چرا احراز هویت هنوز بزرگترین دردسر CISOها است

احراز هویت؛ مانعی برای مدیران ارشد امنیت اطلاعات

یکی از چالش‌های مهمی که مدیران ارشد امنیت اطلاعات در سازمان‌های بزرگ و کوچک همچنان با آن مواجه هستند، احراز هویت است. این عنصر امنیتی مهم و قدیمی دردسرهای مختلفی را برای مدیران امنیت سایبری که در پی شناسایی و احراز هویت کاربران و دستگاه‌های پراکنده در شهرها، مرزها و مناطق زمانی مختلف هستند ایجاد می‌کند. از طرفی مخاطرات پایدار مربوط به فرایندها و استراتژی‌های احراز هویت ناکارآمد، کسب‌وکارهایی را که خواهان  تسریع عملیات و اقدامات امنیتی هستند تهدید می‌کند. از این رو تیم‌های امنیت سایبری در سازمان‌ها در حال تلاش برای تجدیدنظر درباره احراز هویت در دنیای نوین هستند.

احراز هویت، مانعی بزرگ برای مدیران امنیت امروزی

مسئله احراز هویت همواره مدیران ارشد امنیت اطلاعات  را با استفاده از روش‌های مختلف محک می‌زند. بنا به گفته Lamont Orange مدیر ارشد امنیت اطلاعات Netskope: «پیش از هر چیز باید یک تعریف مدرن از احراز هویت ارایه دهیم». او می‌گوید: «برای توصیف روش‌های احراز هویت و مجوزدهی مورد نیاز برای دستگاه‌ها، برنامه‌های کاربردی و سیستم‌ها در کنار پشتیبانی از سیاست‌های امنیتی حاکم بر این تعاملات، از اصطلاحات مختلفی استفاده می‌کنیم. در گذشته احراز هویت را در ساختاری بسیار ساده پیاده‌سازی می‌کردیم. به این ترتیب که در صورت نیاز به دسترسی، باید آزمون‌های اعتبارنامه (نام کاربری/ رمز عبور) را بدون استفاده از احراز هویت چند مرحله‌ای برای هر درخواست کاربر/سرویس طی می‌کردیم. در حالی که در سازوکارهای احراز هویت امروزی باید احراز هویت مبتنی بر توکن و API به همراه قابلیت‌های احراز هویت چند مرحله‌ای را در نظر داشته باشیم». Orange معتقد است که چنین رویکردی منجر به ایجاد پیچیدگی‌های خاصی می‌شود.

احراز هویت همچنین مثل یک هدف حمله متحرک بوده و برای مقابله با تهدیدات و آسیب‌پذیری‌های جدید باید همواره در پی ارزیابی و تجدیدنظر درباره احراز هویت کاربران و دستگاه‌ها به روشی امن باشیم. تداوم تحول ابر نیز نقش مهمی در این زمینه دارد. Chris Hickman مدیر امنیت شرکت Keyfactor می‌گوید: «مدیران ارشد امنیت اطلاعات معمولاً دچار فقدان دید و قابلیت مقیاس‌پذیری برای پشتیبانی از چنین محیط‌هایی هستند. همچنین آنها باید جهت رفع نیازهایی که همواره تغییر می‌کنند به صورت پیوسته درگاه‌ها و ارایه‌دهندگان راهکارهای هویتی را پیکربندی نموده یا تغییراتی را در پیکربندی‌های‌شان ایجاد کنند».

چالش‌های ناشی از افزایش سختگیری برای اعتبارسنجی هویت‌ها هم از جمله مسائل مهمی است که در این زمینه وجود دارد. بنا به گفته Sammy Migues از شرکت Synopsys: «پیاده‌سازی بیشترین سطح سختگیری برای احراز هویت معمولاً در مقایسه با تضمین و اطمینان خاطری که برای سازمان‌ها و کارمندان ایجاد می‌شود، یک کار اضافه محسوب می‌شود».

