يمثل البقاء في صدارة التهديدات الإلكترونية تحديًا مستمرًا لمعظم المؤسسات، ولهذا السبب تقوم الوكالات الحكومية بتحديث إرشاداتها ومتطلباتها باستمرار.
قامت مديرية الإشارات الأسترالية (ASD) مؤخرًا بتحديث الأساسي الثامن-والتي تمثل "استراتيجيات التخفيف الثمانية الأكثر فاعلية" للمؤسسات للدفاع ضد الهجمات الإلكترونية الأكثر تواتراً والأعلى تأثيراً، مع إرشادات جديدة مهمة بشأن المصادقة متعددة العوامل (MFA) للمساعدة في المعركة المستمرة ضد الجهات الفاعلة في مجال التهديدات.
بينما يُطلب من العديد من المؤسسات الحكومية المواءمة مع المعايير الثمانية الأساسية، لا ينبغي النظر إلى التحديثات على أنها عملية امتثال حكومية فقط. بدلاً من ذلك، تمثل التحديثات فرصة ل جميع المنظمات لتعزيز إطار عمل الأمن السيبراني من خلال اعتماد هذه المبادئ التوجيهية.
يتمثل أحد التغييرات الرئيسية التي تم إدخالها على أساسيات الثمانية في الشرط الجديد للمؤسسات لإدخال استخدام المصادقة متعددة الأطراف المقاومة للتصيد الاحتيالي، مثل أجهزة FIDO2. يعد هذا تغييرًا محوريًا ويمثل ارتفاعًا كبيرًا في آليات دفاع المؤسسات ضد أكثر تهديدات الأمن السيبراني انتشارًا: هجمات التصيد الاحتيالي، والتي كانت السبب الأكثر شيوعًا للاختراق وثاني أكثر التهديدات ضررًا على أرباح المؤسسات: وهي تقرير التكلفة الأمنية لاختراق البيانات الصادر عن شركة IBM لعام 2024 أن الاختراقات التي نتجت عن التصيد الاحتيالي كلفت في المتوسط 4.88 مليون دولار أمريكي.
مع تكرار هجمات التصيّد الاحتيالي وتأثيرها، تدعم RSA بقوة مركز الأمن السيبراني الأسترالي (ACSC) وإدارة أمن المعلومات الأسترالية لجعل هذا الأمر شرطًا لأي تطبيق لمفهوم المصادقة المالية المتعددة لتحقيق وضع "مستوى النضج 2" وبهدف نهائي يتمثل في الحد من المخاطر التي تتعرض لها المؤسسات.
FIDO2 هي تقنية مصممة لإحداث ثورة في المصادقة عبر الإنترنت. إنه نظام من جزأين يجعل تسجيل الدخول إلى مواقع الويب أكثر أمانًا وأكثر ملاءمة. باستخدام FIDO2، يمكنك استخدام القياسات الحيوية (مثل بصمة إصبعك)، أو مفتاح الأمان، أو هاتفك لتسجيل الدخول، بدلاً من الاعتماد على كلمات المرور التقليدية. تعد هذه الطريقة أكثر أمانًا، حيث يصعب على المهاجمين اختراق بيانات اعتماد المستخدمين أو تصيدها باستخدام FIDO2.
يتألف FIDO2 من بروتوكول خاص يتيح للأجهزة التواصل الآمن مع الخدمات عبر الإنترنت، وواجهة برمجة تطبيقات ويب تدمج هذه التقنية مباشرةً في متصفحات الويب مثل كروم أو سفاري، مما يجعل العملية برمتها سهلة الاستخدام. إنها طريقة أكثر ذكاءً لحماية الهويات والبيانات عبر الإنترنت.
كما يمكّن FIDO2 المؤسسات من التخلص التدريجي من كلمات المرور عبر بنيتها التحتية. لطالما كان "الاستغناء عن كلمات المرور" صرخة حاشدة لمعظم المؤسسات. ومع ذلك، على الرغم من المزايا الواضحة للأمان وسهولة الاستخدام ل FIDO2، إلا أن اعتماده في أستراليا كان للأسف منخفضًا للغاية. ويرجع ذلك في جزء كبير منه إلى أن البنية التحتية والأنظمة القديمة لا يمكنها الاستفادة من بروتوكولات FIDO2، مما يخلق عائقًا تقنيًا وماليًا كبيرًا أمام اعتمادها على نطاق واسع. لا تزال هذه الأنظمة القديمة تعتمد إلى حد كبير على أساليب MFA القديمة، مثل كلمة المرور لمرة واحدة (OTP).
لتحقيق أقصى استفادة ممكنة من استثماراتها السابقة، وتلبية المبادئ التوجيهية الثمانية الأساسية الجديدة، وتعزيز وضع الأمن السيبراني بشكل عام، يجب على المؤسسات دراسة التقنيات التي يمكن أن توفر في نفس الوقت FIDO2 ومفتاح مرور العميل المفتوح في نفس الحل، بأكثر الطرق غير المزعجة الممكنة.
