يجب على قادة تكنولوجيا المعلومات معالجة عملياتهم الداخلية لتقليل تعرض مؤسساتهم لمخاطر أمن تكنولوجيا المعلومات وسطح الهجوم. ويصبح هذا الأمر أكثر تعقيدًا مع تطور بيئات تكنولوجيا المعلومات الخاصة بالأعمال.
لا يحتاج القادة فقط إلى النظر في الموظفين والأدوار الوظيفية التي تتطلب الوصول إلى أنظمة تكنولوجيا المعلومات، ولكن أيضًا ضوابط الوصول غير البشرية حيث يتم منح نظام داخلي أو خارجي إمكانية الوصول إلى مورد تكنولوجيا معلومات معين.
ومع ذلك، كما فارون براساد، نائب رئيس ISACA ويشير فرع سان فرانسيسكو وعضو مجموعة عمل الاتجاهات الناشئة في ISACA إلى أن الشركات تميل إلى التغاضي عن بعض عمليات إدارة الوصول التقليدية أو التسرع فيها بسبب الحجم والتعقيد المتزايدين باستمرار لمشهد تكنولوجيا المعلومات الخاص بها.
يقول براساد: “من المهم إجراء مراجعة دورية لتصاريح الوصول إلى جميع الأصول في البيئة من قبل موظفي الإدارة المناسبين”، مضيفًا أن هذا لا ينبغي أن يكون نشاطًا “مربع اختيار” ولكن يجب أن يتضمن تقييمًا شاملاً لاستحقاقات الوصول للكشف عن زحف الوصول إلى الامتياز.
يعتقد براساد أن الحسابات والتفويضات المدرجة في المراجعة يجب أن تتجاوز تلك التي توفر الوصول إلى أنظمة الإنتاج. ويجب أن تتضمن أيضًا جميع الهويات غير البشرية والأماكن التي يلزم فيها الوصول إلى مستودعات التعليمات البرمجية المصدر ومخازن المفاتيح والخزائن السرية ومخازن البيانات.
نظرًا لأن الخطأ البشري غالبًا ما يكون السبب الرئيسي لحوادث الأمن السيبراني، يوصي براساد بأتمتة العمليات الرئيسية مثل توفير الحساب وإلغاء التزويد ومراجعات الوصول. من الممارسات الجيدة الأخرى التي يوصي بها هي التواصل مع المنظمة منصة إدارة الوصول إلى الهوية المركزية (IAM). مع نظام إدارة الموارد البشرية للشركات، والذي يوفر طريقة لأتمتة عملية نقل الموظفين من العمل.
من المهم إجراء مراجعة دورية لتصاريح الوصول إلى جميع الأصول الموجودة في البيئة من قبل موظفي الإدارة المناسبين
فارون براساد، إيساكا
ويضيف: “يجب أيضًا أن تتم عملية مراجعة الوصول بشكل آلي على فترات دورية للتأكد من أن جميع حقوق الوصول تتناسب مع مسؤوليات الوظيفة”.
في حين أن الهندسة الاجتماعية هي وسيلة هجوم مفهومة جيدًا لسرقة كلمة المرور الخاصة بشخص ما، يشير براساد إلى أن تحليل أنماط الهجمات السيبرانية الأخيرة يوضح أنه باستخدام التصيد والهندسة الاجتماعية، يستطيع المهاجمون السيبرانيون أيضًا سرقة الرموز الفريدة التي تم إنشاؤها للوصول إلى الأنظمة التي تستخدم عوامل متعددة المصادقة (وزارة الخارجية).
ويحث المؤسسات على تطبيق تقنيات MFA المقاومة للتصيد الاحتيالي بدلاً من استخدام أساليب MFA التقليدية القائمة على التعليمات البرمجية، حيث يؤدي ذلك إلى إزالة العنصر البشري في العملية. تتضمن تقنيات MFA الشائعة المقاومة للتصيد الاحتيالي المصادقة المستندة إلى الويب (WebAuthn) والمصادقة المستندة إلى البنية التحتية للمفتاح العام (PKI).
وفقًا لشركة Forrester، يمكن للذكاء الاصطناعي التوليدي (GenAI) الذي يعتمد على التعلم الآلي المثبت وتراث نماذج الذكاء الاصطناعي أن يساعد المؤسسات على تحديد تهديدات الهوية الجديدة في التطبيقات المحلية وتطبيقات البرامج كخدمة (SaaS) ومنصات البنية التحتية السحابية.
