هویت دیجیتال جزیی مهم از استراتژی دیجیتال هر سازمانی است، که از تحویل و امنیت سیستمها، دادهها و برنامهها اطمینان حاصل میکند. برعکس شناسایی و مدیریت دسترسی (IAM) یک چهارچوب طراحی شده برای سیاستهای تجاری گوناگون، فرآیندها و فناوریها برای مدیریت هویتهای دیجیتال است. چهارچوب IAM به مدیران IT اجازه میدهد تا دسترسی کاربران به دادههای حساس را کنترل کنند، درحالی که مدیران سیستم میتوانند دسترسی بر اساس نقش کاربر را به سیستمها/شبکهها تنظیم کنند. به طور ساده، IAM تایید میکند که چگونه شرکتها به کارکنان خود اجازه میدهند تا به دادهها و برنامههای اساسی دسترسی داشته باشند. با نقشها و وظایف متفاوت، هر کارمند مجموعهای از نیازمندیهای خود را دارد. درنتیجه IAM دسترسی کارمندان مختلف را بر اساس نقش آنها محدود و مجاز میکند. فراتر از آن دسترسی از زیرساختهای گوناگون (فضای ابری، در محل و ترکیبی) و دستگاهها (تبلتها، گوشیهای هوشمند و لپتاپها) یک نگرانی دیگر IAM است.
درک اصول پایه شناسایی و مدیریت دسترسی
شناسایی و مدیریت دسترسی (Identity and access management) امتیازات فراهم شده برای صاحبان حسابها را مدیریت و تعریف میکند. IAM همچنین به مواردی که در آن افراد امتیازات ویژه دریافت خواهند کرد یا از آن محروم خواهند شد را نیز رسیدگی میکند. تمرکز اصلی سیستمهای IAM این است که برای هر فرد (کارمندان و مشتریان مرتبط) هویت دیجیتال منحصر به فرد خودشان را فراهم کند. این هویت منحصر به فرد باید تحت “چرخه عمر دسترسی” از هر فرد ایجاد، نظارت، برقرار و اصلاح شود.
سه رکن اصلی شناسایی و مدیریت دسترسی عبارتند از :
- تشخیص هویت
- احراز هویت
- مجازشماری
هر زمانی که کاربران تلاش برای دسترسی به هر منبع یا سیستمی میکنند، آنها اعتبارنامه مجاز ورود خود را برای تشخیص هویت وارد خواهند کرد. اعتبارنامه آنها سپس به فرآیند احراز هویت میرود. احراز هویت یا از مکانیزم بر اساس دانش پایه، مانند رمزعبور یا تکنیکهای پیشرفته مانند احراز هویت چند مرحلهای استفاده میکند. زمانی که فرآیند احراز هویت موفقیت آمیز بود، IAM فرآیند مجاز شماری را آغاز خواهد کرد. این فرآیند اطمینان حاصل میکند که کاربر شناسایی شده مجاز به اجرای عملیاتهای مورد نظر هست یا خیر.
سیاستهای عمومی شناسایی و مدیریت دسترسی شامل :
- یک مکانیزم برای “شناسایی” کاربران و نقشهایی که برای اجرا به آنها داده شده است
- محافظت از سیستمها، برنامهها و دادهها
- استقرار صحیح سطوح امنیتی بر طبق حساسیت دادهها، سیستمها و مکانها
- اضافه کردن/حذف کردن/تجدید نظر درباره کاربران مجاز شده از سیستم IAM
- اضافه کردن/حذف کردن/ تجدید نظر درباره دسترسی حقوق هر کاربر ثبت شده از سیستم IAM
مزیتهای کلیدی شناسایی و مدیریت دسترسی در امنیت سایبری
چهار تابع اصلی شناسایی و مدیریت دسترسی بر اساس این است که IAM چگونه برای ما میتواند مفید باشد.
