إدارة الهوية والوصول (IAM) يمثل تحديًا صعبًا ودائمًا للشركات. تحتاج المؤسسات إلى تحقيق التوازن بين تأمين وإدارة الهويات بشكل فعال مع سهولة الاستخدام للموظفين والعملاء والموردين. وإذا أضفنا طبقات كثيرة للغاية من الهوية والتحكم في الوصول، فإن النتيجة هي “الاحتكاك”: وهي العمليات التي تجعل من الصعب على الموظفين أداء وظائفهم.
“تبدأ العديد من المؤسسات رحلة هويتها بمزيج من الأهداف قصيرة المدى فقط، وبيانات الهوية الضعيفة، وبنية الهوية غير الناضجة، وضعف التحقق من المستخدم”، يحذر سكوت سوالنج، خبير أمن السحابة والبيانات في PA Consulting.
“إن اتباع نهج IAM الضعيف، في أحسن الأحوال، يمكن أن يجعل الأمر مرهقًا ومحبطًا للمستخدمين والموظفين الإداريين. إن العمليات المرهقة التي لا تستفيد بشكل كامل من إمكانيات IAM ستؤدي إلى قيام المستخدمين بإيجاد طرق للالتفاف حولهم – كما فعلوا دائمًا – مما يؤدي إلى مشكلات أمنية واحتمالية حدوث انتهاكات.
وحتى مع التوسع في التدابير مثل المصادقة متعددة العوامل (MFA) والقياسات الحيوية، يظل الوصول نقطة ضعف في أمن المؤسسات، فضلاً عن امتثال البيانات والخصوصية. أصبحت IAM أكثر أهمية مع ابتعاد المؤسسات عن المحيط الثابت إلى العمل المرن وتطبيقات السحابة والويب.
حجم المشكلة حقيقي جدا. وفقا لشركة فيريزون 2024 تقرير تحقيقات خرق البيانات، تم استخدام بيانات الاعتماد المسروقة في 77% من الهجمات ضد تطبيقات الويب الأساسية. جوجل 2023 تقرير آفاق التهديد وجدت أن 86٪ من الانتهاكات تنطوي على أوراق اعتماد مسروقة.
“نحن بحاجة إلى الانتقال إلى الثقافة الأمنية التي تعطي الأولوية للهوية،” يحذر عاكف خان، نائب الرئيس في شركة Gartner والذي يركز على IAM. “إذا لم تقم بتحديد هوية المستخدمين لديك، فمن الصعب أن يكون لديك أي نوع من الأمان. إذا كنت لا تعرف من يمكنه الوصول إلى أنظمتك، فكيف يمكنك معرفة ما إذا كان يجب عليه الوصول إليها أم لا؟
يقترح خان أن IAM تحل محل الفكرة القديمة المتمثلة في أن المنظمات تتمتع بمحيط آمن. إن مخاطر الاعتماد على أمن المحيط وحده واضحة. في يونيو من هذا العام، تم تعقب خروقات البيانات في Ticketmaster وSantander حسابات سحابة Snowflake غير المضمونة.
يسير تأمين الحسابات المميزة جنبًا إلى جنب مع الإدارة القوية للهوية والمبادرات مثل الثقة صفر. ولكن نظرًا لأن انعدام الثقة يتطلب استثمارًا كبيرًا وطويل الأجل، فيجب على مديري تكنولوجيا المعلومات ورؤساء أمن المعلومات أن يتطلعوا أيضًا إلى تحسين الأمان الحالي لبيانات الاعتماد والانتقال إلى الأساليب القائمة على المخاطر فيما يتعلق بالهوية.
وهذا يدفع المؤسسات إلى التحرك نحو ضوابط الوصول القائمة على السياسات وضوابط الوصول التي تتكيف مع المخاطر. تسمح هذه الأنظمة للشركات بفرض مصادقة متعددة العوامل إذا بدا الإجراء عالي المخاطر، أو حظره تمامًا. ولكن هذا يعتمد على استراتيجية واضحة لإدارة الهوية وإمكانية الوصول (IAM) في جميع أنحاء المنظمة.
“احصل على الأساسيات الصحيحة للتأكد من أن لديك رؤية واضحة وتحكمًا في من يمكنه الوصول إلى مواردك،” يوصي PA Swalling. “تأكد من أن بيانات الهوية جيدة. ومن شأن اقتران ذلك بإدارة قوية للوصول إلى الامتيازات، واستخدام الأتمتة والتعلم الآلي حيثما أمكن ذلك، أن يؤدي إلى تبسيط المهام الإدارية وتعزيزها وتقليل إحباط المستخدم.
المستخدمون المحبطون يصنعون ضحايا جاهزين، كما يوافق مصطفى مصطفى، مدير حلول الهوية في أوروبا والشرق الأوسط وأفريقيا في شركة Cisco، مع وجود خطر حقيقي جدًا لهجمات فيضانات MFA.
