التحقق من الهوية: البقاء متقدماً بخطوة على التهديدات القائمة على الهوية

هل تتذكر عندما كان اسم المستخدم وكلمة المرور هما تذكرتك لأي شيء تقريبًا؟ لقد تطور أمن الهوية بشكل كبير - ولا يزال يتطور، استجابةً للتطور المستمر للتهديدات المتعلقة بالهوية.

من المصادقة متعددة العوامل (MFA) إلى المصادقة القائمة على المخاطر والمصادقة بدون كلمة مرور، تظهر باستمرار طرق وأدوات جديدة لتأمين الهويات حيث يعمل خبراء أمن الهوية على تجاوز نمو التهديدات. يمثل التحقق من الهوية خطوة رئيسية في هذا التطور.

يعد التحقق من الهوية أحد أهم التطورات في تطور أمن الهوية. فهو يمثل خطوة رئيسية في ما يمكن القيام به للحد من إساءة استخدام بيانات الاعتماد التي تتيح الوصول غير المصرح به إلى أنظمة المؤسسة وتطبيقاتها وبياناتها.

تتجاوز عملية التحقق من الهوية فحص وتقييم بيانات اعتماد المستخدم. بدلاً من ذلك، تؤكد العملية ما إذا كانت الهوية نفسها أصلية؛ فهي تركز على تأكيد ما إذا كان المستخدم الفعلي أو الجهاز الذي يطلب الوصول أصلياً، وليس مجرد شخص أو شيء ما يمتلك بيانات الاعتماد تلك.

وبينما كان من الممكن نظريًا دائمًا التحقق من الهوية يدويًا - من خلال حضور شخص ما شخصيًا، على سبيل المثال - فإن القيام بذلك ليس عمليًا دائمًا، خاصة في عصر العمل عن بُعد. وهنا يصبح التسجيل الآمن عن طريق التحقق من الهوية أمراً ضرورياً.

يعد التحقق من الهوية أمرًا بالغ الأهمية في النقاط الرئيسية في دورة حياة أمن الهوية، لا سيما في المواقف عالية الخطورة مثل عندما يتم إلحاق مستخدم جديد أو عندما يحتاج إلى إعادة تعيين بيانات اعتماده أو استردادها. وهي مفيدة بشكل خاص في المواقف التي يكون فيها التحقق من هوية المستخدم غير عملي، مثل عندما يعمل الموظف ومديره ومكتب مساعدة تكنولوجيا المعلومات في مواقع منفصلة.

التسجيل الآمن ضروري أيضًا للتأكد من أن المؤسسة تعمل حقًا مع الشخص الذي تتوقعه. إذا قامت إحدى المؤسسات بتعيين جون وتعيينه ومنحه حق الوصول، فمن الأفضل أن يكون هذا المستخدم هو جون حقًا: أي تقرير التكلفة الأمنية لاختراق البيانات الصادر عن شركة IBM لعام 2023 أن "الهجمات التي بدأها أشخاص داخليون خبيثون كانت الأكثر تكلفة، بمتوسط 4.9 مليون دولار أمريكي"، وأن الاختراقات التي بدأها شخص داخلي استغرق اكتشافها 308 أيام. وقد وجد تقرير تحقيقات اختراق البيانات لعام 2024 الصادر عن شركة Verizon أن الجهات الداخلية كانت مسؤولة عن 351 تيرابايت من خروقات البيانات، "وهي زيادة كبيرة عن رقم العام الماضي الذي بلغ 201 تيرابايت من الاختراقات."

إن التحقق من هوية الموظف منذ البداية أمر بالغ الأهمية لتحقيق الأمن على المدى الطويل. وقد تم مؤخراً إعلان الخدمة العامة لمكتب التحقيقات الفدرالي/المركز الدولي الثالث سلطت الضوء على تهديد كوريا الشمالية بالاستفادة من الأفراد المقيمين في الولايات المتحدة للحصول على وظائف احتيالية والوصول إلى شبكات الشركات الأمريكية. أهم نصيحة لمكتب التحقيقات الفيدرالي هي تنفيذ التحقق من الهوية أثناء التوظيف لمنع الاحتيال على المرشحين، مما يؤكد أهمية عمليات التحقق من الهوية القوية.

وحتى إذا كان التجسس الذي ترعاه الدولة يبدو دراماتيكيًا للغاية، فلا تزال هناك مخاطر أقل (ولكنها لا تزال مخيفة) مزيفة مرشح الاتجاه عندما يجري الشخص "س" مقابلة لشغل وظيفة شاغرة ليظهر الشخص "ص" فقط.

