حوكمة الهوية وانعدام الثقة: كيفية تأمين أماكن العمل المختلطة

Q: كيف تدعم IGA نموذج أمان الثقة المعدومة؟

تفترض الثقة المعدومة عدم وجود مستخدم أو جهاز جدير بالثقة بطبيعته. تعمل IGA على تفعيل ذلك من خلال فرض الوصول الأقل امتيازاً، وأتمتة مراجعات الوصول، والتقييم المستمر لما إذا كان ينبغي أن تظل هوية معينة تتمتع بحق الوصول إلى مورد معين.

نُشرت هذه المدونة لأول مرة في عام 2021 وتم تحديثها.

يبدأ أمن الهوية بالمصادقة: إن إثبات هويتك هو الخطوة الأولى في فرض الأمن المؤسسي، ولكنها ليست الخطوة الأخيرة على الإطلاق. بالنسبة للعديد من المؤسسات، ما يحدث بعد المصادقة هو نقطة عمياء رئيسية. يتم توفير الوصول. تتراكم الأذونات على الحسابات. يغير الأشخاص أدوارهم أو يغادرون. وبدون فهم واضح ومفروض باستمرار لمن يجب أن يكون لديه حق الوصول إلى ماذا ومتى ولماذا، تتفاقم الثغرات بهدوء.

ضاعفت الجائحة العمل عن بُعد ثلاث مرات تقريباً، مما أدى إلى ارتفاع كبير في طلبات الوصول. هذا الحجم جعل من الصعب تجاهل الثغرات. اخترق القراصنة شبكات شركة Colonial Pipeline باستخدام حساب VPN لم يعد قيد الاستخدام النشط. لم تكن عملية استغلال معقدة. لقد كان فشلاً في حوكمة الوصول، وهو بالضبط من النوع الذي يمكن أن تؤدي إليه حوكمة الهوية وإدارتها (IGA) مصممة خصيصًا لمنع ذلك. نظرًا لأن العمل المختلط أصبح هو الافتراضي، لم يعد الحصول على أمان ما بعد المصادقة بشكل صحيح أمرًا اختياريًا.

تحديات تأمين مكان العمل المختلط

العمل الهجين لم يغير فقط مكان عمل الأشخاص. بل غيّر ما يجب على المؤسسات الدفاع عنه. عندما يصل الموظفون إلى موارد الشركة من الشبكات المنزلية والمقاهي ومساحات العمل المشتركة، لم يعد المحيط الأمني التقليدي ذا معنى. لم يعد السؤال هو “هل هذا الشخص داخل الشبكة؟ بل ”هل يجب أن يكون لهذا الشخص حق الوصول إلى هذا المورد، الآن، من هذا السياق؟ يقدم هذا التحول مجموعة من التحديات التي لم يتم تصميم الأمن القائم على المحيط الأمني للتعامل معها.

امتداد الوصول

ارتفع معدل العمل عن بُعد بين عشية وضحاها تقريباً أثناء الجائحة، وترافق ذلك مع طوفان من طلبات الوصول الجديدة. احتاج الموظفون إلى شبكات VPN وتطبيقات SaaS والموارد السحابية وأدوات التعاون، وغالباً ما كان كل ذلك في وقت واحد. قامت فرق الأمن بتوفير الوصول بسرعة للحفاظ على سير العمل. لكن الوصول الذي يتم توفيره بسرعة نادراً ما تتم مراجعته بعناية. والنتيجة هي انجراف الاستحقاق. المستخدمون تجميع أذونات لم تعد بحاجة إليها، عبر أنظمة لم تعد فرق الأمن قادرة على رؤيتها بالكامل.

الحسابات اليتيمة والخاملة

لا يحتاج المهاجمون إلى الاقتحام عندما يُترك الباب مفتوحًا. فالحسابات الخاملة، وهي بيانات الاعتماد التي لا تزال موجودة بعد فترة طويلة من مغادرة الموظف أو تغيير أدواره، هي بالضبط هذا النوع من الأبواب المفتوحة. يعد اختراق كولونيال بايبلاين مثالاً موثقًا جيدًا: تمكن المهاجمون من الوصول من خلال حساب VPN لم يعد قيد الاستخدام النشط. لم تكن عملية استغلال معقدة. لقد كان فشلاً في حوكمة الوصول. وهو ليس فريدًا من نوعه.

