة التي يمكن للأفراد الوصول إليها لأذونات معينة. في النهاية، هذا يعني أنه إذا تم اختراق تلك الحسابات التي تتمتع بإمكانية الوصول إلى امتيازات أعلى، فهذا لا يعني بالضرورة أن الفاعل السيئ سيكون قادرًا على استغلال تلك الأذونات.
بالإضافة إلى استخدام تقنيات وتقنيات IAM الحديثة للحفاظ على الحقوق والأذونات بالحجم المناسب، من المهم أيضًا التأكد من وجود عمليات معمول بها لضمان ممارسات نظافة الهوية الجيدة. يمكن أن يأتي ذلك بأشكال عديدة، ولكن إذا ركزنا على حلول Microsoft Entra، فيمكننا تسليط الضوء على أداتين محددتين يمكن أن تساعد في جعل هذه العمليات تعمل بشكل أكثر سلاسة من الجهد اليدوي. أولاً، يمكن استخدام مراجعات الوصول للتحقق بشكل دوري من الهويات في بيئة ما وتوفير إشارة إلى من يستخدم حقوقه المرتفعة أم لا. وهذا يترك مالكي الخدمة مخولين باتخاذ قرارات بشأن من يجب تركه في مجموعات الأذونات أم لا. تعد هذه أيضًا طريقة رائعة لتدقيق المتعاونين الخارجيين الذين تمت دعوتهم إلى المستأجر الخاص بك عبر Entra B2B.
تعد حزم الوصول طريقة أخرى للحفاظ على تمكين الأذونات موحدًا. يمكن تجميع التطبيقات والمجموعات والخدمات السحابية والمزيد في حزمة واحدة، على سبيل المثال، قد تكون “المحاسبة على مستوى المبتدئين” عبارة عن حزمة تم إنشاؤها تمنح الوصول إلى برنامج الرواتب ووصول المشاهد إلى مواقع SharePoint المتعددة وفريق Microsoft. بمجرد إزالة هذا الشخص من حزمة الوصول، على سبيل المثال، إذا كان سينقل الأقسام، أو يحصل على ترقية، فإن إزالته من حزمة الوصول الفردي هذه ستؤدي إلى إزالة كل الوصول المرتبط بحزمة الخدمات. وهذا يعني أن الأذونات الراكدة أقل عرضة للتراكم على هوية معينة.
افترض خرقا
حتى مع وجود أفضل أدوات الأمان المتاحة، لا تكون المؤسسات أبدًا محصنة بنسبة 100% من الهجمات. إن مواجهة هذا الواقع جزء أساسي من أي استراتيجية أمنية ناجحة. من المهم أن تفترض دائمًا أن الاختراق أمر ممكن وأن تزيد من مرونتك حتى لا يكون الرد على الهجمات تجربة شاقة. يمكن تقديم بضعة مفاهيم للمساعدة هنا.
أولاً فكرة المصادقة المستمرة من المهم احتضان. بدلاً من تبني عقلية “لقد نجح المستخدم X في تنفيذ طلب MFA، وبالتالي سأمنحه كل حق الوصول الذي طلبه”، يبدو أنه يكمل بعض المفاهيم التي تمت تغطيتها بالفعل في هذه المقالة، ولكن كما تم توضيحه سابقًا، فإن المهاجمين سنحاول دائمًا التقدم بخطوة واحدة في مجال الأدوات الأمنية، ولذلك فمن المهم وضع حدود على الوصول، حتى لو بدا أن المستخدم يفعل كل شيء بشكل صحيح. لا شيء يفعل ذلك أفضل من تغيير تكرار تسجيل الدخول الذي سيخضع له المستخدمون، خاصة إذا كانوا يصلون إلى المحتوى من خارج حدود شبكة المؤسسة. ومع ذلك، لاحظ أن هناك توازنًا مهمًا يجب تحقيقه بين فرض ممارسات أمنية سليمة والتأثير على تجربة المستخدم وبالتالي نقطة الإحباط.
ويمكن أيضًا استخدام ضوابط الوصول التكيفية لتحفيز عملية صنع القرار بشأن طلبات الوصول. على سبيل المثال، إذا كان المستخدم X يقوم بتسجيل الدخول من جهازه المسجل، داخل حدود الشبكة التنظيمية، إلى منصة SaaS التي يستخدمها يوميًا – فإن ذلك يشكل الحد الأدنى من المخاطر. ينبغي منح حق الوصول في معظم الحالات هنا. ومع ذلك، خذ مثلاً المستخدم Y الذي يقوم بتسجيل الدخول من عنوان IP خارجي وهو عبارة عن منصة VPN مجهولة ومعترف بها، على جهاز غير مسجل، ويتطلع إلى تنزيل كميات هائلة من المعلومات من SharePoint. قد يكون هذا طلبًا مشروعًا، ولكنه قد يكون أيضًا علامات على اختراق الهوية، ويمكن أن تساعد عناصر التحكم التكيفية في الوقت الفعلي مثل سياسات تسجيل الدخول أو المخاطر في حماية معرف Entra في الحفاظ على حماية الموارد بشكل أفضل في هذه السيناريوهات.
باختصار، يعد تنفيذ نموذج أمان الثقة المعدومة مع التركيز على IAM أمرًا ضروريًا لمكافحة الهجمات الإلكترونية والتصيد الاحتيالي وبرامج الفدية. من خلال اعتماد مبادئ مثل التحقق الصريح، والامتياز الأقل، وافتراض الانتهاك، يمكن للمؤسسات أن تقلل بشكل كبير من مخاطر الوصول غير المصرح به والحركة الجانبية داخل شبكاتها. تلعب تقنيات مثل MFA وJIT Access وUEBA دورًا حاسمًا في تطبيق هذه المبادئ. بالإضافة إلى ذلك، تساعد المراقبة المستمرة وتحليلات الهوية وتقنيات الخداع في اكتشاف الانتهاكات المحتملة والاستجابة لها بسرعة، مما يضمن وضعًا أمنيًا قويًا ومرنًا.
ريكي سيمبسون هو مدير الحلول الأمريكية في النصاب السيبراني، مزود خدمات الأمن السيبراني ومقره اسكتلندا. ترأس الولايات المتحدة في أوائل عام 2023 بعد أن أمضى عدة سنوات في العمل في أدوار السحابة والأمن والامتثال في مقر Microsoft في إدنبرة. وهو حاصل على درجة البكالوريوس في علوم الكمبيوتر من جامعة روبرت جوردون في أبردين.
