هویت دیجیتال جزیی مهم از استراتژی دیجیتال هر سازمانی است، که از تحویل و امنیت سیستم‌ها، داده‌ها و برنامه‌ها اطمینان حاصل می‌کند. برعکس شناسایی و مدیریت دسترسی (IAM) یک چهارچوب طراحی شده برای سیاست‌های تجاری گوناگون، فرآیندها و فناوری‌ها برای مدیریت هویت‌های دیجیتال است. چهارچوب  IAM به مدیران IT اجازه می‌دهد تا دسترسی کاربران به داده‌های حساس را کنترل کنند، درحالی که مدیران سیستم می‌توانند دسترسی بر اساس نقش کاربر را به سیستم‌ها/شبکه‌ها تنظیم کنند. به طور ساده،  IAM تایید می‌کند که چگونه شرکت‌ها به کارکنان خود اجازه می‌دهند تا به داده‌ها و برنامه‌های اساسی دسترسی داشته باشند. با نقش‌ها و وظایف متفاوت، هر کارمند مجموعه‌ای از نیازمندی‌های خود را دارد. درنتیجه IAM دسترسی کارمندان مختلف را بر اساس نقش آن‌ها محدود و مجاز می‌کند. فراتر از آن دسترسی از زیرساخت‌های گوناگون (فضای ابری، در محل و ترکیبی) و دستگاه‌ها (تبلت‌ها، گوشی‌های هوشمند و لپ‌تاپ‌ها) یک نگرانی دیگر IAM است.

درک اصول پایه شناسایی و مدیریت دسترسی

شناسایی و مدیریت دسترسی (Identity and access management)  امتیازات فراهم شده برای صاحبان حساب‌ها را مدیریت و تعریف می‌کند. IAM همچنین به مواردی که در آن افراد امتیازات ویژه دریافت خواهند کرد یا از آن محروم خواهند شد را نیز رسیدگی می‌کند. تمرکز اصلی سیستم‌‌های IAM این است که برای هر فرد (کارمندان و مشتریان مرتبط) هویت دیجیتال منحصر به فرد خودشان را فراهم کند. این هویت منحصر به فرد باید تحت “چرخه عمر دسترسی” از هر فرد ایجاد، نظارت، برقرار و اصلاح شود.

سه رکن اصلی شناسایی و مدیریت دسترسی عبارتند از :

  • تشخیص هویت
  • احراز هویت
  • مجازشماری

هر زمانی که کاربران تلاش برای دسترسی به هر منبع یا سیستمی می‌کنند، آن‌ها اعتبارنامه مجاز ورود خود را برای تشخیص هویت وارد خواهند کرد. اعتبارنامه آن‌ها سپس به فرآیند احراز هویت می‌رود. احراز هویت یا از مکانیزم بر اساس دانش پایه، مانند رمزعبور یا تکنیک‌های پیشرفته مانند احراز هویت چند مرحله‌ای استفاده می‌کند. زمانی که فرآیند احراز هویت موفقیت آمیز بود، IAM فرآیند مجاز شماری را آغاز خواهد کرد. این فرآیند اطمینان حاصل می‌کند که کاربر شناسایی شده مجاز به اجرای عملیات‌های مورد نظر هست یا خیر.

سیاست‌های عمومی شناسایی و مدیریت دسترسی شامل :

  • یک مکانیزم برای “شناسایی” کاربران و نقش‌هایی که برای اجرا به آن‌ها داده شده است
  • محافظت از سیستم‌ها، برنامه‌ها و داده‌ها
  • استقرار صحیح سطوح امنیتی بر طبق حساسیت داده‌ها، سیستم‌ها و مکان‌ها
  • اضافه کردن/حذف کردن/تجدید نظر درباره کاربران مجاز شده از سیستم IAM
  • اضافه کردن/حذف کردن/ تجدید نظر درباره دسترسی حقوق هر کاربر ثبت شده از سیستم IAM

مزیت‌های کلیدی شناسایی و مدیریت دسترسی در امنیت سایبری

چهار تابع اصلی شناسایی و مدیریت دسترسی بر اساس این است که IAM چگونه برای ما می‌تواند مفید ‌باشد.

