چرا احراز هویت هنوز بزرگترین دردسر CISOها است
یکی از چالشهای مهمی که مدیران ارشد امنیت اطلاعات در سازمانهای بزرگ و کوچک همچنان با آن مواجه هستند، احراز هویت است. این عنصر امنیتی مهم و قدیمی دردسرهای مختلفی را برای مدیران امنیت سایبری که در پی شناسایی و احراز هویت کاربران و دستگاههای پراکنده در شهرها، مرزها و مناطق زمانی مختلف هستند ایجاد میکند. از طرفی مخاطرات پایدار مربوط به فرایندها و استراتژیهای احراز هویت ناکارآمد، کسبوکارهایی را که خواهان تسریع عملیات و اقدامات امنیتی هستند تهدید میکند. از این رو تیمهای امنیت سایبری در سازمانها در حال تلاش برای تجدیدنظر درباره احراز هویت در دنیای نوین هستند.
احراز هویت، مانعی بزرگ برای مدیران امنیت امروزی
مسئله احراز هویت همواره مدیران ارشد امنیت اطلاعات را با استفاده از روشهای مختلف محک میزند. بنا به گفته Lamont Orange مدیر ارشد امنیت اطلاعات Netskope: «پیش از هر چیز باید یک تعریف مدرن از احراز هویت ارایه دهیم». او میگوید: «برای توصیف روشهای احراز هویت و مجوزدهی مورد نیاز برای دستگاهها، برنامههای کاربردی و سیستمها در کنار پشتیبانی از سیاستهای امنیتی حاکم بر این تعاملات، از اصطلاحات مختلفی استفاده میکنیم. در گذشته احراز هویت را در ساختاری بسیار ساده پیادهسازی میکردیم. به این ترتیب که در صورت نیاز به دسترسی، باید آزمونهای اعتبارنامه (نام کاربری/ رمز عبور) را بدون استفاده از احراز هویت چند مرحلهای برای هر درخواست کاربر/سرویس طی میکردیم. در حالی که در سازوکارهای احراز هویت امروزی باید احراز هویت مبتنی بر توکن و API به همراه قابلیتهای احراز هویت چند مرحلهای را در نظر داشته باشیم». Orange معتقد است که چنین رویکردی منجر به ایجاد پیچیدگیهای خاصی میشود.
احراز هویت همچنین مثل یک هدف حمله متحرک بوده و برای مقابله با تهدیدات و آسیبپذیریهای جدید باید همواره در پی ارزیابی و تجدیدنظر درباره احراز هویت کاربران و دستگاهها به روشی امن باشیم. تداوم تحول ابر نیز نقش مهمی در این زمینه دارد. Chris Hickman مدیر امنیت شرکت Keyfactor میگوید: «مدیران ارشد امنیت اطلاعات معمولاً دچار فقدان دید و قابلیت مقیاسپذیری برای پشتیبانی از چنین محیطهایی هستند. همچنین آنها باید جهت رفع نیازهایی که همواره تغییر میکنند به صورت پیوسته درگاهها و ارایهدهندگان راهکارهای هویتی را پیکربندی نموده یا تغییراتی را در پیکربندیهایشان ایجاد کنند».
چالشهای ناشی از افزایش سختگیری برای اعتبارسنجی هویتها هم از جمله مسائل مهمی است که در این زمینه وجود دارد. بنا به گفته Sammy Migues از شرکت Synopsys: «پیادهسازی بیشترین سطح سختگیری برای احراز هویت معمولاً در مقایسه با تضمین و اطمینان خاطری که برای سازمانها و کارمندان ایجاد میشود، یک کار اضافه محسوب میشود».
