نشرت وكالة الأمن القومي الأمريكية (NSA) أحدث توجيهاتها بشأن الثقة صفر لتأمين شبكات وأنظمة تكنولوجيا المعلومات التابعة للحكومة الفيدرالية الأمريكية. هذه هي الوثيقة الأولى من وثيقتين توجيهيتين صادرتين عن وكالة الأمن القومي، وتقدم توصيات “عملية وقابلة للتنفيذ” يمكن تطبيقها كأفضل ممارسة لتأمين بيئات تكنولوجيا المعلومات للشركات في القطاعين العام والخاص.
في صفر يثق التمهيدي وثيقة، تحدد وكالة الأمن القومي “عقلية الثقة الصفرية”، مما يعني افتراض حركة المرور في بيئة تكنولوجيا المعلومات، المستخدمين، الأجهزة وقد تتعرض البنية التحتية للخطر. ولتحقيق ذلك، تحث التوجيهات فرق أمن تكنولوجيا المعلومات على إنشاء عملية مصادقة وتفويض صارمة لجميع طلبات الوصول.
وفي سياق تأمين سلامة أنظمة تكنولوجيا المعلومات الحكومية، قالت إن مثل هذه الاستراتيجية تعزز الوضع الأمني للشبكات من خلال التحقق الصارم من صحة كل طلب وصول، مما يمنع التغييرات غير المصرح بها، ويقلل من مخاطر إدخال التعليمات البرمجية الضارة، ويضمن سلامة البرامج وسلاسل التوريد.
إن الفكرة الرئيسية التي توصلت إليها وكالة الأمن القومي فيما يتعلق بثقة الصفر هي عدم الثقة مطلقًا في المستخدمين أو الأجهزة التي تطلب الاتصال بالشبكة أو الوصول إلى الموارد الداخلية. تدعو إرشادات NSA إلى التحقق دون استثناء، حيث يتم استخدام المصادقة الديناميكية والموافقة الصريحة عبر جميع الأنشطة على الشبكة، مع الالتزام بمبدأ الامتياز الأقل.
على وجه التحديد، تشير أحدث توجيهات وكالة الأمن القومي إلى أن فرق أمن تكنولوجيا المعلومات يجب أن تفترض أنهم يعملون في بيئة تكنولوجيا المعلومات حيث يوجد خرق، مما يعني تشغيل الموارد والدفاع عنها على افتراض أن الخصم لديه بالفعل وجود في البيئة.
وقالت وكالة الأمن القومي إن فرق أمن تكنولوجيا المعلومات يجب أن تخطط للرفض الافتراضي وتدقيق شديد لجميع المستخدمين والأجهزة وتدفقات البيانات والطلبات. وهذا يعني أن فرق أمن تكنولوجيا المعلومات بحاجة إلى تسجيل وفحص ومراقبة جميع تغييرات التكوين والوصول إلى الموارد وحركة المرور في البيئة بحثًا عن أي نشاط مشبوه بشكل مستمر.
يوصي التوجيه أيضًا بالتحقق الصريح. وهذا يعني أن الوصول إلى جميع الموارد يتم التحقق منه باستمرار، باستخدام آليات ديناميكية وثابتة، والتي تستخدم لاستخلاص ما تسميه وكالة الأمن القومي “مستويات الثقة لقرارات الوصول السياقية”.
وتعليقًا على المبادئ التوجيهية، قال براين سوبي، خبير الثقة الصفرية، المدير التنفيذي للتكنولوجيا والمؤسس المشارك لـ AppOmni: “في جميع التوجيهات، ينصب التركيز على التسجيل المستمر والتفتيش ومراقبة الوصول إلى الموارد وتغيير التكوين، بالإضافة إلى الرؤية الشاملة عبر الطبقات.
“اقرأ بوضوح، تقترح وكالة الأمن القومي أن العديد من البرامج مبنية على نقاط تفتيش خشنة وإشارات محدودة، في حين أن الخطر الحقيقي يكمن داخل تطبيقات المؤسسات، وخاصة SaaS، حيث توجد البيانات الحساسة وسير عمل الأعمال.”
إن فهم سوبي للمبادئ التوجيهية الجديدة هو أن الثقة المعدومة الفعالة تتطلب فهمًا شاملاً لما يمكن للمستخدمين وما لا يمكنهم فعله، بدلاً من الاعتماد ببساطة على القدرة على المصادقة من خلال خدمات دليل الشبكة والترخيص الذي تمنحه لهم المصادقة الناجحة.
“لا تزال العديد من برامج الأمان تحل محل مجموعات الدليل والأدوار المبسطة لأهمية الاستحقاق الحقيقية، على الرغم من أن الوصول الفعال في SaaS الحديث يتشكل من خلال أذونات التطبيق الأصلية، وقواعد المشاركة، والإدارة المفوضة، والضوابط المشروطة ومنح OAuth من طرف ثالث.”
وأشار إلى أن تركيز وكالة الأمن القومي على مراقبة الوصول إلى الموارد وتغيير التكوين يعني أن الاعتماد على تجريدات الهوية التقريبية يترك فرق أمن تكنولوجيا المعلومات عمياء عن الإجراءات وتحولات الأذونات التي تؤدي إلى التعرض وتمكين سوء الاستخدام.
وأضاف: “تتماشى هذه الفجوة أيضًا بشكل غير مريح مع الخروقات والحملات التي نشهدها الآن”.
على سبيل المثال، قال سوبي إن عمليات الاقتحام الأخيرة مرتبطة بمجموعات تم تعقبها UNC6040 وUNC6395 سلط الضوء على كيف يمكن للمهاجمين تجاوز عناصر التحكم التقليدية التي تتمحور حول الباب الأمامي من خلال إساءة استخدام هويات SaaS وعمليات التكامل، بما في ذلك رموز OAuth المميزة والوصول إلى تطبيقات الطرف الثالث، للوصول إلى البيانات واستخراجها من بيئات SaaS.
وقال سوبي: “في ضوء ذلك، تدعم توجيهات وكالة الأمن القومي استنتاجًا أكثر وضوحًا: إن برامج أمان الهوية التي لا يمكنها فهم أنشطة المستخدم وسلوكياته والأهمية المادية للاستحقاقات داخل التطبيقات لا تتطابق مع مبادئ انعدام الثقة”. “غالبًا ما تصبح هذه العمليات أكثر أداءً من كونها فعالة، مما يترك فرق مركز العمليات الأمنية عالقة في إشارات عامة مثل عمليات تسجيل الدخول عندما يحدث نشاط مهاجم ذي معنى داخل التطبيق.”
