چالشهای مربوط به عدم آشکار نمودن هویت اصلی کاربر، موضوع تازهای نبوده و تاریخ مملو از فریبکاریها و کلاهبرداریهای بسیار زیاد در این زمینه است. برای مثال در دوره جنگ تروا مصریان باستان توانستند با مخفی کردن نیروهای نظامی خود در اسبهای چوبی، بدون جلب توجه به شهر تروا نفوذ کنند. در قرن شانزدهم میلادی نیز در فرانسه، یک کلاهبردار بیپول خود را به جای شخص دیگری جا زده و املاک وی را تصاحب نمود. در اوایل قرن 19 میلادی هم فردی به نام “Frederik Emerson Peters” موفق شد با استفاده از چکهای تقلبی و جعل هویت هنرپیشهها، اشخاص مشهور و نویسندگان، بعضی از بانکها را فریب دهد.
با نگاهی به وضعیت امروزی کاملاً واضح است که با استفاده گسترده از فناوریهای دیجیتال، مهاجرت پلتفرمها به سرویسهای ابری، روشهای جدید کاری (مثل دورکاری) و نوآوریهای بیوقفه مهاجمان سایبری، پیچیدگی مسائل مربوط به هویت و دسترسیهای ویژه از لحاظ امنیتی رو به افزایش است. جعل هویت و دستکاری مجوزهای دسترسی یکی از ابزارهای کلیدی در حملات سایبری مدرن و هدفمند به شمار میروند.
بر اساس آمار و نتایج تحقیقات انجام شده، حدود 90 درصد از سازمانها در یک برهه زمانی دچار نفوذهای امنیتی شدند که از طریق پنهان نمودن هویت یا سوءاستفاده از هویتهای واقعی افراد رخ دادند. از این رو تیمهای امنیتی متعددی در تلاش هستند آسیبپذیریهای امنیتی را از بین برده و رویکردهایشان را نیز بهبود بخشند. در گام اول، هدف آنها ارایه یک طرح کلی از مخاطرات مربوط به مجوزهای هویتی و همچنین دسترسیهای ویژه است. آنها معتقدند که سامانه مدیریت حقوق دسترسیها (PAM) باید به عنوان هسته اصلی تمام رویکردهای امنیت هویتی در نظر گرفته شود.
تیم امنیتی شما باید راهکارهای فناورانه منعطفی را شناسایی کند که قابل اجرا در سازمان بوده و به بالا بردن امنیت نهادهای هویتی کمک میکنند. این راهکارها همچنین باید از دسترسیهای سطح بالا (همچنین در محیطهای ترکیبی و سرویسهای ابری که ممکن است مخاطراتی را ایجاد کنند) محافظت نمایند. از طرف دیگر، شناسایی دقیق نیازمندیهای فنی در طول فرایندهای ارزیابی و خریداری برای سازمانهایی که به صورت مستمر در حال ایجاد تغییر و تکامل در کسبوکارشان هستند چندان آسان نبوده و پیشبینی نیازهای سازمان تقریباً غیرممکن است.
در این مطلب از فراست مجموعهای از سؤالات کلیدی و ملاحظاتی که میتوانند در تسهیل فرایند ارزیابی و انتخاب فروشنده و ابزار مناسب به کارشناسان امنیت IT کمک کرده و آنها را در راستای تحقق اهداف امنیت نهادهای هویتی و مدیریت دسترسیهای ویژه راهنمایی کنند، مورد بررسی قرار میدهیم.
بعضی از سؤالاتی که باید از ارایهدهندگان سامانه مدیریت دسترسی ویژه و امنیت هویتی مدنظرتان بپرسید، شامل موارد زیر هستند:
آیا این سامانه از زیرساخت ترکیبی پشتیبانی میکند؟
یک راهکار مدیریت دسترسیهای ویژه مناسب شامل مجموعهای از فناوریهای ترکیبی قابل گسترش بوده و کارایی عملیاتی را در کلیه نهادهای هویتی، زیرساخت و برنامههایی که دارای ساختار ترکیبی بوده یا در محیطهای ابری مورد استفاده قرار میگیرند، افزایش میدهد. توصیه میشود جهت حصول اطمینان از انطباق و پوشش کامل چنین راهکاری به موارد زیر توجه کنید:
- آیا این راهکار به صورت یکپارچه و به شیوهای کارآمد و مقرون به صرفه، کاربران (انسان و ماشین) را به منابع موجود متصل میکند.