الثقة صفر
شركة سيسكو هي من أنصار نموذج أمان الثقة المعدومةلكن مصطفى يعترف بأن القليل من المنظمات قد حققت ذلك بشكل كامل.
في الواقع، توصلت أبحاث Cisco إلى أن 86% من المؤسسات بدأت بثقة صفرية، لكن 2% فقط يقولون إنها وصلت إلى مرحلة النضج. تشمل العوائق التعقيد وتجربة المستخدم غير المتسقة.
يقول مصطفى: “المبدأ هو عدم الثقة بأحد، التحقق من الجميع”. “إن الطريقة الوحيدة لتنفيذ سياسة الثقة المعدومة هي التحقق المستمر من جميع المستخدمين والأجهزة والتطبيقات في جميع الأوقات والمواقع داخل أو خارج شبكة معينة.” يتضمن ذلك نشر المصادقة متعددة العوامل، والوصول الأقل امتيازًا والتجزئة الدقيقة.
الثقة صفر ويجادل بأن الأمر يستحق هذا الجهد. فهو يعمل على تحسين الأمان والامتثال وإدارة المخاطر، ولكنه يعمل أيضًا على تبسيط العمليات – بمجرد تنفيذه بشكل صحيح – ومن المحتمل أن يسمح للمؤسسات بتقليل النفقات الإدارية العامة والتكاليف والتأخير والإحباط بالنسبة للمستخدمين. كما أنه يجعل إدارة العمل المختلط والعمل عن بعد أسهل.
وفي الوقت نفسه، تحتاج الشركات إلى مواصلة الاستثمار في المصادقة المتعددة العوامل (MFA)، وحوكمة الهوية وإدارتها، وإدارة الوصول المميز، والدخول الموحد، على سبيل المثال لا الحصر. وهذا من شأنه أن يجبر مديري تكنولوجيا المعلومات على العمل في “مسارين” ــ أحدهما لتحسين الأمن حول الهوية والقدرة على الوصول الآن، وهدف منفصل أطول أمدا يتمثل في الانتقال إلى انعدام الثقة.
وبمرور الوقت، سيشمل ذلك زيادة استخدام الذكاء الاصطناعي (AI) لاكتشاف سلوك المستخدم أو أفعاله غير العادية التي يمكن أن تكون دليلاً على حدوث اختراق، والتحرك نحو IAM على أساس المخاطر، بدلاً من الهوية فقط. ويسمى هذا أحيانًا أيضًا بالمصادقة التكيفية.
يقول جون بول كننغهام، كبير مسؤولي أمن المعلومات في شركة Silverfort، وهي شركة توفر حماية الهوية: “من خلال دمج تقييمات المخاطر في الوقت الفعلي، يمكن للمؤسسات منح الوصول بناءً على السياق بدلاً من الهوية وحدها”. “سيؤدي هذا التحول إلى تقليل النفقات التشغيلية وعبء البيانات لإدارة المصادقة والترخيص. وفي نهاية المطاف، فإن اعتماد هذا النموذج من شأنه أن يمكّن الشركات من تعزيز الأمن وتحسين تجارب المستخدم وخفض تكلفة الحفاظ على أمن الهوية.
من الناحية العملية، من المرجح أن تعتمد المؤسسات على طبقات من الأمان لطبقات الوصول، على الأقل في الوقت الحالي.
المحافظ الرقمية
“إن المنظمات الأكثر تقدمًا هي التي تعطي الأولوية للهوية. يقول كننغهام: «لا يزال التحدي قائمًا المتمثل في دمج أنظمة متباينة معًا». “بالنظر إلى المستقبل، يمكنك بناء منصات جديدة، ولكن لا يزال لدى الناس الكثير من الهندسة المعمارية القديمة.”
ومع ذلك، لا تزال الشركات بحاجة إلى التحقق من هوية المستخدم – سواء كان موظفًا أو موردًا أو عميلًا – في المقام الأول. وهنا التحرك نحو محافظ الهوية العالمية (GIWs)، والتي عادة ما تكون جزءًا من مخطط تدعمه الحكومة، يمكن أن تساعد.
غالبًا ما ترتبط GIWs بمبادرات الحكومة الرقمية، وقد لا تكون الأداة الأكثر ملاءمة لإدارة الوصول اليومي، ولكنها يمكن أن تلعب دورًا في تأهيل الموظفين أو العملاء، وربما الحد من الاحتيال وسرقة بيانات الاعتماد. بالفعل، هناك بعض التقارب بين GIWs وIAM، مع دمج معرف Entra Verified الخاص بشركة Microsoft في تطبيق Authenticator الخاص بالشركة، على سبيل المثال.