أحد اتجاهات IAM التي حددتها شركة Forrester هو أن بعض الأدوات تقوم تلقائيًا بإنشاء سياسات الهوية والوصول لإحباط هذه التهديدات. تستخدم بعض أنظمة IAM أيضًا GenAI لتمكين غير التقنيين من تشغيل الاستعلامات وإعداد التقارير بسهولة أكبر.
“يمكن للمسؤولين من المواطنين ومستخدمي الأعمال طرح أسئلة مثل “ما هي التطبيقات الخمسة الأكثر خطورة من منظور استحقاق الهوية؟” وتلقي الإجابات من أنظمة IAM باللغة الطبيعية،” كما لاحظ محللو Forrester أهم الاتجاهات التي تشكل الهوية وإدارة الوصول في عام 2024 تقرير.
على الرغم من التقدم الكبير في المنصات والأدوات والأدوات المساعدة – التي يقدم بعضها الذكاء الاصطناعي المتكامل والتحليلات التي تشير إليها شركة Forrester – والتي يتم استخدامها لإدارة IAM، يقول براساد إن إدارة الوصول لا تزال تمثل أولوية قصوى لممارسي الأمن نظرًا لوجود مجال كبير لـ تحسين.
على سبيل المثال، وفقًا لبيانات Cloud Security Alliance، تعد المخاطر المتعلقة بـ IAM من بين أكبر تهديدين للحوسبة السحابية. ويشير براساد أيضًا إلى استطلاع للرأي أجراه تحالف الأمن المعرف بالهوية (Identity Defined Security Alliance) شمل 500 منظمة كبيرة، والذي وجد أن 84% منها تأثرت بانتهاك يتعلق بالهوية في العام الماضي.
والخبر السار، على الأقل من منظور IAM، هو أن موفري الخدمات السحابية العامة مثل Amazon Web Services وMicrosoft Azure يوفرون إمكانات لتنفيذ MFA المقاوم للتصيد الاحتيالي للوصول إلى بيئاتهم السحابية. يقول براساد إن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تنظر إلى هذه التقنيات باعتبارها المعيار الذهبي للحماية من التصيد الاحتيالي وتفرض استخدامها كجزء من عملية استراتيجية الثقة الصفرية.
ثقافة آمنة
وبعيدًا عن تقنية IAM، يوصي براساد الشركات بتأسيس ثقافة قوية مدركة للأمن وممارسة النظافة الأساسية لـ IAM – اتباع مبدأ الامتيازات الأقل، وتتبع جميع الهويات، ومراقبة الاستخدام ومراجعة الاستحقاقات بشكل دوري.
ونظرًا للعدد الكبير من الأسباب الجذرية المرتبطة بـ IAM والتي تقف وراء خروقات البيانات والحوادث السيبرانية، يضيف أنه من الأهمية بمكان ضمان التشغيل السلس والفعال لعمليات حوكمة IAM في بيئة تكنولوجيا المعلومات لأن مشهد IAM المُدار بشكل جيد هو الأساس لـ IAM موقف قوي للأمن السيبراني.
لذلك، في حين أن IAM توفر بشكل أساسي محيطًا دفاعيًا ثابتًا ويجب أن تكون في قلب الدفاع ضد هجمات التصيد الإلكتروني وبرامج الفدية، فإن أندرو بيل، خبير الأمن السيبراني، وسكوت سوالينج، خبير البيانات والأمن السحابي، في PA Consulting، يحثان المؤسسات على ندرك أنه سيتم انتهاكه. ويقترحون أن يستخدم قادة أمن تكنولوجيا المعلومات قدرتهم على العمليات الأمنية الأوسع نطاقًا لتقديم الكشف عن التهديدات والاستجابة لها بشكل استباقي، بما في ذلك أساليب مثل انعدام الثقة.
يوصي Peel and Swalling بأن تقوم المؤسسات بتطوير قدراتها لاكتشاف وتحليل الإشارات التي يمكن أن تكون مؤشرًا على محاولة التسوية أو التسوية الحالية. على سبيل المثال، يمكن استخدام تحليل الاتجاه بشأن الاستخدام والانتهاكات لتحديد نقاط الضعف وإصلاحها.
وهذا في الأساس تحدٍ يتعلق بالناس، وليس مجرد تحدٍ تكنولوجي. من خلال إعطاء الأولوية للعوامل البشرية في استراتيجيتنا الأمنية، يمكننا بناء موقف أكثر فعالية ومرونة تجاه الهجمات الإلكترونية والتصيد الاحتيالي وبرامج الفدية
مايك جيليسبي، Advent IM/CSCSS
“أدوات الكشف عن التهديدات – مثل المعلومات الأمنية وإدارة الأحداث التي تلتقط IAM وسجلات إدارة الوصول المميزة – جنبًا إلى جنب مع قواعد التشغيل المعمول بها يمكن أن تقلل من تأثير حملة التصيد الاحتيالي الناجحة من خلال اكتشاف الأنشطة الشاذة والاستجابة لها مثل السعي لتصعيد الحقوق”، كما يقولون. .