  1. تابع شناسایی خالص

تابع شناسایی خالص درمورد ساختن، مدیریت کردن و حذف کاربران شناسایی شده است تا وضعیت امتیازات دسترسی آن‌ها را تغییر دهد. یک “هویت خالص” بوسیله یک مجموعه از بدیهیات در یک فضای نام داده شده است، که معمولا با موجودیت‌های دنیای واقعی مرتبط است.

به طور ساده‌تر یک موجودیت (چه واقعی چه مجازی) می‌تواند چندین هویت داشته باشد. مجددا هر کدام از این هویت‌ها می‌توانند چندین ویژگی داشته باشند، که می‌تواند در یک فضای نام داده شده منحصر به فرد باشد.

  1. تابع دسترسی کاربر (ورود)

تابع دسترسی کاربر به کاربران اجازه می‌دهد تا یک هویت دیجیتال تقبل کنند و تا تمامی کنترل‌های دسترسی را با آن مکاتبه کنند. برای مثال، یک کارت هوشمند اختصاص یافته به یک مشتری تمامی داده‌های و فعالیت‌های مرتبط به سرویس‌های پیشنهاد داده شده را ذخیره می‌کند. استفاده از یک هویت دیجیتال در میان پلاتفرم‌های مختلف وظیفه مدیر را ساده می‌کند. نظارت، تایید و مدیریت امتیازات مشتری آسان می‌شود.

زمانی که یک سازمان بر تابع “دسترسی کاربر” IAM تکیه می‌کند، بیشتر بر محدود کردن و اعطای امتیازات مورد نیاز برای کاربران مورد نظر تمرکز می‌کند.

  1. تابع خدمات

درحالی که سازمان‌ها خدمات جدید برای کاربران داخلی و همچنین خارجی اضافه می‌کنند (مانند مشتریان)، نیاز به مدیریت هویت اهمیت بیشتری پیدا می‌کند. همچنین مدیریت هویت از توابع کاربردی جدا شده است. این قدم در مدیریت یک هویت دیجیتال برای یک فرد، که می‌تواند سپس به فعالیت‌های او مرتبط شود کمک می‌کند. IAM همچنین برای کنترل دسترسی دستگاه نیز درحال توسعه است.

  1. فدراسیون هویت

تحت این مقدمات، یک یا بیش از یک سیستم ترکیب می‌شوند تا یک واحد مرکزی را شکل دهند. این واحد پس از احراز هویت در مقابل سیستم‌های شرکت کننده اجازه می‌دهد به کاربر تا ورود کند. چنین مقدماتی بر اساس اعتماد میان تمامی سیستم‌های شرکت کننده است. این تنظیمات اغلب به عنوان “چرخه اعتماد” شناخته می‌شود. فدراسیون هویت دارای دو سیستم اختصاص داده شده است : فراهم‌ کننده هویت (IdP) و فراهم کننده سرویس (SP). پس زمانی که کاربران درخواست برای دسترسی به یک سرویس را می‌دهند، ابتدا IdP کاربران را احراز هویت می‌کند تا به آن‌ها اجازه دهد تا از سرویس کنترل شده توسط SP استفاده کنند. برای این منظور، یک اعلان ایمن، اعلان‌های SAML، از IdP به SP فرستاده می‌شود. این بیانیه تایید می‌کند آیا کاربران قابل اطمینان هستند یا خیر.

چگونه IAM می‌تواند از یک حمله سایبری پیشگیری کند؟

پس از اینکه دفتر مدیریت پرسنل ایالات متحده (OPM) یک رخنه داده‌ای در ژوئن 2015 را تایید کرد، که تقریبا چهار میلیون آدم را تحت تاثیر قرار داد؛ یک لیست از روش‌هایی از اینکه چگونه IAM می‌تواند از حمله سایبری به یک سازمان جلوگیری کند را منتشر کرد.

  1. اتوماسیون تدارک امتیاز دسترسی

به ازای هر کارمند جدید، تمامی امتیازات را بر اساس نقش‌های آن‌ها و قوانین تجاری اختصاص دهد. بهتر است تا اتوماسیون جریان کاری داشت. همچنین، برای هر کارمندی که استعفا می‌دهد یا فسخ می‌کند، اطمینان حاصل کرد که تمامی امتیازات به طور خودکار گرفته خواهد شد. این روش به محدودیت و جلوگیری از امتیازات غیر ضروری کمک می‌کند.