چالشهای احراز هویت
چالشهای ایجاد شده توسط سازوکارهای احراز هویت مدرن برای مدیران ارشد امنیت اطلاعات و سازمانها بسیار زیاد هستند. این چالشها شامل تعاملپذیری، کاربردپذیری، محدودیتهای فنی و آسیبپذیریها میباشند. Orange میگوید: «بسیاری از سازمانها همچنان برای حل مشکلات مربوط به هویت کاربران با چالشهای زیادی مواجه هستند. در حال حاضر پیچیدگیهای احراز هویت مدرن منجر به ایجاد سطوح سیستمی، ماشینها و فرصتهای مدیریت اسراری میشود که باید تحت رسیدگی قرار بگیرند اما همه فناوریها به اندازهای بالغ نیستند که امکان استفاده از آنها وجود داشته باشد. بنابراین مدلهای حاکمیتی متنوع و متفاوتی شکل میگیرد؛ گاهی اوقات پشتیبانی ضمنی از پروتکلهای سنتی منجر به ایجاد خلأهای امنیتی میشود و ممکن است شیوههای مدیریت دسترسی و APIهای مورد استفاده بسیار متفاوت و غیرمنسجم باشند».
Greg Day مدیر ارشد امنیت اطلاعات در شرکت Cybereason میگوید: «مهمترین چالش، تجربیات کاربری است». Day میگوید: «کاربران معمولاً از حفظ کلمات عبور پیچیده و طولانی، به خاطر سپاری صد رمز مختلف برای فرایندها و حسابهای کاربری متفاوت و وارد نمودن مکررشان فراری هستند. اگرچه استفاده از یک پینکد منحصربفرد برای هر تراکنش توسط کاربر منجر به ارتقا امنیت میشود ولی از طرفی زمان تکمیل تراکنش افزایش مییابد».
برای تغییر وضعیت کنونی احراز هویت، تیمهای فناوری و امنیت باید در پی مدلهایی مثل اعتماد صفر باشند. بنا به گفته Hickman: «استراتژیهای جدیدی مثل اعتماد صفر مستلزم احراز هویت قوی ماشین یا دستگاه هستند. سازمانها معمولاً استراتژی هویت ماشینی و مدیریت اعتبارنامههای کاربری را تازه شروع کرده و شناسایی و احراز هویت ماشین هم مثل شناسایی و احراز هویت کاربران در اشکال و فرمهای مختلفی وجود دارد. مدیریت کارآمد کلیه مدلهای احراز هویت مبتنی بر ماشین میتواند کار چالش برانگیزی باشد».
Migues معتقد است که مفاهیم احراز هویت بیومتریک منجر به ایجاد موانع قابل توجهی شده و میگوید: «احراز هویت بیومتریک انسان اطمینان مخاطرات بیشتری ایجاد میکند اما از طرفی پیادهسازی آن در مقیاس عظیم سختتر است و امکان جعل چنین سیستمهایی هم وجود دارد. برای مثال برای ثبت هویت باید شخص به نحوی مشاهده شده و تصویر دقیقی از چشمها، اثر انگشت، اسکن حرارتی و غیره وجود داشته باشد. چنین جزئیاتی به فرد مورد نظر گره میخورد. اکنون فرض کنید که شخص مد نظر حاضر میشود. این شخص باید چه مدارکی به همراه داشته باشد تا هویتش ثبت شود؟ فرض کنید مدارکی مثل گواهینامه، گواهی تولد، پاسپورت، و غیره برای ثبت هویت نیاز است. این مدارک چگونه اعتبارسنجی میشوند؟ اگر شخص رانندگی نکند و پاسپورت نداشته باشد چه باید کرد؟ شاید در پاسخ به این سوال بگویید که باید فقط به اندازه لازم حرکت کرد اما چنین رویکردی هم هزینهبر است. همه این بررسیها مسلماً برای شخصی که قصد دسترسی به انبار تجهیزات هستهای را دارد انجام میشود اما برای شخصی که مثلاً به دنبال دسترسی به شبکه LAN شرکتی است، چه کارهایی باید انجام داد؟ همچنین امیدوارم که با اجبار کاربران به انجام احراز هویت بیومتریک در تعامل با رباتها فاصله زیادی داشته باشیم»!
مخاطرات احراز هویت ناکارآمد
احراز هویت ناکارآمد مخاطرات مهم و قابل توجهی برای سازمانها ایجاد نموده و منجر به دسترسی افراطی و غیرمجاز کاربران، سیستمها/ ماشینها، سرویسها و دستگاهها شده و ممکن است باعث افشای دادهها گردند. Orange میگوید: «در اکوسیستم DevOps ممکن است اجزای API در معرض آسیبپذیریهای مختلفی مثل نقص احراز هویت در سطح شی قرار داشته باشند. همچنین احراز هویت ناکارآمد منجر به نشت APIها میشود و پیامدهایی مثل جریمههای سنگین ناشی از نقض حریم خصوصی، آسیبپذیری در برابر حملات نوظهور و سوءاستفاده موفق توسط باجافزارها از طریق گسترش سطح حمله را به دنبال دارد».