-
تابع شناسایی خالص
تابع شناسایی خالص درمورد ساختن، مدیریت کردن و حذف کاربران شناسایی شده است تا وضعیت امتیازات دسترسی آنها را تغییر دهد. یک “هویت خالص” بوسیله یک مجموعه از بدیهیات در یک فضای نام داده شده است، که معمولا با موجودیتهای دنیای واقعی مرتبط است.
به طور سادهتر یک موجودیت (چه واقعی چه مجازی) میتواند چندین هویت داشته باشد. مجددا هر کدام از این هویتها میتوانند چندین ویژگی داشته باشند، که میتواند در یک فضای نام داده شده منحصر به فرد باشد.
-
تابع دسترسی کاربر (ورود)
تابع دسترسی کاربر به کاربران اجازه میدهد تا یک هویت دیجیتال تقبل کنند و تا تمامی کنترلهای دسترسی را با آن مکاتبه کنند. برای مثال، یک کارت هوشمند اختصاص یافته به یک مشتری تمامی دادههای و فعالیتهای مرتبط به سرویسهای پیشنهاد داده شده را ذخیره میکند. استفاده از یک هویت دیجیتال در میان پلاتفرمهای مختلف وظیفه مدیر را ساده میکند. نظارت، تایید و مدیریت امتیازات مشتری آسان میشود.
زمانی که یک سازمان بر تابع “دسترسی کاربر” IAM تکیه میکند، بیشتر بر محدود کردن و اعطای امتیازات مورد نیاز برای کاربران مورد نظر تمرکز میکند.
-
تابع خدمات
درحالی که سازمانها خدمات جدید برای کاربران داخلی و همچنین خارجی اضافه میکنند (مانند مشتریان)، نیاز به مدیریت هویت اهمیت بیشتری پیدا میکند. همچنین مدیریت هویت از توابع کاربردی جدا شده است. این قدم در مدیریت یک هویت دیجیتال برای یک فرد، که میتواند سپس به فعالیتهای او مرتبط شود کمک میکند. IAM همچنین برای کنترل دسترسی دستگاه نیز درحال توسعه است.
-
فدراسیون هویت
تحت این مقدمات، یک یا بیش از یک سیستم ترکیب میشوند تا یک واحد مرکزی را شکل دهند. این واحد پس از احراز هویت در مقابل سیستمهای شرکت کننده اجازه میدهد به کاربر تا ورود کند. چنین مقدماتی بر اساس اعتماد میان تمامی سیستمهای شرکت کننده است. این تنظیمات اغلب به عنوان “چرخه اعتماد” شناخته میشود. فدراسیون هویت دارای دو سیستم اختصاص داده شده است : فراهم کننده هویت (IdP) و فراهم کننده سرویس (SP). پس زمانی که کاربران درخواست برای دسترسی به یک سرویس را میدهند، ابتدا IdP کاربران را احراز هویت میکند تا به آنها اجازه دهد تا از سرویس کنترل شده توسط SP استفاده کنند. برای این منظور، یک اعلان ایمن، اعلانهای SAML، از IdP به SP فرستاده میشود. این بیانیه تایید میکند آیا کاربران قابل اطمینان هستند یا خیر.
چگونه IAM میتواند از یک حمله سایبری پیشگیری کند؟
پس از اینکه دفتر مدیریت پرسنل ایالات متحده (OPM) یک رخنه دادهای در ژوئن 2015 را تایید کرد، که تقریبا چهار میلیون آدم را تحت تاثیر قرار داد؛ یک لیست از روشهایی از اینکه چگونه IAM میتواند از حمله سایبری به یک سازمان جلوگیری کند را منتشر کرد.
-
اتوماسیون تدارک امتیاز دسترسی
به ازای هر کارمند جدید، تمامی امتیازات را بر اساس نقشهای آنها و قوانین تجاری اختصاص دهد. بهتر است تا اتوماسیون جریان کاری داشت. همچنین، برای هر کارمندی که استعفا میدهد یا فسخ میکند، اطمینان حاصل کرد که تمامی امتیازات به طور خودکار گرفته خواهد شد. این روش به محدودیت و جلوگیری از امتیازات غیر ضروری کمک میکند.