اعتبارسنجی هویت‌ها

چالش‌های احراز هویت

چالش‌های ایجاد شده توسط سازوکارهای احراز هویت مدرن برای مدیران ارشد امنیت اطلاعات و سازمان‌ها بسیار زیاد هستند. این چالش‌ها شامل تعامل‌پذیری، کاربردپذیری، محدودیت‌های فنی و آسیب‌پذیری‌ها می‌باشند. Orange می‌گوید: «بسیاری از سازمان‌ها همچنان برای حل مشکلات مربوط به هویت کاربران با چالش‌های زیادی مواجه هستند. در حال حاضر پیچیدگی‌های احراز هویت مدرن منجر به ایجاد سطوح سیستمی، ماشین‌ها و فرصت‌های مدیریت اسراری می‌شود که باید تحت رسیدگی قرار بگیرند اما همه فناوری‌ها به اندازه‌ای بالغ نیستند که امکان استفاده از آنها وجود داشته باشد. بنابراین مدل‌های حاکمیتی متنوع و متفاوتی شکل می‌گیرد؛ گاهی اوقات پشتیبانی ضمنی از پروتکل‌های سنتی منجر به ایجاد خلأهای امنیتی می‌شود و ممکن است شیوه‌های مدیریت دسترسی و APIهای مورد استفاده بسیار متفاوت و غیرمنسجم باشند».

Greg Day مدیر ارشد امنیت اطلاعات در شرکت Cybereason می‌گوید: «مهمترین چالش، تجربیات کاربری است». Day می‌گوید: «کاربران معمولاً از حفظ کلمات عبور پیچیده و طولانی، به خاطر سپاری صد رمز مختلف برای فرایندها و حساب‌های کاربری متفاوت و وارد نمودن مکررشان فراری هستند. اگرچه استفاده از یک پین‌کد منحصربفرد برای هر تراکنش توسط کاربر منجر به ارتقا امنیت می‌شود ولی از طرفی زمان تکمیل تراکنش افزایش می‌یابد».

برای تغییر وضعیت کنونی احراز هویت، تیم‌های فناوری و امنیت باید در پی مدل‌هایی مثل اعتماد صفر باشند. بنا به گفته Hickman: «استراتژی‌های جدیدی مثل اعتماد صفر مستلزم احراز هویت قوی ماشین یا دستگاه هستند. سازمان‌ها معمولاً استراتژی هویت ماشینی و مدیریت اعتبارنامه‌های کاربری را تازه شروع کرده‌ و شناسایی و احراز هویت ماشین هم مثل شناسایی و احراز هویت کاربران در اشکال و فرم‌های مختلفی وجود دارد. مدیریت کارآمد کلیه مدل‌های احراز هویت مبتنی بر ماشین می‌تواند کار چالش برانگیزی باشد».

Migues معتقد است که مفاهیم احراز هویت بیومتریک منجر به ایجاد موانع قابل توجهی شده و می‌گوید: «احراز هویت بیومتریک انسان اطمینان مخاطرات بیشتری ایجاد می‌کند اما از طرفی پیاده‌سازی آن در مقیاس عظیم سخت‌تر است و امکان جعل چنین سیستم‌هایی هم وجود دارد. برای مثال برای ثبت هویت باید شخص به نحوی مشاهده شده و تصویر دقیقی از چشم‌ها، اثر انگشت، اسکن حرارتی و غیره وجود داشته باشد. چنین جزئیاتی به فرد مورد نظر گره می‌خورد. اکنون فرض کنید که شخص مد نظر حاضر می‌شود. این شخص باید چه مدارکی به همراه داشته باشد تا هویتش ثبت شود؟ فرض کنید مدارکی مثل گواهینامه، گواهی تولد، پاسپورت، و غیره برای ثبت هویت نیاز است. این مدارک چگونه اعتبارسنجی می‌شوند؟ اگر شخص رانندگی نکند و پاسپورت نداشته باشد چه باید کرد؟ شاید در پاسخ به این سوال بگویید که باید فقط به اندازه لازم حرکت کرد اما چنین رویکردی هم هزینه‌بر است. همه این بررسی‌ها مسلماً برای شخصی که قصد دسترسی به انبار تجهیزات هسته‌ای را دارد انجام می‌شود اما برای شخصی که مثلاً به دنبال دسترسی به شبکه LAN شرکتی است، چه کارهایی باید انجام داد؟ همچنین امیدوارم که با اجبار کاربران به انجام احراز هویت بیومتریک در تعامل با ربات‌ها فاصله زیادی داشته باشیم»!

چالش‌های احراز هویت

مخاطرات احراز هویت ناکارآمد

احراز هویت ناکارآمد مخاطرات مهم و قابل توجهی برای سازمان‌ها ایجاد نموده و منجر به دسترسی افراطی و غیرمجاز کاربران، سیستم‌ها/ ماشین‌ها، سرویس‌ها و دستگاه‌ها شده و ممکن است باعث افشای داده‌ها گردند. Orange می‌گوید: «در اکوسیستم DevOps ممکن است اجزای API در معرض آسیب‌پذیری‌های مختلفی مثل نقص احراز هویت در سطح شی قرار داشته باشند. همچنین احراز هویت ناکارآمد منجر به نشت APIها می‌شود و پیامدهایی مثل جریمه‌های سنگین ناشی از نقض حریم خصوصی، آسیب‌پذیری در برابر حملات نوظهور و سوءاستفاده موفق توسط باج‌افزارها از طریق گسترش سطح حمله را به دنبال دارد».