تقدم RSA للمؤسسات خيارات فعالة من حيث التكلفة وآمنة للغاية تتجاوز هذه المتطلبات. و RSA Authenticatأو التطبيق نفسه معتمد من FIDO على نظامي Android وiOS. ثانياً، فإن أداة مصادقة الأجهزة RSA DS100 جهازًا معتمدًا من FIDO ويوفر OTP في لوحة عرض. وأخيراً، فإن سلسلة مفاتيح RSA iShield Key 2, مدعوم من Swissbit، يقدم جهاز معتمد من FIDO يدعم FIDO2 و TOTP ومعتمد من FIPS 140-3.
لقد استبعدت المبادئ التوجيهية الثمانية الأساسية القياسات الحيوية (بصمة الإصبع على هاتفك مثلاً) كطريقة مصادقة صالحة تحت أي من مستويات النضج. يجب مراجعة أي شرط لاستخدام هذا النوع من التكنولوجيا للوصول المميز، ويجب عدم استخدام القياسات الحيوية كوسيلة وحيدة لمنح الوصول.
وعلاوة على ذلك، فإن التعرف على الصوت هو نهج آخر لمنح حق الوصول حيث يتم تحدي المستخدم باستخدام صوته للوصول إلى شيء ما. وتتيح تقنيات الذكاء الاصطناعي التوليدي اليوم للجهات المهددة استنساخ أي صوت باستخدام مجموعة عينات صغيرة، والنتائج مقنعة للغاية: مؤشر فيريزون 2023 لأمن الهواتف المحمولة تشير الورقة البحثية إلى أن "سبع كلمات يمكن أن تكون عينة كافية لخلق تقليد يمكن تصديقه لصوت شخص ما".
في ضوء هذا التطور، قد يكون من الإنصاف القول بأن تقنية التعرف على الصوت هي في الواقع تقنية ميتة للمصادقة. تؤكد التحديثات الثمانية الأساسية للقياسات الحيوية الأساسية على ضرورة توخي المؤسسات الحذر من التطورات السريعة في عالم تكنولوجيا الذكاء الاصطناعي التوليدي وعلاقتها بالهوية والأمن. كن يقظاً!
يتطلب تبني هذه التغييرات التخطيط والتنفيذ الاستراتيجيين. تتمثل الخطوة الأولى في ضمان المواءمة مع مخصصات الميزانية والموارد. قد يتطلب دمج نظام المصادقة الآلية الأكثر تطوراً موارد أولية كبيرة ولكنه يمثل استثماراً طويل الأجل في الأمن الرقمي الشامل للمؤسسة. عندما يكون الشيء مجانيًا، فإنك تحصل دائمًا على ما دفعت من أجله.
مشاركة الموظفين أمر بالغ الأهمية أيضاً. حيث تعتمد فعالية التدابير الأمنية الجديدة إلى حد كبير على فهم المستخدم و"اقتناعه". إن توفير التدريب وتعزيز ثقافة الوعي بالأمن الإلكتروني بشكل مستمر سيسهل الانتقال السلس إلى أساليب المصادقة الجديدة.
لقد رأينا المؤسسات تحصل على قبول أسرع من الموظفين من خلال إشراكهم في عملية الانتقال وتمكينهم من الموارد الجديدة بدلاً من فرض التغيير عليهم. ويمكن أن يساعد في ذلك توفير خدمة ذاتية للمستخدمين تتيح لهم الاختيار من بين مجموعة متنوعة من أساليب المصادقة المتعددة المتكافئة.
علاوة على ذلك، وعلى نفس القدر من الأهمية، من الضروري تحقيق التوازن بين الأمن السيبراني والكفاءة التشغيلية. يجب ألا يعيق تنفيذ تدابير المصادقة المصغّرة (MFA) تجربة المستخدم أو العمليات التجارية. يمكن أن يكون تحقيق التوازن الصحيح بين بروتوكولات الأمان الصارمة وتجربة المستخدم أمرًا صعبًا ولكنه أساسي لنجاح الاعتماد. علاوة على ذلك، يجب مراعاة الأنظمة القديمة - اختر مزودًا يمكنه حماية الموارد القديمة مع القدرة على حماية الأنظمة المتطورة.
تؤكد المبادئ التوجيهية الثمانية الأساسية المحدّثة على أهمية إدارة المخاطر. يقلل تطبيق حل قوي للمصادقة الآلية من احتمالية الوصول غير المصرح به وبالتالي الانتهاكات المحتملة للبيانات. وبالتالي، فإن هذه التدابير تقلل إلى حد كبير من المخاطر الإجمالية للبنية التحتية الرقمية.
لهذا السبب نحث جميع المؤسسات على التعامل مع المبادئ التوجيهية الثمانية الأساسية المنقحة لصندوق النقد الدولي باعتبارها أكثر بكثير من مجرد شرط امتثال للمؤسسات الحكومية والشركات التابعة لها فقط، بل يجب أن ننظر إليها على حقيقتها: مسار استراتيجي لتحصين أي المؤسسة ضد التهديدات السيبرانية.
