في الأمن السيبراني، الهوية أمر بالغ الأهمية. ومع الهوية، يجب أن تكون قادرًا بشكل مطلق وإيجابي على الإجابة عن الأسئلة الأكثر أهمية: من الذي يصل إلى أنظمتك، وما الذي يمكنه الوصول إليه، وما إذا كان هذا الوصول مناسبًا.
تعمل فرق الأمن على الحصول على إجابات موثوقة منذ عقود. كان الأمر أسهل عندما كان الجميع يعملون من نفس الموقع، أو على الأقل من خلف نفس جدار الحماية. لكن اليوم، يمكن أن يعمل المستخدمون من أي مكان تقريباً، وقد يحتاجون إلى الوصول إلى التطبيقات والموارد في السحابة، أو عبر سحابات متعددة، أو في مركز بيانات.
يمكن أن تكون محاولة تأمين المستخدمين وحوكمتهم وإدارتهم عبر هذه البيئات أمراً معقداً. في الأقسام التالية، سنغطي في الأقسام التالية الأسئلة المتعلقة بالهوية والوصول التي يجب أن تطرحها فرق الأمان ونوضح كيف تساعدك حوكمة الهوية على تحويل هذه الإجابات إلى ضوابط أقوى وتقليل المخاطر وأدلة امتثال أوضح.
حوكمة الهوية مهم لأنه يساعدك على التحكم وإثبات من لديه حق الوصول إلى ماذا، وسبب حصوله عليه، وكيف يتغير هذا الوصول بمرور الوقت. في البيئات المختلطة، هذا هو الفرق بين افتراض الامتيازات الأقل وإنفاذها فعلياً.
بدون حوكمة، ينمو امتداد الوصول بهدوء مع تغيير المستخدمين لأدوارهم، وظهور تطبيقات جديدة، وتصبح الاستثناءات دائمة. وهذا يزيد من تأثير الاختراق ويبطئ التحقيقات ويجعل عمليات التدقيق أكثر صعوبة.
قبل أن تتمكن من تقليل مخاطر الهوية، أنت بحاجة إلى إجابات موثوقة حول الثقة في تسجيل الدخول ورؤية الوصول. ابدأ بفصل التحقق من الهوية عن فهم ماهية الوصول الموجود عبر الأنظمة والبيئات.
هل المستخدمون هم من يدعون أنهم هم؟
تتحقق إدارة الهوية والوصول (IAM) من هوية المستخدم عند تسجيل الدخول وتقرر ما إذا كان ينبغي السماح له بالدخول إلى النظام. ومن الناحية العملية، يعني ذلك التحقق من هوية المستخدم ومن ثم السماح له بالوصول إلى الموارد المناسبة، وغالباً ما يتم ذلك باستخدام المصادقة متعددة العوامل (MFA).
تُعد إدارة الوصول والمصادقة ضرورية، ولكنها ليست سوى الخطوة الأولى. بمجرد دخول المستخدم، لا تزال فرق الأمان بحاجة إلى رؤية ما يمكن لهذا المستخدم الوصول إليه عبر تطبيقات SaaS والبنية التحتية متعددة السحابة وأجهزة إنترنت الأشياء وأنظمة الجهات الخارجية. بدون هذه الرؤية، من الصعب اكتشاف الوصول المحفوف بالمخاطر، وتحديد أولويات تهديدات الهوية، ودعم متطلبات الأمان والخصوصية.
من يوجد على النظام وما الذي يمكنهم الوصول إليه؟
توفر حوكمة الهوية وإدارتها (IGA) إمكانية الرؤية والتحكم في من لديه حق الوصول إلى ماذا، عبر البيئات السحابية والمحلية. وهي تساعد الفرق على تحديد ماهية الوصول الموجود، وما إذا كان مناسباً، وكيف ينبغي تغييره بمرور الوقت.
تركز معظم برامج IGA على أربع قدرات أساسية:
- حوكمة الهوية: فهم ومراجعة من لديه حق الوصول إلى ماذا، بما في ذلك المستخدمين ذوي المخاطر العالية والأدوار والتطبيقات.
- دورة حياة الهوية: قم بأتمتة عمليات الانضمام والانتقال والمغادرة، بما في ذلك الطلبات والموافقات والتزويد وتطبيق السياسة.
