انسان‌ها به عنوان ضعیف‌ترین لینک در امنیت سایبری در نظر گرفته می‌شوند. – و این جمله تا حد زیادی درست است. – اما به تجربه ما، این قاعده کلی نکته مهمتری را در نظر نگرفته است، که دلیل صحیح بودن این عبارت این است که اکثر شرکت‌ها کنترل دسترسی موثری ندارند.

در حالی‌که آموزش کارمندان برای فکر کردن مشابه هکرها، مطمئناً می‌تواند شرکت شما را در برابر حملات سایبری مقاوم‌تر کند، همیشه این خطر وجود دارد که شخصی به خطر بیفتد. مطمئن‌ترین راه برای محدود کردن قرار گرفتن سازمان شما در معرض چنین خطراتی، تأیید کنترل‌های صحیح در سطح فردی است، که این امر را کنترل می‌کند که افراد به چه مواردی، در چه زمان و چگونه می‌توانند دسترسی داشته باشند.

شرکت‌هایی که برای کنترل دسترسی راه‌حلی در نظر نگرفته‌اند، نه تنها خود را در معرض خطر قرار می‌دهند، بلکه هر یک دلاری را که صرف امنیت سایبری خود کرده‌اند ‌را نیز کم‌ارزش می‌کنند. اگر هکرها بتوانند تظاهر به این کنند که شخص دیگری هستند، هزینه‌های گزافی که شرکت برای فایروال هزینه کرده است، چه فایده‌ای دارد؟

متأسفانه امروزه این واقعیت برای بسیاری از شرکت‌ها، به ویژه سازمان‌های قدیمی که انتقال به ابر را انجام می‌دهند، واقعیت دارد. در این محیط جدید، مدل پیش‌فرض برای کنترل دسترسی دچار مشکل می‌شود. چطور می‌توانید آن را درست می‌کنید؟

بدون کنترل دسترسی هیچ امنیتی وجود ندارد.

امروزه اکثریت قریب به اتفاق شرکت‌ها در سراسر جهان (90٪) برای مدیریت دسترسی به سیستم‌ها و داده‌های فناوری اطلاعات، به ابزاری به نام Active Directory تکیه می‌کنند. همانطور که از نام آن پیداست، این ابزار پوشه‌ای است برای مشخص کردن اینکه چه کسانی و در چه زمانی به منابع درسترسی داشته باشند. اما در حالی‌که Active Directory به شرکت‌ها روشی کارآمد به کارمندان، شرکا و فروشندگان برای دسترسی به شبکه می‌دهد، هیچگاه به صورت پیش‌فرض با امنیت ساخته نشده و همین امر بهره‌برداری از آن را آسان می‌کند.

به طور خاص Active Directory  هویت دیجیتالی کاربران را امن نمی‌کند؛ به این معنی که هکرها می‌توانند با به خطر انداختن یک حساب Active Directory کاربر، کلید دسترسی به منابع ارزشمند یک شرکت را بدست آورند. در حقیقت این هکر به یک تهدید داخلی مبدل می‌شود که پشت حساب‌هایی که اطلاعات آن‌ها را دزدی کرده، پنهان شده است و پیدا کردن آن‌ها از طریق راه‌حل‌های امنیت سایبری تقریباً غیرممکن است.

مدیریت دسترسی، کنترل دسترسی نیست.

در یک دنیای فرضی، امنیت نسبتاً ساده است؛ زیرا کنترل دسترسی کاملاً ساده است. هنگامی‌که سیستم‌های فناوری اطلاعات در یک محیط‌ واقعی کار می‌کنند، حفظ امنیت آن‌ها تا حد زیادی با شناخت مشتری، شرکا و کارمندان و سپس مدیریت دسترسی فیزیکی به سیستم‌های مختلف عملی است. به عبارت دیگر این نوع قفل‌ها و کلیدهای قدیمی، به همراه لایه‌های اضافی تأیید هویت دنیای واقعی برای افرادی که سطح دسترسی بالاتری دارند، مناسب است.

اما با پیدایش ابر و API، اقدامات امنیتی سنتی دیگر کافی نیست. درعوض امنیت باید به صورت مجازی تقریباً در هر نقطه قابل دسترسی بین سیستم‌ها اجرا شود. هرچه سیستم‌ها بیشتر به یکدیگر متصل می‌شوند و پیچیدگی شبکه افزایش پیدا می‌کند، امنیت در سطح بالاتری اجرا خواهد شد. یک بار دیگر امنیت مجدداً به Active Directory و مدیریت دسترسی در مقابل کنترل، پیوند می‌خورد.