-
کنترلهای حساب امتیازدار
عموما حملات سازمان یافته یا حمایت شده از طرف دولت حسابهای امتیازدار سازمانها را مورد هدف قرار میدهد. زمانی که یک حساب امتیازدار به خطر بیافتد، شانس یک رخنه امنیتی عظیم را افزایش میدهد. مهندسی اجتماعی و حملات فیشینگ برخی از راههای معمول برای فریب دادن کاربران امتیازدار برای به اشتراک گذاشتن رمزهای عبورشان است. چنین حملاتی برای یک دوره طولانیتری میتواند کشف نشده باقی بماند. یک مجموعهای از کنترلهای قدرتمند بر چنین حسابهایی میتواند در محدود کردن به در خطر افتادن حسابهای امتیازدار کمک کند.
-
تغییر مکرر رمزعبور
از کارمندان سازمان باید درخواست شود تا به طور مکرر رمز عبور خود را تغییر دهند، در صورت امکان یک یا دو بار در ماه این کار را انجام دهند. این پیشنهاد باید برای صاحبان حساب امتیازدار و مدیران اجباری باشد. تغییر مکرر رمز عبور سازمان را از رخنههای کشف نشده محافظت میکند.
-
سیاست رمزعبور قوی
افزایش پیچیدگی رمزعبور حدس زدن یا شکستن آن را مشکل میکند. اگر شرکتها از استفاده رمزهای عبور ضعیف جلوگیری کنند بوسیله مجبور کردن هر کارمند برای تحقق برخی معیارها درحالی که رمزعبور خود را میسازد. استفاده اجباری از کاراکترهای خاص، اعداد، حروف بزرگ، برخی پیشنهادات عالی را تشکیل میدهد. چنین روشهایی میتواند در مقابل حملات غیرهوشمندانه جواب دهند.
-
استفاده از احراز هویت چند مرحلهای
اضافه کردن لایه اضافی در اقدامات احتیاطی امنیتی، کار یک مجرم سایبری را مشکل میکند. استفاده از OTP (رمز یکبار مصرف)، توکن و کارت هوشمند برای احراز هویت چند مرحلهای زیرساخت امنیتی را تقویت میکند.
-
چرخش کلیدهای رمزنگاری
چرخش کلیدهای رمزنگاری برای پایگاه دادهها خطر سرقت هویت را کاهش میدهد. این روش قابل توصیهترین روش است زمانی که مشکوک به یک رخنه میشوند. چرخش کلیدهای رمزنگاری باید به طور منظم برنامه ریزی شود یا به طور دستی میتواند انجام شود.
-
حذف حسابهای بیسرپرست
هر حساب غیرفعال یا مدیریت نشده یک خطر احتمالی را اعمال میکند. حذف کردن چنین حسابهایی از سرورها به پیشگیری از حمله سایبری کمک خواهد کرد. درحالی که حسابهای بیکار میتوانند برای فعالیتهای جعلی استفاده شوند، همچنین برای سرورهای بیکار نیز به همین شکل است. برنامهریزی یک گزارش روزمره برای شناسایی تمامی حسابهای غیرفعال به کاهش خطر کمک خواهد کرد.
شناسایی و مدیریت دسترسی میتواند یک نظم در نظر گرفته میشود و اطمینان حاصل میکند که کاربران درست مجاز به دسترسی به سیستمهای حیاتی و داراییهای سازمان هستند. یک احراز هویت مناسب، مجاز شده و امتیازات دسترسی حسابرسی شده ارائه میدهد. این امر امکان پذیر است با تدارک یک هویت دیجیتال برای هر شخص، که از آن پس میتواند این هویت را برای مدیریت چندین حساب استفاده کند. همچنین از چندین روش استفاده میکند تا از تبدیل خطرات احتمالی به حملات سایبری غول آسا اجتناب کند.