- حوكمة الوصول إلى البيانات: تحديد من يمكنه الوصول إلى البيانات غير المهيكلة، واكتشاف الوصول الإشكالي ومعالجته بسرعة.
- إدارة الأدوار التجارية: حدد الأدوار والنُهج، وقلل من انتشار الأدوار، وقم بأتمتة اعتماد الأدوار.
عندما يتم إساءة استخدام الهوية أو اختراقها، فإن الوصول المفرط أو غير الواضح يزيد من التأثير. يساعد العرض المركزي للوصول الفرق على اكتشاف المشاكل في وقت مبكر، ودعم احتياجات الامتثال (بما في ذلك SOX وHIPAA واللائحة العامة لحماية البيانات (GDPR))، وتقليل العمل اليدوي المرتبط بالشهادات والطلبات والتزويد.
إن معرفة من لديه حق الوصول ليس سوى جزء من المشكلة. والخطوة التالية هي التأكد من أن الوصول مبرر ومناسب للدور ومقيد بالسياسة والمخاطر.
لماذا يحتاج المستخدمون إلى الوصول إلى موارد محددة؟
يحتاج المستخدمون إلى الوصول إلى الموارد لأداء مسؤوليات وظيفية محددة، وليس لأن لديهم حساباً أو ينتمون إلى قسم ما. تساعدك حوكمة الهوية على ربط الوصول بمبررات عمل واضحة ودور وسياسة معتمدة من المالك.
من الناحية التكتيكية، يعني هذا عادةً وضع نماذج وصول قائمة على الأدوار أو السياسات مع اشتراط وجود غرض معلن للاستثناءات، وتعيين مالكي التطبيقات والبيانات الذين يمكنهم الموافقة على الوصول بناءً على المخاطر والضرورة. وبمرور الوقت، تقلل الحوكمة من “انجراف الوصول” من خلال إعادة التحقق مما إذا كان الوصول لا يزال مطلوبًا مع تغيير المستخدمين لأدوارهم أو مشاريعهم.
ما الذي سيفعله المستخدمون مع وصول معين؟
الوصول ليس مجرد قرار بنعم أو لا. فهو يحدد الإجراءات التي يمكن للمستخدم اتخاذها، والبيانات التي يمكنه الوصول إليها، ومقدار الضرر الذي يمكن أن يسببه الحساب المخترق.
تساعد حوكمة الهوية فرق العمل على تقييم الوصول بناءً على المخاطر، بما في ذلك الإجراءات المميزة والتعرض للبيانات الحساسة والتركيبات السامة للوصول التي لا ينبغي أن تتواجد معاً. من الناحية العملية، هذا هو المكان الذي تقدم فيه أقل الامتيازات، والفصل بين الواجبات، وشهادات الوصول، وسير عمل المعالجة المستهدفة للاستحقاقات عالية المخاطر. هذا هو أيضًا المكان الذي يتم فيه تقديم قدرات ضمان الوصول المستمر، مثل تلك الموجودة في حوكمة RSA ودورة حياتها, ودعم سرعة الكشف والمعالجة.
كيف تحدد الامتيازات الأقل في الممارسة العملية؟
أقل امتياز يعني أن المستخدمين لديهم فقط حق الوصول الذي يحتاجونه للقيام بعملهم، للوقت الذي يحتاجون إليه، ولا شيء أكثر من ذلك. إنه ليس قراراً لمرة واحدة. إنه نظام مستمر.
تحدد الفرق الوصول المستند إلى الأدوار وحزم الوصول “الافتراضية”، ثم تعامل أي شيء خارج المعيار كاستثناء يحتاج إلى تبرير وموافقة. تمنع مراجعات الوصول المستمرة، والتحقق من الفصل بين الواجبات، والتنظيف المستهدف للاستحقاقات عالية الخطورة زحف الامتيازات مع تغير البيئة.
يتغير الوصول باستمرار مع انضمام الأشخاص وتغيير أدوارهم ومغادرتهم. تحافظ الحوكمة القوية على دقة الاستحقاقات من خلال عمليات سير العمل القابلة للتكرار والتحديثات في الوقت المناسب والمراجعات التي تؤدي إلى معالجة حقيقية.