در واقع، دادهها یکی از ارزشمندترین داراییهای هر کسبوکاری هستند و اگر نتوانید کنترل کنید که چه اشخاصی به دادهها دسترسی داشته باشند، کسبوکارتان را در معرض خطر قرار دادهاید. بنا به گفته Day: «دائماً شاهد پیامدهای واقعی این مسئله و مبالغ هنگفت دریافتی توسط باجافزارها هستیم. برای موفقیت هر کسبوکاری، کنترل اینکه چه شخصی به دادهها دسترسی دارد و اینکه این دادهها با چه شخصی به اشتراک گذاشته میشود، بسیار مهم و حیاتی است».
پس از انتشار گزارشات وسیعی درباره رخنه اطلاعاتی در سیستمهای داخلی شرکت Okta (ارایهدهنده نرمافزار احراز هویت مبتنی بر ابر) توسط گروه باجافزاری LAPSUS$، این مسئله اهمیت بیشتری پیدا کرد. بر اساس مطالب منتشر شده در توئیتر، LAPSUS$ پایگاه داده Okta را هدف نگرفته بلکه برای دسترسی سطح بالا به سیستمهای این شرکت، بر روی کاربران Okta متمرکز شده است. Matthew Prince مدیرعامل شرکت کلاودفلیر اعلام کرده که این شرکت اعتبارنامه کاربری Okta هر کارمندی که رمز خودش را در چهار ماه اخیر عوض کرده، برای احتیاط بازنشانی (ریست) میکند و به دنبال جایگزینهایی برای این نرمافزار احراز هویت خواهد بود.
روشهای توصیه شده برای احراز هویت مدرن
به راحتی میتوان اصول توصیه شده برای احراز هویت را برشمرد اما به گفته Migues پیادهسازی این اصول به خصوص در سازمانهای بزرگ کار چندان راحتی نیست. او میگوید: «سعی نکنید خودتان یک سیستم توکن، رمزنگاری، پروتکل و غیره طراحی کنید. تعداد مشاوران امنیت سایبری با کیفیت بالا، دارای محصولات بالغ و هزاران کاربران بسیار زیاد است و حتی مهاجمان هم روزانه دیدگاههای خودشان را در این زمینه مطرح میکنند».
Migues در حال کار بر روی سازوکارهای احراز هویت بدون رمز عبور است و سعی میکند توجه شرکتها را به اهمیت احرازهویت API به API جلب کند. او استفاده از NIST 800-63B و مطالب راهنمای مشابه برای پیادهسازی استراتژی احراز هویت را پیشنهاد میدهد و میگوید: «باید توجه کنید که در نهایت حمله بر ضد چنین سرویسهایی رخ میدهد؛ پس همه جا ابزارهای سرعتسنج را پیادهسازی کنید تا سرعت اجرای حملات خودکار را کاهش دهید».
Orange معتقد است مشارکت تیمهای حاکمیت، ریسک و پیروی از استانداردهای قانونی برای تأمین الزامات احراز هویت امروزی مهم است. Orange همچنین میگوید: «اجرای آزمونهای پیوسته برای شناسایی نقاط ضعف و بازیابی قابلیت دید، انجام تحلیل زمینهای از طریق ابزارهای پیادهسازی شده و همچنین آموزش جدی نیروی کار درباره تهدیدات مرتبط هم جزو اقدامات مهم هستند».
Day به مدیران ارشد امنیت اطلاعات توصیه میکند که اهمیت تجربیات کاربری را نادیده نگیرند؛ بنا به گفته او: «اگر فرایندهای احراز هویت بیش از حد پیچیده یا سخت باشند، کارمندان راهی برای دور زدن آنها پیدا میکنند». Day میگوید: «هدف باید یافتن رویکردی برای پیادهسازی مدیریت دسترسی مبتنی بر ریسک در همه سیستمهای اطلاعاتی به صورت منسجم باشد».
منبع: csoonline