- آیا این راهکار به شما کمک میکند تا با استفاده از ابزارها و سرویسهای شناخته شده که مورد تأیید متخصصان هستند با استانداردهای انطباق مشتری و نیازمندیهای حریم خصوصی سازگار شوید.
- آیا چنین راهکاری بدون وارد نمودن کوچکترین لطمهای به میزان سود کسبوکارتان، امکان یکپارچهسازی با برنامههای فعلی و جدید یا توسعه زیرساخت را فراهم میکند.
آیا این سامانه قابلیت پشتیبانی از تراکنشهای متنوع را داشته و با اهداف تحول دیجیتالیتان همخوانی دارد؟
مشاغل و کسبوکارها به منظور ایجاد تحول در توسعههای نرمافزاری از DevOps استفاده نموده و به کمک رویکرد نرمافزاری خودکارسازی فرایندهای رباتیک (RPA) توانستهاند مرزهای قدرت تنظیمات خودکار را نیز گسترش دهند. PAM به شما کمک میکند با تجمیع سیستم فعلی با فناوری خودکارسازی، اسکریپتها و رابطهای کاربری (API) برنامههای مبتنی بر گردش کار (Workflow) و همچنین بدون اینکه امنیت سازمانتان دچار مخاطره شود از مزایای افزایش کارایی و بهرهوری ناشی از تحولات دیجیتالی به صورت کامل بهرهمند شوید. پیش از خرید این سامانه حتماً موارد زیر را مورد بررسی قرار دهید:
- آیا این سامانه می تواند حجم زیادی از اعتبارنامههای تعبیه شده در DevSecOps، خدمات ابری و برنامههای سنتی را به صورت پیوسته مدیریت کند.
- آیا این سامانه امکان ایجاد یک محیط رمزنگاری شده امن (که همه اعتبارنامههای حساستان به صورت امن در آن ذخیره شوند) و مدیریت اعتبارنامههای حسابهای ویژه که به وسیله رباتهای نرمافزاری و مدیران RPA مورد استفاده قرار میگیرند را فراهم میکند.
- آیا این سامانه از قابلیت مدیریت خودکار چرخه برنامه به منظور تقویت بهرهوری و به حداقل رساندن مدت زمان تأخیرها پشتیبانی میکند.
- آیا این سامانه، مجوز استفاده از رویکرد امنیتی Just-in-time (که در آن مجوز دسترسی فقط برای یک مدت زمان از پیش تعیین شده و بر اساس نیاز تخصیص داده میشود) در حسابهای کاربری مشترک یا روش لیوان شکسته (که در آن دسترسی فوری به حساب کاربری که فرد در حالت عادی مجوز دسترسی به آن ندارد، داده میشود) را میدهد.
آیا تجربه کاربر در این سامانه در اولویت قرار دارد؟
یکی از عناصر حیاتی در بحث امنیت سازمانها افراد هستند. هر عاملی که منجر به افزایش پیچیدگی یا مسئولیت در بحث مدیریت و محافظت از دسترسیهای ویژه شود، سطح مخاطرات امنیتی را افزایش و بهرهوری را کاهش خواهد داد. جهت برآورد تأثیرات احتمالی این سامانه بر روی تجربه کاربری، سؤالات زیر را مطرح کنید:
- آیا کار کردن با چنین سامانهای برای کاربران آسان بوده و علاوه بر ایجاد امنیت و توازن در بین دسترسیهای بدون مشکل و مستقیم، کنترلهای امنیت هویتی قوی را نیز به وجود میآورد.
- آیا سامانه میتواند با نظارت و دسترسی از راه دور، بیشترین میزان تأثیر را داشته و نیازمندیهای مربوط به دسترسی را مدیریت کند.
- آیا سامانه از قابلیتهای سرویس خودکار و گردشهای کاری خودگردان برای کمک به حفظ کارایی و بهرهوری کاربران پشتیبانی میکند.