  1. کنترل‌های حساب امتیازدار

عموما حملات سازمان یافته یا حمایت شده از طرف دولت حساب‌های امتیازدار سازمان‌ها را مورد هدف قرار می‌دهد. زمانی که یک حساب امتیازدار به خطر بیافتد، شانس یک رخنه امنیتی عظیم را افزایش می‌دهد. مهندسی اجتماعی و حملات فیشینگ برخی از راه‌های معمول برای فریب دادن کاربران امتیازدار برای به اشتراک گذاشتن رمزهای عبور‌شان است. چنین حملاتی برای یک دوره طولانی‌تری می‌تواند کشف نشده باقی بماند. یک مجموعه‌ای از کنترل‌های قدرتمند بر چنین حساب‌‌هایی می‌تواند در محدود کردن به در خطر افتادن حساب‌های امتیازدار کمک کند.

  1. تغییر مکرر رمزعبور

از کارمندان سازمان باید درخواست شود تا به طور مکرر رمز عبور خود را تغییر دهند، در صورت امکان یک یا دو بار در ماه این کار را انجام دهند. این پیشنهاد باید برای صاحبان حساب امتیازدار و مدیران اجباری باشد. تغییر مکرر رمز عبور سازمان را از رخنه‌های کشف نشده محافظت می‌کند.

  1. سیاست رمزعبور قوی

افزایش پیچیدگی رمزعبور حدس زدن یا شکستن آن را مشکل می‌کند. اگر شرکت‌ها از استفاده رمزهای عبور ضعیف جلوگیری کنند بوسیله مجبور کردن هر کارمند برای تحقق برخی معیارها درحالی که رمزعبور خود را می‌سازد. استفاده اجباری از کاراکترهای خاص، اعداد، حروف بزرگ، برخی پیشنهادات عالی را تشکیل می‌دهد. چنین روش‌هایی می‌تواند در مقابل حملات غیرهوشمندانه جواب دهند.

  1. استفاده از احراز هویت چند مرحله‌ای

اضافه کردن لایه اضافی در اقدامات احتیاطی امنیتی، کار یک مجرم سایبری را مشکل می‌کند. استفاده از OTP (رمز یکبار مصرف)، توکن و کارت هوشمند برای احراز هویت چند مرحله‌ای زیرساخت امنیتی را تقویت می‌کند.

  1. چرخش کلیدهای رمزنگاری

چرخش کلیدهای رمزنگاری برای پایگاه داده‌ها خطر سرقت هویت را کاهش می‌دهد. این روش قابل توصیه‌ترین روش است زمانی که مشکوک به یک رخنه می‌شوند. چرخش کلیدهای رمزنگاری باید به طور منظم برنامه ریزی شود یا به طور دستی می‌تواند انجام شود.

  1. حذف حساب‌های بی‌سرپرست

هر حساب غیرفعال یا مدیریت نشده یک خطر احتمالی را اعمال می‌کند. حذف کردن چنین حساب‌هایی از سرورها به پیشگیری از حمله سایبری کمک خواهد کرد. درحالی که حساب‌های بیکار می‌توانند برای فعالیت‌های جعلی استفاده شوند، همچنین برای سرورهای بیکار نیز به همین شکل است. برنامه‌ریزی یک گزارش روزمره برای شناسایی تمامی حساب‌های غیرفعال به کاهش خطر کمک خواهد کرد.

شناسایی و مدیریت دسترسی می‌تواند یک نظم در نظر گرفته می‌شود و اطمینان حاصل می‌کند که کاربران درست مجاز به دسترسی به سیستم‌های حیاتی و دارایی‌های سازمان هستند. یک احراز هویت مناسب، مجاز شده و امتیازات دسترسی حسابرسی شده ارائه می‌دهد. این امر امکان پذیر است با تدارک یک هویت دیجیتال برای هر شخص، که از آن پس می‌تواند این هویت را برای مدیریت چندین حساب استفاده کند. همچنین از چندین روش استفاده می‌کند تا از تبدیل خطرات احتمالی به حملات سایبری غول آسا اجتناب کند.