وصول الطرف الثالث والمقاول

نادراً ما تعمل القوى العاملة المختلطة بمعزل عن بعضها البعض. يحتاج الموردون والمقاولون والشركاء بانتظام إلى الوصول إلى الأنظمة الداخلية للقيام بعملهم. وعادةً ما يتم منح هذا الوصول حسب الحاجة ونادراً ما تتم إعادة النظر فيه. ينتهي الأمر بالمؤسسات إلى وجود ذيل طويل من بيانات اعتماد الطرف الثالث التي تقع خارج دورات التزويد والمراجعة العادية، مما يخلق بالضبط نوع الثقة الضمنية التي تم تصميم الثقة الصفرية للقضاء عليها.

مخاطر الحركة الجانبية

بمجرد أن يحصل المهاجم على مجموعة واحدة من بيانات الاعتماد الصحيحة، فإن السؤال الحقيقي هو إلى أي مدى يمكنه الذهاب. في البيئات ذات حدود الوصول الضعيفة، غالباً ما تكون الإجابة: بعيداً جداً. تعد الحركة الجانبية، باستخدام الوصول الشرعي للتنقل بشكل أعمق في الشبكة، أحد أكثر الأنماط شيوعًا في الاختراقات المؤسسية. أفضل دفاع ليس الكشف الأفضل بعد وقوع الاختراق. بل هو ضمان عدم قدرة الحساب المخترق على الوصول إلى الأنظمة التي لم يكن من المفترض أن يلمسها أبداً.

ثغرات الرؤية

لا يمكنك التحكم في ما لا يمكنك رؤيته. في البيئات المختلطة، نادراً ما تكون بيانات الهوية في مكان واحد. حيث يقوم الموظفون بالمصادقة على الأنظمة المحلية والتطبيقات السحابية وأدوات SaaS ومنصات البنية التحتية، وغالباً ما يتم ذلك من خلال أدلة وعناصر تحكم في الوصول مختلفة. بدون وجود رؤية موحدة لمن لديه حق الوصول إلى ماذا، تُترك فرق الأمن لاتخاذ قرارات الوصول بمعلومات غير مكتملة، وتصبح مراجعات الوصول أفضل تخمين بدلاً من التحكم الموثوق به.

الموازنة بين الأمان والخصوصية

إن الحصول على الأمان بشكل صحيح في بيئة مختلطة يعني تمكين الوصول، وليس فقط تقييده. لا يتمثل الهدف من حوكمة الهوية في تقييد كل شيء، بل ضمان حصول الأشخاص المناسبين على حق الوصول الصحيح دون خلق احتكاك مع أولئك الذين يقومون بما يجب عليهم القيام به بالضبط. ويتطلب هذا التوازن أن تعمل السياسة والأتمتة والحوكمة معاً، وليس فقط تشديد القيود.

المكونات الرئيسية لتأمين مكان العمل المختلط

يعالج برنامج حوكمة الهوية الناضج هذه التحديات من خلال بناء الأمان مباشرةً في كيفية منح الوصول ومراقبته وإبطاله. وتشمل المكونات الأساسية ما يلي:

حوكمة الهوية وإدارتها (IGA). الطبقة التأسيسية. تحدد IGA من يجب أن يكون لديه حق الوصول إلى ماذا، وتؤتمت عملية التزويد وإلغاء التزويد وتنشئ سجلاً قابلاً للتدقيق لكل قرار وصول.
التحكم في الوصول المستند إلى الدور (RBAC). تعيين الأذونات بناءً على الوظيفة الوظيفية بدلاً من التفاوض الفردي. يحدّ نظام RBAC من نطاق صلاحيات أي حساب مخترق ويجعل مراجعات الوصول أسرع بكثير.
مراجعات الوصول المستمر. الشهادات الدورية التي تتحقق مما إذا كانت الاستحقاقات الحالية لا تزال تتطابق مع مسؤوليات الوظيفة الحالية، مما يؤدي إلى اكتشاف زحف الامتيازات قبل أن تصبح مسؤولية.
إلغاء التوفير التلقائي. يؤدي إبطال الوصول الفوري عند مغادرة الموظفين أو تغيير أدوارهم أو عدم الاتصال بالإنترنت إلى التخلص من مخاطر الحسابات الخاملة التي مكّنت من اختراق Colonial Pipeline.
اكتشاف الحالات الشاذة والتحليلات السلوكية. تحديد أنماط الوصول غير الاعتيادية التي قد تشير إلى وجود بيانات اعتماد مخترقة أو تهديد من الداخل، حتى عندما يبدو تسجيل الدخول نفسه مشروعاً.
الوصول إلى شبكة الثقة الصفرية (ZTNA). استبدال الثقة الضمنية المستندة إلى موقع الشبكة بالتحقق المستمر من الهوية وصحة الجهاز والسياق قبل منح حق الوصول إلى أي مورد.