كيف تقلل عمليات الانضمام والانتقال والمغادرة من المخاطر؟
تعمل عمليات الانضمام والانتقال والمغادرة على تقليل المخاطر من خلال مواءمة الوصول مع حالة التوظيف وتغييرات الأدوار، بحيث لا يستمر الوصول بعد انتفاء الحاجة إليه. عندما تتعطل عمليات سير العمل هذه، تصبح الحسابات اليتيمة والأذونات القديمة مسارات سهلة لإساءة الاستخدام.
الهدف العملي هو الاتساق والسرعة. حيث تعمل عملية دورة الحياة الجيدة على أتمتة الطلبات والموافقات والتزويد وإلغاء التزويد عبر الأنظمة، وتسجيل ما تم تغييره ولماذا. وهذا يقلل من امتداد الوصول، ويحد من تأثير الاختراق، ويجعل التحقيقات وعمليات التدقيق أسهل بكثير.
كيف تعمل مراجعات الوصول والشهادات في الواقع؟
تعمل مراجعات الوصول والتصديقات من خلال جعل المراجعين المناسبين يؤكدون ما إذا كان وصول المستخدم لا يزال مناسبًا، استنادًا إلى الدور والسياسة والمخاطر. ويكون الناتج عبارة عن مجموعة من القرارات، الموافقة أو الإلغاء أو التعديل، والتي يجب أن تؤدي إلى معالجة فعلية.
إذا تم إجراؤها بشكل جيد، يتم تحديد نطاق المراجعات بحيث تكون ذات نطاق وصول هادف، ويتم توجيهها إلى المالكين المسؤولين، ويتم تحديد أولوياتها حول الاستحقاقات عالية المخاطر. كما أنها تنتج أدلة جاهزة للتدقيق من خلال تتبع من قام بمراجعة ماذا، وماذا قرروا، ومتى قرروا ذلك، وما إذا كانت التغييرات قد اكتملت وتم التحقق منها.
يجب أن تكون حوكمة الهوية جزءًا من كل استراتيجية للمخاطر السيبرانية لأن معظم قرارات المخاطر ذات المغزى هي قرارات الوصول. إذا كنت لا تستطيع أن تشرح بثقة من لديه حق الوصول، ولماذا يمتلك هذا الحق، وما إذا كان ذلك مناسباً، فلن تتمكن من تقليل المخاطر أو الاستجابة بسرعة أو تقديم أدلة جاهزة للتدقيق.
تعمل الحوكمة على تفعيل استراتيجية المخاطر من خلال جعل الوصول قابلاً للقياس والتنفيذ. وهي تساعد الفرق على تحديد أولويات المعالجة بناءً على التأثير، والحد من الإفراط في الاستحقاق، ومنع الوصول اليتيم من خلال أتمتة المنضمين والمنتقلين والمغادرين. كما تقوم العديد من الفرق أيضًا بتحويل برنامجها إلى ما هو أبعد من الامتثال لمربع الاختيار من خلال تطبيق عدسة المخاطر على قرارات الوصول، كما هو موضح في منظور RSA حول لماذا تحتاج الحوكمة إلى منظور المخاطر.
يتطلب أمن الهوية القوي كلاً من التحقق عند تسجيل الدخول والحوكمة بعد منح الوصول. RSA الحلول و المنتجات دعم هذا العرض الكامل، من المصادقة إلى ضمان الوصول المستمر عبر البيئات المختلطة.
لمعرفة المزيد، استكشف حوكمة RSA ودورة حياتها لضمان الوصول المستمر، وقدرات المصادقة الخاصة بشركة RSA بما في ذلك مصادقة متعددة العوامل (MFA) و مصادقة بدون كلمة مرور.
تتحقق إدارة الهوية والوصول (IAM) من هوية المستخدم عند تسجيل الدخول وتحدد ما إذا كان ينبغي السماح له بالدخول إلى النظام. تقوم بمصادقة المستخدم وتخوله الوصول إلى الموارد المناسبة، وغالباً ما تستخدم المصادقة متعددة العوامل (MFA). تعد المصادقة متعددة العوامل (MFA) ضرورية، ولكنها ليست سوى الخطوة الأولى. بمجرد دخول المستخدم، لا تزال فرق الأمان بحاجة إلى رؤية ما يمكن لهذا المستخدم الوصول إليه عبر تطبيقات SaaS والبنية التحتية متعددة السحابة وأجهزة إنترنت الأشياء وأنظمة الجهات الخارجية.