وفقًا لشركة جارتنر، سيستخدم أكثر من 500 مليون شخص حول العالم محافظ الهوية الرقمية القائمة على الهاتف بحلول عام 2026. ويمثل هذا نموًا كبيرًا، ومن شأنه أن يخفف عددًا من المشكلات المتعلقة بالتحقق من الهوية، خاصة بالنسبة للخدمات الحكومية.
“من حيث المبدأ، يمكن أن يكون لديك محفظة هوية على هاتفك، وهي لا تختلف كثيرًا عن تطبيق المصادقة. يقول خان: “يمكن استخدام ذلك”. “إنه ليس معرف Microsoft، ولكنه معرف في تطبيق Microsoft.”
ومن المرجح أن تؤدي المعايير المفتوحة حول الهوية الرقمية وقابلية التشغيل البيني بين المنصات إلى دفع تبنيها بين الوكالات الحكومية، وبالتالي تبنيها من قبل المواطنين. من المرجح أن تكون تكنولوجيا محفظة الهوية العالمية، على الرغم من جميع مزاياها، مكلفة للغاية بحيث لا تستطيع الشركات إنشاءها بمفردها. ويكمن جزء من ميزتها في الحجم والثقة التي تأتي مع بطاقة الهوية الصادرة عن الحكومة.
يقول خان: “إن السوق يتجه نحو الهوية الرقمية المحمولة، لذلك لن يضطر المستخدمون إلى التحقق من هوياتهم مرارًا وتكرارًا، ولكن بدلًا من ذلك، سيكون لديهم محفظة هوية على جهاز محمول تتحقق من تلك الهوية”.
يمكن للشركات التي تدفع حاليًا مقابل خدمات التحقق من هوية الطرف الثالث توفير المال من خلال GIW. ويقول: “إن كيفية ترتيب الإعلانات التجارية سيكون أمرًا أساسيًا في هذا الأمر”. تحتاج المؤسسات أيضًا إلى قبول أصول الهوية في المحفظة، وهذا هو سبب أهمية الدعم الحكومي والمعايير المفتوحة وقابلية التشغيل البيني. واستخدام GIWs يمكن أن يوفر مزايا في مجالات متنوعة مثل التوظيف أو تقديم الخدمات للعملاء الجدد.
يقول خان: “من وجهة نظر فنية، من المنطقي تمامًا أن يكون هناك طريق لضم شخص ما بسرعة أكبر”. “في السوق التنافسية، سوف تتطلع المؤسسات إلى استكشاف ذلك.”
ومع ذلك، يبدو أن GIWs جزء من مشهد IAM، وليس بديلاً لأنظمة الهوية الداخلية والمصادقة. “لديك معرف، وهذا المعرف يحتوي على سمات مثل “أنا موظف في Gartner”. يقول خان: “ثم لديك سماتك الخاصة بحقوق الوصول، وهي عبارة عن طبقات فوق طبقات من المعلومات”. “قد لا يكون هذا كله في المحفظة.” ستظل الشركات بحاجة إلى التحقق من التفاصيل مقابل البنية التحتية للهوية الخاصة بها.
ستعتمد آفاق استخدام المؤسسات لمحافظ الهوية، والكثير من التطوير المستقبلي لـ IAM، على نوع المعلومات ومستويات الوصول التي تحتاج المؤسسات إلى تأمينها.
يقول كانينغهام من سيلفرفورت: “يمكن للمحافظ الرقمية أن تلعب دورًا مهمًا في المصادقة اليومية، وتمتد إلى ما هو أبعد من الأحداث لمرة واحدة مثل الإعداد أو التحقق من الهوية”. “من خلال تبني المحافظ الرقمية كأداة مصادقة يومية، يمكن للمؤسسات تعزيز وضعها الأمني مع تعزيز راحة المستخدم وإنتاجيته.”
ويتوقع رؤية الاهتمام بالرعاية الصحية والحكومة والحصول على المزايا ومراقبة الحدود، على الأقل في البداية.
لكن يمكن للمحافظ الرقمية أيضًا أن تعزز أسلوب المصادقة متعددة الأطراف (MFA) وتمنح فرق أمن البيانات التي تعاني من ضغوط شديدة بعض المساحة للتنفس أثناء نظرهم في الخيارات طويلة المدى، بما في ذلك انعدام الثقة.
يقول كننغهام: “تعمل المحافظ الرقمية كعامل إضافي في MFA، وهو معرف فريد مشابه للرموز المميزة المستندة إلى الشهادات، وحل تخزين آمن للبيانات الحساسة مثل كلمات المرور ومفاتيح التشفير”.
وإذا تم استخدامها بشكل جيد، فيمكنها تحسين الأمان وسهولة الاستخدام مع تقليل تكاليف الدعم للمؤسسات أيضًا.