تأكد من حصول الأشخاص المناسبين على الوصول المناسب

يبدأ بناء برنامج ناضج لحوكمة الهوية وإدارتها (IGA) بفهم فجوة ما بعد المصادقة وسدها. يوفر IGA أمان ما بعد المصادقة الذي تحتاجه الشركات اليوم للحفاظ على الإنتاجية مع ضمان الأمن في الوقت نفسه.

وهذا يعني تزويد فرق الأمن بالأدوات اللازمة لأتمتة قرارات الوصول، والكشف عن الحالات الشاذة، والتحكم في مستوى الهوية على النطاق الذي يتطلبه العمل المختلط.

من الناحية العملية، يبدو ذلك

فهم ما يحدث عندما يتمكن أحد مختبري الاختراق من الوصول والتحرك أفقياً داخل شبكة الشركة، وكيف يمكن لـ IGA الحد من هذا النوع من الحركة.
تقييم ما إذا كانت الهوية المتمحورة حول المستخدم لا تزال ممكنة وكيف تتماشى مع السلطة الدولية للملكية الفكرية.
استخدام التحكم في الوصول المستند إلى الأدوار للمصادقة على المستخدمين والأنظمة والتطبيقات والبيانات بطريقة دقيقة بما يكفي لحماية الأعمال دون إبطائها.

يمكن أن يدعم RSA ID Plus المستخدمين عبر البيئات، بما في ذلك في التكوينات السحابية والهجينة والمحلية. اعرف المزيد عن الحل أو ابدأ الإصدار التجريبي المجاني من ID Plus الآن.

الأسئلة الشائعة حول إدارة علاقات العمل الهجينة IAM

ما هي حوكمة الهوية وإدارتها (IGA)؟

IGA هي مجموعة السياسات والعمليات والأدوات التي تستخدمها المؤسسات لإدارة الهويات الرقمية والتحكم في الوصول إلى الأنظمة والبيانات. وهي تتجاوز المصادقة لتحكم ما يُسمح للمستخدمين بالقيام به فعلياً بمجرد دخولهم إلى الشبكة.

كيف تدعم IGA نموذج أمان الثقة المعدومة؟

انعدام الثقة يفترض عدم وجود مستخدم أو جهاز جدير بالثقة بطبيعته. تعمل IGA على تفعيل ذلك من خلال فرض الوصول الأقل امتيازاً، وأتمتة مراجعات الوصول، والتقييم المستمر لما إذا كان ينبغي أن تظل هوية معينة تتمتع بحق الوصول إلى مورد معين.

لماذا تعتبر حوكمة الهوية أكثر أهمية بالنسبة للقوى العاملة المختلطة؟

يزيد العمل المختلط بشكل كبير من عدد طلبات الوصول ونقاط الدخول عن بُعد ومجموعات الاستحقاقات التي يجب على المؤسسة إدارتها. وبدون IGA، يخلق هذا التعقيد ثغرات يمكن للمهاجمين استغلالها، بما في ذلك الحسابات الخاملة، والأدوار المفرطة في التزويد بالأدوار، والوصول غير المراجعة من طرف ثالث.

ما هي الحركة الجانبية وكيف تمنعها IGA؟

الحركة الجانبية هي عندما يستخدم المهاجم حسابًا مخترقًا واحدًا للتنقل بشكل أعمق في الشبكة. تحدّ IGA من ذلك من خلال فرض حدود وصول صارمة، بحيث لا يمكن للمهاجم الوصول إلى الأنظمة أو البيانات خارج النطاق المصرح به لهذا الحساب حتى لو تم اختراق حساب واحد.

حوكمة الهوية وانعدام الثقة: كيفية تأمين أماكن العمل الهجينة