امروزه یک سازمان متوسط​​، نرم‌افزارهایی را از صدها فروشنده مختلف در هر زمان معین اجرا می‌کند. از این گذشته بسیاری از فروشندگان، پایگاه‌های داده دسترسی خود را حفظ می‌کنند، به این معنی که صدها هویت برای هر فرد در سازمان وجود دارد. این تکه تکه شدن دلیل بزرگی است که چرا Active Directory  تا امروز استفاده می‌شود. در عین حال این همان چیزی است که باعث می‌شود کنترل دسترسی تا این میزان به چالش کشیده شود. تعریف مشخصی از “شما” در دنیای دیجیتال وجود ندارد و این باعث می‌شود پاسخ‌دهی به مهمترین سؤال مربوط به امنیت در رابطه با یک کاربر توسط سازمان‌ها تقریباً غیرممکن باشد و آن سوال این است: آیا شما واقعاً کسی هستید که ادعا می‌کنید؟

سپس اولین قدم برای حل مشکل کنترل دسترسی، درک این موضوع است که مدیریت دسترسی (دسترسی افراد به سیستم) با کنترل دسترسی (کنترل دسترسی آن‌ها به آن سیستم‌ها) یکسان نیست. در عمل این یعنی انتقال مالکیت از سازمان زیرساخت‌، – جایی‌که هم اکنون در آن مستقر هستند – و کارایی هدف اصلی به تیم امنیتی، که عملکرد را در روشی ایمن در اولویت قرار می‌دهد.

اگر دسترسی را کنترل نکنید، نمی‌توانید به اندازه کافی سریع در این مسیر قدم بردارید.

شرکت‌هایی که برای کنترل دسترسی راه‌حلی ندارند، در مسیری پایدار قرار دارند که اصلاح آن با گذشت زمان سخت‌تر می‌شود. منظور از اتصال اضطراری چیست؟ با توجه به وضعیت نامطلوب و نظارت تاریخی سیستم‌هایی مانندActive Directory، رفع مشکلات اساسی می‌تواند منجر به غیرفعال شدن موقت برنامه‌های کلیدی به صورت عمدی و ناخواسته شود. بنابراین به جای رفع مشکل، آن‌ها به فروشندگان نرم‌افزارهای امنیت سایبری مراجعه می‌کنند تا به بستن شکاف‌ها با ایجاد لایه‌های امنیتی اضافی در سطوح بالای سیستم موجود، کمک کنند.

دو مشکل اساسی در این استراتژی وجود دارد:

اول، این روش همراه با ریسک است. امنیت لایه‌بندی در سطوح بالا روی یک زیرساخت ناقص بسیار پر هزینه خواهد بود. شما سعی می‌کنید ناشناخته‌ها را مدیریت کنید، در حالی‌که همزمان از کنترل فعال موارد شناخته شده (یعنی کاربران خود) خودداری می‌کنید. این یک پذیرش ضمنی است که نشان می‌دهد شما مایل به هک شدن هستید، بر اساس این امید که یک راه‌حل امنیتی اضافه، باعث متوقف شدن یا کاهش شکست‌های شما می‌شود.

دوم اینکه در دراز مدت پر هزینه‌تر است. نادیده گرفتن این موارد اساسی بدان معنی است که شما از بودجه امنیت سایبری خود، امنیت کمتر و کمتری به دست می‌آورید. در عوض شما مقادیر ثابتی از بودجه را برای مجوز، نگهداری و پشتیبانی از راه‌حل‌هایی که در بهترین حالت، تنها بخش‌های کمی از چشم‌انداز ریسک کلی شما را امن می‌کند، صرف می‌کنید. هرچه پول، زمان و منابع بیشتری در این استراتژی صرف کنید، پاسخ دادن به حوادث بحرانی سخت‌تر می‌شود. شما روزها، هفته‌ها یا حتی ماه‌ها را می‌گذرانید و با گزارش‌ها و هشدارها از ده‌ها راه‌حل امنیتی ترکیب می‌کنید، به امید پیدا کردن چیزی که اشتباه است، تنها به منظور پیدا کردن اینکه شخصی از خارج شرکت موفق شده هویت شخصی را از داخل شرکت سرقت کند و شما را به بیرون هدایت کند.

نقض داده غالبا حدود 3.86 میلیون دلار به کمپانی‌ها خسارت وارد می‌کند، پس بهینه سازی هزینه‌های که صرف راه‌حل برای امنیت سایبری سازمان می‌شود، فقط با ثبیت مبانی هویتی قابل درک است.