وفقًا لـ Peel and Swalling، يجب أن يكون النهج الأمني المتماسك الذي يركز على الهوية جزءًا أساسيًا من دفاعات المؤسسة إذا أرادت مكافحة الهجمات السيبرانية والتصيد الاحتيالي وبرامج الفدية بنجاح. ويشيرون إلى أن استخدام بيانات الهوية وخدمات التكنولوجيا عالية الجودة للتحكم في الوصول إلى الموارد، إلى جانب الكشف الاستباقي عن التهديدات وقدرات الاستجابة، بالإضافة إلى تثقيف المستخدم، يعد أمرًا حيويًا للوضع الأمني المصمم لمواجهة الهجمات السيبرانية سريعة التطور.
ويقول: “لا يمكننا معالجة مشكلة إنسانية بالتكنولوجيا وحدها”. مايك جيليسبي، المدير الإداري والمؤسس المشارك لشركة الاستشارات الأمنية المستقلة Advent IM، ونائب رئيس مركز C3i للفضاء الإلكتروني الاستراتيجي وعلوم الأمن (CSCSS).
يعتقد غيليسبي أن الأمن يجب أن يتحول إلى نهج أكثر تركيزًا على الأشخاص نظرًا لأن الأفراد هم في نهاية المطاف الذين يحتاجون إلى الوصول، ويجب إدارة هوياتهم والذين يحتاجون إلى المصادقة – وهم الذين يتسببون حاليًا في حدوث حالات الفشل، حتى عندما يكون ذلك غير مقصود. .
“علينا أن ندرك أن هذا هو في الأساس تحدٍ يتعلق بالناس، وليس مجرد تحدٍ تكنولوجي. ومن خلال إعطاء الأولوية للعوامل البشرية في استراتيجيتنا الأمنية، يمكننا بناء موقف أكثر فعالية ومرونة تجاه الهجمات السيبرانية والتصيد الاحتيالي وبرامج الفدية.
التهديدات الناشئة
في العام الماضي، تم استهداف العديد من مزودي تكنولوجيا IAM من قبل مهاجمين إلكترونيين. وهذا له تداعيات على كيفية اختيار صناع القرار في مجال تكنولوجيا المعلومات لموفري منتجات وخدمات IAM.
أفاد Analyst Forester أن المؤسسات تسعى للحصول على تطمينات من موفري IAM بشأن عملياتهم التشغيلية الداخلية وممارساتهم الأمنية، بالإضافة إلى الأمن الذي يدعم عروض SaaS IAM القائمة على السحابة.
في أهم الاتجاهات التي تشكل الهوية وإدارة الوصول في عام 2024 وفقًا لتقرير Forrester، فإن العملاء يطالبون الآن بأن يلتزم موفرو IAM باللوائح وأطر العمل مثل SOC 2 وFedRAMP وISO 27002 وPCI.
بالإضافة إلى ذلك، يبحث العملاء عن ضمانات بأن القوى العاملة لدى موفر IAM قد تم فحصها. ويوصي التقرير بأن يطالب رؤساء أمن تكنولوجيا المعلومات بالمصادقة متعددة العوامل لجميع مستخدمي الأعمال والمستخدمين الإداريين من القوى العاملة، دون استثناء، وإعطاء الأولوية لمقدمي خدمات IAM الذين يتبنون مبادئ الأمان حسب التصميم والآمن افتراضيًا.
بشكل عام، في حين تلعب تقنيات مثل IAM دورًا داعمًا في مكافحة الهجمات السيبرانية، فإنها تعتمد على الأفراد لاتخاذ الخيارات الصحيحة. لبناء دفاع فعال، يقول غيليسبي إن المنظمات تحتاج إلى تمكين الموظفين المدربين جيدًا والواعين بالأمن والمدعومين بالتكنولوجيا المناسبة.
ويضيف: “بدلاً من جعل تكنولوجيا المعلومات تفرض قيودًا تعسفية على الوصول، دعونا نشرك فرقنا في تحديد احتياجات الوصول الخاصة بهم”.
ومن خلال إعطاء الأولوية للتعاون والتفاهم، يقول غيليسبي إنه من الممكن إنشاء إطار أمني يحمي حقًا الأشخاص والمنظمات التي يعملون بها.