من دون التحقق من الهوية، من الممكن تماماً أن يتم منح محتال أوراق اعتماد أو استرداد أوراق اعتماد شخص آخر من خلال التظاهر بأنه ذلك الشخص. يوفر التحقق من الهوية وسيلة للتدخل في النقاط عالية الخطورة عندما تكون هوية المستخدم أو عملية مصادقة ذلك المستخدم أو الاستحقاقات التي يجب أن يحصل عليها ذلك المستخدم غير واضحة. في عام 2022, تمكنت جهات التهديد من الوصول إلى الحسابات السحابية وحسابات البريد الإلكتروني الخاصة بمنظمة غير حكومية جزئيًا باستخدام هذه العملية.

توضح عملية التحقق من الهوية كل منهما، حيث تطلب من المستخدم ليس فقط إثبات هويته بناءً على بيانات الاعتماد التي يحملها، ولكن أيضًا للتحقق من أنه هي الشخص الذي يحق له الحصول على أوراق الاعتماد تلك.

إليك كيفية عمل ذلك في النقاط الرئيسية التي ذكرناها:

• تسجيل أوراق الاعتماد: يعمل التحقق من الهوية على تأمين التسجيل من خلال طلب إثبات الهوية، مثل القياسات الحيوية أو بطاقة هوية صادرة عن الحكومة، لإصدار أوراق اعتماد حق الميلاد للمستخدمين الجدد. منصات اليوم على الإنترنت لا تجعل هذا الأمر آمنًا فحسب، بل يجعل هذا الأمر مريحًا وعمليًا أيضًا. فبدلاً من الاضطرار إلى تقديم أنفسهم شخصياً مع إثبات الهوية في متناول اليد، يمكن للمستخدمين القيام بذلك رقمياً باستخدام التحقق من الهوية. وهذا يساعد العاملين عن بُعد ومؤسساتهم على العمل بأمان وفعالية.
• استرداد أوراق الاعتماد: بمجرد أن يكون لدى شخص ما بيانات الاعتماد الأساسية مثل اسم المستخدم وكلمة المرور، ليس من غير المعتاد أن يحاول أحد الفاعلين السيئين الاستيلاء على بيانات الاعتماد هذه من خلال الاتصال بمكتب المساعدة والادعاء بأنه نسيها. إن هجمات الفدية الخبيثة ALPHV على منتجعات لاس فيجاس باستخدام هذه التقنية - ويقال إنها كلفت $ 100 مليون دولار. يعد طلب إثبات الهوية أمرًا ضروريًا لإيقاف المحاولة - والآن يمكن القيام بذلك بطريقة سلسة للمستخدم الشرعي. لهذا السبب ستضيف RSA استرداد بيانات الاعتماد إلى سير عمل التحقق من الهوية في وقت لاحق من هذا العام.

في RSA، نحن نعمل مع شبكة بيانات الهوية, الرائدة في التحقق من الهوية، لتمكين عمليات التسجيل الآمن واسترداد بيانات الاعتماد الآمنة لعملاء RSA. تدمج شراكتنا هذه العمليات في RSA My Page، وهي إمكانية تسجيل الدخول الأحادي (SSO) الخاصة بنا.

تم دمج تقنية ID Dataweb بسلاسة في RSA My Page، مما يسمح للمستخدمين بالتحقق من هويتهم رقميًا بسرعة وأمان - بدلاً من الاضطرار إلى تحديد موقع أقرب مكتب والحضور إليه. كما أن استرداد بيانات الاعتماد لا يتطلب جهداً مماثلاً.

وقال مات كوكران، نائب الرئيس لشؤون المنتجات والعمليات في شركة "آي دي داتا ويب": "لا تزال 'آر إس إيه' رائدة في مجال الأمن من خلال منصتها المتطورة للهوية الموحدة. وأضاف: "من خلال دمج قدرات التحقق من الهوية التي لا مثيل لها من ID Dataweb، أصبح لدى 'آر إس إيه' الآن نشر بسيط بنقرة واحدة وبدون رمز لتدفقات عمل إثبات الهوية المتقدمة. ويعني دمج حلنا الأفضل في فئته أنه يمكن لمستخدمي RSA أن يكونوا على متنها ومنتجين بسلاسة وأمان."

بالنسبة لكل من التسجيل وبيانات الاعتماد، فإن عملية التحقق من الهوية هي عملية بسيطة من المصادقة الأولية يليها سير عمل التحقق من الهوية في ID Dataweb. يتم تمكين سير العمل هذا عن طريق اتصال OpenID Connect (OIDC) من RSA موصل للتحقق من المستخدم.

كل هذا جزء من منصة RSA Unified Identity Platform التي تجمع بين المصادقة والوصول والحوكمة ودورة الحياة لمساعدة المؤسسات على منع المخاطر واكتشاف التهديدات والتطور إلى ما بعد إدارة الهوية المؤسسية.

قم بتنزيل موجز الحل لمعرفة المزيد عن التحقق من الهوية باستخدام RSA.