توفر حوكمة الهوية وإدارتها (IGA) إمكانية الرؤية والتحكم في من لديه حق الوصول إلى ماذا عبر البيئات السحابية والمحلية. وهي تساعد الفرق على تحديد ما هو الوصول الموجود، وما إذا كان مناسباً، وكيف يجب أن يتغير بمرور الوقت. تركز معظم برامج IGA على حوكمة الهوية، ودورة حياة الهوية، وحوكمة الوصول إلى البيانات، وإدارة أدوار الأعمال. تساعد النظرة المركزية للوصول الفرق على اكتشاف المشاكل في وقت مبكر، ودعم احتياجات الامتثال، وتقليل العمل اليدوي المرتبط بالشهادات والطلبات والتزويد.
يحتاج المستخدمون إلى الوصول إلى الموارد لأداء مسؤوليات وظيفية محددة، وليس لأن لديهم حسابًا أو ينتمون إلى قسم ما. تربط حوكمة الهوية الوصول بمبررات عمل واضحة ودور وسياسة معتمدة من المالك. ومن الناحية العملية، يعني ذلك استخدام نماذج وصول قائمة على الأدوار أو نماذج وصول قائمة على السياسات، مما يتطلب غرضًا معلنًا للاستثناءات، وتعيين مالكي التطبيقات والبيانات الذين يمكنهم الموافقة على الوصول بناءً على المخاطر والضرورة.
الوصول ليس مجرد قرار بنعم أو لا. فهو يحدد الإجراءات التي يمكن للمستخدم اتخاذها، والبيانات التي يمكنه الوصول إليها، ومقدار الضرر الذي يمكن أن يسببه الحساب المخترق. تساعد حوكمة الهوية الفِرق على تقييم الوصول بناءً على المخاطر، بما في ذلك الإجراءات المميزة، والتعرض للبيانات الحساسة، والتركيبات السامة للوصول التي لا ينبغي أن تتواجد معًا. وهي تدعم الامتيازات الأقل والفصل بين الواجبات وشهادات الوصول وسير عمل المعالجة للاستحقاقات عالية المخاطر.
أقل امتياز يعني أن المستخدمين لديهم فقط الوصول الذي يحتاجون إليه للقيام بعملهم، للوقت الذي يحتاجون إليه، ولا شيء أكثر من ذلك. تحدد الفرق الوصول المستند إلى الأدوار وحزم الوصول الافتراضية، ثم تتعامل مع أي شيء خارج المعيار كاستثناء يحتاج إلى تبرير وموافقة. تمنع مراجعات الوصول المستمرة، والتحقق من الفصل بين الواجبات، والتنظيف المستهدف للاستحقاقات عالية الخطورة زحف الامتيازات مع تغير البيئة.
تقلل عمليات الانضمام والانتقال والمغادرة من المخاطر من خلال مواءمة الوصول مع حالة التوظيف وتغييرات الأدوار، بحيث لا يستمر الوصول بعد انتفاء الحاجة إليه. تعمل عملية دورة الحياة الجيدة على أتمتة الطلبات والموافقات والتزويد وإلغاء التزويد عبر الأنظمة، وتسجيل ما تم تغييره ولماذا. هذا يقلل من امتداد الوصول، ويحد من تأثير الاختراق، ويجعل التحقيقات والتدقيق أسهل.
تعمل مراجعات الوصول والاعتمادات من خلال قيام المراجعين المناسبين بتأكيد ما إذا كان وصول المستخدم لا يزال مناسبًا بناءً على الدور والسياسة والمخاطر. يقوم المراجعون بالموافقة على الوصول أو إلغائه أو تعديله، وينبغي أن تؤدي القرارات إلى معالجة فعلية. إذا تم إجراء المراجعات بشكل جيد، يتم تحديد نطاق المراجعات للوصول الهادف، وتوجيهها إلى المالكين المسؤولين، وتحديد الأولويات حول الاستحقاقات عالية المخاطر، وتتبعها كدليل جاهز للتدقيق.