در واقع، داده‌ها یکی از ارزشمندترین دارایی‌های هر کسب‌وکاری هستند و اگر نتوانید کنترل کنید که چه اشخاصی به داده‌ها دسترسی داشته باشند، کسب‌وکارتان را در معرض خطر قرار داده‌اید. بنا به گفته Day: «دائماً شاهد پیامدهای واقعی این مسئله و مبالغ هنگفت دریافتی توسط باج‌افزارها هستیم. برای موفقیت هر کسب‌وکاری، کنترل اینکه چه شخصی به داده‌ها دسترسی دارد و اینکه این داده‌ها با چه شخصی به اشتراک گذاشته می‌شود، بسیار مهم و حیاتی است».

پس از انتشار گزارشات وسیعی درباره رخنه اطلاعاتی در سیستم‌های داخلی شرکت Okta (ارایه‌دهنده نرم‌افزار احراز هویت مبتنی بر ابر) توسط گروه باج‌افزاری LAPSUS$، این مسئله اهمیت بیشتری پیدا کرد. بر اساس مطالب منتشر شده در توئیتر، LAPSUS$ پایگاه داده Okta را هدف نگرفته بلکه برای دسترسی سطح بالا به سیستم‌های این شرکت، بر روی کاربران Okta متمرکز شده است. Matthew Prince مدیرعامل شرکت کلاودفلیر اعلام کرده که این شرکت اعتبارنامه کاربری Okta هر کارمندی که رمز خودش را در چهار ماه اخیر عوض کرده، برای احتیاط بازنشانی (ریست) می‌کند و به دنبال جایگزین‌هایی برای این نرم‌افزار احراز هویت خواهد بود.

روش‌های توصیه شده برای احراز هویت مدرن

به راحتی می‌توان اصول توصیه شده برای احراز هویت را برشمرد اما به گفته Migues پیاده‌سازی این اصول به خصوص در سازمان‌های بزرگ کار چندان راحتی نیست. او می‌گوید: «سعی نکنید خودتان یک سیستم توکن، رمزنگاری، پروتکل و غیره طراحی کنید. تعداد مشاوران امنیت سایبری با کیفیت بالا، دارای محصولات بالغ و هزاران کاربران بسیار زیاد است و حتی مهاجمان هم روزانه دیدگاه‌های خودشان را در این زمینه مطرح می‌کنند».

Migues در حال کار بر روی سازوکارهای احراز هویت بدون رمز عبور است و سعی می‌کند توجه شرکت‌ها را به اهمیت احرازهویت API به API جلب کند. او استفاده از NIST 800-63B و مطالب راهنمای مشابه برای پیاده‌سازی استراتژی احراز هویت را پیشنهاد می‌دهد و می‌گوید: «باید توجه کنید که در نهایت حمله بر ضد چنین سرویس‌هایی رخ می‌دهد؛ پس همه جا ابزارهای سرعت‌سنج را پیاده‌سازی کنید تا سرعت اجرای حملات خودکار را کاهش دهید».حملات سایبری خودکار

 

Orange معتقد است مشارکت تیم‌های حاکمیت، ریسک و پیروی از استانداردهای قانونی برای تأمین الزامات احراز هویت امروزی مهم است. Orange همچنین می‌گوید: «اجرای آزمون‌های پیوسته برای شناسایی نقاط ضعف و بازیابی قابلیت دید، انجام تحلیل زمینه‌ای از طریق ابزارهای پیاده‌سازی شده و همچنین آموزش جدی نیروی کار درباره تهدیدات مرتبط هم جزو اقدامات مهم هستند».

Day به مدیران ارشد امنیت اطلاعات توصیه می‌کند که اهمیت تجربیات کاربری را نادیده نگیرند؛ بنا به گفته او: «اگر فرایندهای احراز هویت بیش از حد پیچیده یا سخت باشند، کارمندان راهی برای دور زدن آنها پیدا می‌کنند». Day می‌گوید: «هدف باید یافتن رویکردی برای پیاده‌سازی مدیریت دسترسی مبتنی بر ریسک در همه سیستم‌های اطلاعاتی به صورت منسجم باشد».

 

منبع: csoonline

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.