إن أضعف نقاط الضعف في مؤسستك ليست نظاماً غير محصّن، أو كلمة مرور سهلة التخمين أو فريق أمني محاصر.
بدلاً من ذلك، فإن نقطة الضعف الأكثر أهمية هي شيء أوسع بكثير وأصعب في إدارته: الثقة.
على مدى الأسابيع القليلة الماضية، شهدنا خلال الأسابيع القليلة الماضية سلسلة من الهجمات الإلكترونية التي تستخدم مزيجًا من الثغرات وتستهدف عددًا من القطاعات التي تستخدم جميعها الثقة لاختراق الأمن المؤسسي:
- إن هجوم سولارويندز استخدم نظام تحديث موثوق به لتثبيت شيفرة برمجية خبيثة في ما يصل إلى 18,000 مؤسسة، بما في ذلك وزارة الدفاع الأمريكية ووزارة الأمن الداخلي والإدارة الوطنية للأمن النووي والمستشفيات ووسائل الإعلام الكبرى.
- في الأسبوع الماضي، اخترقت حملة جديدة دبرتها نفس المجموعة التي تقف وراء "سولار ويندز" (Nobelium) مزود البريد الإلكتروني الخاص بـ "كونستانت كونتاكت" (Constant Contact) التابع لوكالة التنمية الدولية الأمريكية، لإرسال رسائل بريد إلكتروني تحتوي على عناوين URL خبيثة إلى ما يقرب من 3,000 حساب في أكثر من 150 مجموعة دولية للتنمية وحقوق الإنسان.
- يستفيد القراصنة من تغيير فيروس كورونا المستجد (كوفيد-19) القيود المفروضة على إرسال رسائل بريد إلكتروني مزيفة "من" كبار مسؤولي المعلومات لسرقة بيانات اعتماد الموظفين.
(لا نعرف على وجه اليقين ما إذا كانت المجموعة التي أجبرت JBS Foods تغلق عملياتها في الولايات المتحدة وأستراليا اعتمدت على تكتيكات مماثلة، لكننا سنواصل رصد القصة لنرى كيف لعبت الثقة دوراً في ذلك).

في جميع هذه الثغرات، يرسل الأشرار روابط أو عمليات تثبيت من موقع يُفترض أنه مصدر موثوق. قد يكون التكيف مع هذا الأمر صعبًا: في مجتمع معقد، يعمل عن بُعد ومن أي مكان، نحتاج إلى الوثوق بزملائنا وبائعينا وأنظمتنا للقيام بعملنا وتقديم الطلبات وإجراء المدفوعات وتلقيها.
يحتاج المستخدمون إلى الثقة. لكن المؤسسات لا تستطيع تحملها. على الإنترنت، يمكن أن تكون الثقة مسؤولية كبيرة.
لقد ناقشنا الثقة الصفرية قبل: إنه ليس رقم جزء أو منتج. لا يوجد SKU له أو نموذج طلب سريع لشرائه.
بل إن «نموذج الثقة الصفرية» هو مبدأ – إنه العقلية التي ينبغي على فرق الأمن البدء في تطويرها. وبشكل عام، فإن نهج ‘الثقة الصفرية’ هو نفس مبدأ «أقل الامتيازات» الكلاسيكي، ولكن تم توسيع نطاقه ليشمل نطاقًا أوسع. إنه طريقة لتحقيق التوازن الصحيح بين التكلفة والفوائد لحماية ما هو أهم دون إبطاء عمل المستخدمين أو تعطيل سير الأعمال.
إحدى أكثر الطرق فعالية للتحرك نحو تتمثل فلسفة «الثقة الصفرية» في إعطاء الأولوية للهوية وتذكّر أن إدارة الوصول إلى الهوية (IAM) وإدارة حوكمة الهوية (IGA) واسعة النطاق. فهي تنطبق على المستخدمين والموارد والتطبيقات و موردوك: لتطبيق نموذج ‘لا تثق أبدًا، تحقق دائمًا’ الذي يتبناه نهج «الثقة الصفرية»، عليك أن تبدأ بوضع سياسات حوكمة تمنح حق الوصول المناسب للمستخدمين المناسبين، مع الحفاظ على قائمة بأدوارهم وامتيازاتهم. وتحتاج الشركات إلى طرق أفضل وأسرع وأكثر ذكاءً لتتبع تلك المعلومات والتحكم فيها.
ومرة أخرى، فإن نظامي IAM و IGA موسعان: تؤكد الاختراقات الأخيرة في نوبليوم على الحاجة إلى جرد جميع الأنظمة والوصول وتوفير مصادقة قوية. تحتاج الأنظمة المستندة إلى السحابة على مستوى المؤسسة مثل Office 365 وSalesforce وSlack وConstant Contact إلى أنظمة أقوى, المصادقة القائمة على المخاطر لضمان الأمن السحابي وحماية كل من الهويات الشخصية والمواد التنظيمية الحساسة. علاوةً على ذلك، تُظهر الاختراقات أيضًا حاجة الشركات إلى التخلص من ضعفنا أمام كلمات المرور وبيانات اعتماد تسجيل الدخول المسروقة (واسترداد وفورات كبيرة) من خلال بدون كلمة مرور.

من خلال تحديد وإدارة وتقليل مقدار الثقة التي نمنحها للمستخدمين والموارد، يمكننا الاستفادة من علاقاتنا والحد من الضرر الذي قد تلحقه بنا وبزملائنا وبأعمالنا. في نهاية المطاف، لا يُعد نموذج «الثقة الصفرية» غاية في حد ذاته: بل هو رحلة نخوضها، نتعلم خلالها باستمرار ونعيد تعلم التنازلات التي يتعين علينا تقديمها في عالم الإنترنت. وقد أصبحت هذه الرحلة، بشكل متزايد، رحلة تستحق الخوض فيها.