- آیا امکان پیادهسازی و اجرای سامانه از طریق یک مدل مقرون به صرفه و منعطف SaaS که به کاهش بار عملیاتی و هزینههای سازمان کمک میکند، وجود دارد.
آیا این سامانه قابلیت مواجه با چالشهای آتی را دارد؟
شناسههای هویتی همزمان با ادغام سنسورها و فناوریهای عملیاتی به میکروسرویسها، رباتهای نرمافزاری و سرویسهای مجازی تکامل یافته و پیچیدهتر شدهاند. یک راهکار اثربخش باید قابلیت همگامسازی نیازهای امنیتی و فرصتهای تجاری دیجیتال آینده را با یکدیگر داشته باشد. پیش از خرید چنین راهکاری موارد زیر را در نظر داشته باشید:
- آیا این سامانه میتواند نقش مؤثری در خریدهای راهبردی هوش تجاری داشته و یک خطمشی قوی و محکم R&D را برای بررسی تهدیدات و همچنین موارد مورد استفاده ارایه دهد.
- آیا این سامانه به منظور بهبود کارایی، دیدگاه محققان امنیتی درباره رویکردهای نوظهور را مورد بررسی قرار میدهد.
آیا این سامانه نقش مؤثری در مقابله با تهدیدات امنیتی خواهد داشت؟
بنا به توصیه آژانس امنیت ملی آمریکا سازمانها باید همواره آمادگی لازم برای مقابله با مخاطرات امنیتی را داشته باشند. یک راهکار مناسب باید تمام ارتباطات را غیرامن در نظر گرفته مگر آنکه به صراحت مورد تأیید واقع شوند. پیش از انتخاب راهکار مدنظرتان موارد زیر را بررسی کنید:
- این راهکار به منظور ایجاد امنیت در کلیه نهادهای هویتی باید روشهای دسترسی پایهای را از طریق قواعد امنیتی پویا اعمال کند.
- این راهکار باید امکان استفاده از یک رویکرد Zero Trust که احراز هویت و اعطای مجوز تطبیقی را به همراه مجموعهای از بازرسیهای غیرقابل دستکاری از کلیه فعالیتها به کار میبرد، فراهم نماید.
- این راهکار باید مخاطرات امنیتی و هزینههای مربوطه را از طریق یک چارچوب موفق که همواره در حال اصلاح است، کاهش دهد.
آیا این فناوری امکان پشتیبانی از یک محیط گسترده را دارد؟
از آنجا که هویت، رشته اتصال بخشهای زیرساخت اطلاعاتی و فناوری یک سازمان است، راهکار مناسب میبایست توانایی مشارکت با طیف گستردهای از برنامهها، سرویسها و تأمینکنندگان را داشته باشد. پیش از انتخاب راهکار مدنظرتان و به منظور کاهش هزینههای مربوط به انجام کارهای فنی تکراری و همچنن صرف زمان و هزینه در فناوریهای غیرقابل استفاده، موارد زیر را مورد بررسی قرار دهید:
- آیا این سامانه امکان ادغام با سایر رویکردها را به منظور حفظ ارزش داراییها و سرویسهای فناوری اطلاعات دارد.
- آیا این سامانه قابلیت یکپارچهسازی سرویسها را دارد.
- آیا این سامانه به سادگی از طریق پروتکلها و استانداردهای قابل اعتماد و پذیرفته شده نظیر SAML ،REST و OAUTH قابل ادغام است.
نتیجهگیری
از آنجا که اطلاعات سازمانی از جمله داراییهای مهم هر کسبوکار بوده و ممکن است توسط مجرمان سایبری مورد سوءاستفاده قرار گیرد بنابراین وجود یک راهکار PAM به منظور حفاظت مستمر از این اطلاعات در برابر تهدیدات هویتی، محرمانگی، یکپارچگی و دسترسپذیری یک امر ضروری است. همچنین در هنگام انتخاب راهکار PAM مدنظرتان باید به ارایهدهنده چنین سرویسی توجه ویژهای داشته و سختگیریهای لازم را به کار گیرید. در نهایت باید راهکاری را انتخاب کنید که بیشترین سازگاری را با بودجه و فرایندهای کاری سازمانتان داشته و از کسبوکار شما در مقابل تهدیدات سایبری محافظت کند.
منبع: cyberark