كيف يمكن لاستراتيجيات الهوية عديمة الثقة أن تمنع الاختراقات

إن أضعف نقاط الضعف في مؤسستك ليست نظاماً غير محصّن، أو كلمة مرور سهلة التخمين أو فريق أمني محاصر.

بدلاً من ذلك، فإن نقطة الضعف الأكثر أهمية هي شيء أوسع بكثير وأصعب في إدارته: الثقة.

على مدى الأسابيع القليلة الماضية، شهدنا خلال الأسابيع القليلة الماضية سلسلة من الهجمات الإلكترونية التي تستخدم مزيجًا من الثغرات وتستهدف عددًا من القطاعات التي تستخدم جميعها الثقة لاختراق الأمن المؤسسي:

• إن هجوم سولارويندز استخدم نظام تحديث موثوق به لتثبيت شيفرة برمجية خبيثة في ما يصل إلى 18,000 مؤسسة، بما في ذلك وزارة الدفاع الأمريكية ووزارة الأمن الداخلي والإدارة الوطنية للأمن النووي والمستشفيات ووسائل الإعلام الكبرى.
• في الأسبوع الماضي، اخترقت حملة جديدة دبرتها نفس المجموعة التي تقف وراء "سولار ويندز" (Nobelium) مزود البريد الإلكتروني الخاص بـ "كونستانت كونتاكت" (Constant Contact) التابع لوكالة التنمية الدولية الأمريكية، لإرسال رسائل بريد إلكتروني تحتوي على عناوين URL خبيثة إلى ما يقرب من 3,000 حساب في أكثر من 150 مجموعة دولية للتنمية وحقوق الإنسان.
• يستفيد القراصنة من تغيير فيروس كورونا المستجد (كوفيد-19) القيود المفروضة على إرسال رسائل بريد إلكتروني مزيفة "من" كبار مسؤولي المعلومات لسرقة بيانات اعتماد الموظفين.

(لا نعرف على وجه اليقين ما إذا كانت المجموعة التي أجبرت JBS Foods تغلق عملياتها في الولايات المتحدة وأستراليا اعتمدت على تكتيكات مماثلة، لكننا سنواصل رصد القصة لنرى كيف لعبت الثقة دوراً في ذلك).

في جميع هذه الثغرات، يرسل الأشرار روابط أو عمليات تثبيت من موقع يُفترض أنه مصدر موثوق. قد يكون التكيف مع هذا الأمر صعبًا: في مجتمع معقد، يعمل عن بُعد ومن أي مكان، نحتاج إلى الوثوق بزملائنا وبائعينا وأنظمتنا للقيام بعملنا وتقديم الطلبات وإجراء المدفوعات وتلقيها.

يحتاج المستخدمون إلى الثقة. لكن المؤسسات لا تستطيع تحملها. على الإنترنت، يمكن أن تكون الثقة مسؤولية كبيرة.

لقد ناقشنا الثقة الصفرية قبل: إنه ليس رقم جزء أو منتج. لا يوجد SKU له أو نموذج طلب سريع لشرائه.

وبدلاً من ذلك، فإن الثقة الصفرية هي مبدأ - إنها العقلية التي يجب أن تبدأ فرق الأمن في تطويرها. بشكل عام، الثقة الصفرية هي عقلية "أقل الامتيازات" التقليدية، ولكن تم توسيع نطاقها إلى نطاق أوسع. إنها طريقة لإجراء مقايضات التكلفة/الفائدة الصحيحة لحماية ما هو أكثر أهمية دون إبطاء المستخدمين أو تعطيل أعمالك.

إحدى أكثر الطرق فعالية للتحرك نحو انعدام الثقة هو إعطاء الأولوية للهوية وتذكّر أن إدارة الوصول إلى الهوية (IAM) وإدارة حوكمة الهوية (IGA) واسعة النطاق. فهي تنطبق على المستخدمين والموارد والتطبيقات و البائعون لديك: لتطبيق نموذج "لا تثق أبدًا، تحقق دائمًا" الخاص بمبدأ "لا تثق أبدًا، تحقق دائمًا"، عليك أن تبدأ بوضع سياسات الحوكمة لمنح الوصول الصحيح للمستخدمين المناسبين والحفاظ على قائمة بأدوارهم وامتيازاتهم. تحتاج الشركات إلى طرق أفضل وأسرع وأذكى لتتبع تلك المعلومات والتحكم فيها.

ومرة أخرى، فإن نظامي IAM و IGA موسعان: تؤكد الاختراقات الأخيرة في نوبليوم على الحاجة إلى جرد جميع الأنظمة والوصول وتوفير مصادقة قوية. تحتاج الأنظمة المستندة إلى السحابة على مستوى المؤسسة مثل Office 365 وSalesforce وSlack وConstant Contact إلى أنظمة أقوى, المصادقة القائمة على المخاطر لضمان الأمن السحابي وحماية كل من الهويات الشخصية والمواد التنظيمية الحساسة. علاوةً على ذلك، تُظهر الاختراقات أيضًا حاجة الشركات إلى التخلص من ضعفنا أمام كلمات المرور وبيانات اعتماد تسجيل الدخول المسروقة (واسترداد وفورات كبيرة) من خلال بدون كلمة مرور.

من خلال تحديد وإدارة وتقليل مقدار الثقة التي نمنحها للمستخدمين والموارد، يمكننا الاستفادة من اتصالاتنا والحد من الأضرار التي يمكن أن تلحق بنا وبزملائنا وأعمالنا. وفي نهاية المطاف، فإن انعدام الثقة ليست وجهة: إنها رحلة نقوم بها، رحلة نتعلم فيها باستمرار ونعيد تعلم المقايضات التي يتعين علينا القيام بها في عالم الإنترنت. وعلى نحو متزايد، أصبحت هذه الرحلة تستحق القيام بها.