يسم الله الحمن الرحيم
السلام عليكم ورحمة الله
التحكم بالوصول: 5 أشياء تحتاج إلى معرفتها
دليل للمبادئ الأساسية لمراقبة الدخول بين التعاريف وحالات الاستخدام والميزات والتطبيقات والمخاطر التي يمكن معرفتها.
الأمن عليه
من الذي يجب عليه الوصول إلى بيانات شركتك؟
كيف يمكنك التأكد من أن أولئك الذين يحاولون الوصول قد حصلوا بالفعل على هذا الوصول؟
ما هي الظروف التي تمنعك من الدخول إلى المستخدم الذي لديه امتيازات الدخول؟
بشكل فعال لحماية البيانات الخاصة بك، سياسة السيطرة على وصول مؤسستك ينبغي أن تعالج هذه (وغيرها) الأسئلة. ما يلي هو دليل على المبادئ الأساسية لمراقبة الدخول: ما هو عليه، لماذا لا يهم، ما تحتاج المنظمات منهم معظم وما هي التحديات التي تواجه المتخصصين في مجال الأمن لتنفيذ والحفاظ على هذه الممارسة.
تعريف التحكم بالوصول
"وفي التحكم في الوصول على مستوى عال بل هو تقييد مختارة من الوصول إلى البيانات. وهو يتألف من مكونين رئيسيين: "التوثيق والتفويض وتقول دانيال كراولي ، رئيس قسم الأبحاث لIBM X-القوة الأحمر، والتي تركز على أمن البيانات.
"المصادقة هي تقنية تستخدم للتحقق من أن شخصا ما هو الذي يدعي أنه. ومع ذلك، المصادقة ليست كافية من تلقاء نفسها لحماية البيانات "، ويقول كراولي. "ما هو مطلوب هو طبقة أخرى ممثلة بالترخيص، والذي يحدد ما إذا كان المستخدم يحتاج إلى أن يكون قادرا على الوصول إلى البيانات أو جعل الصفقة انه يحاول القيام به".
وبالتالي، فإن مراقبة الدخول هي التأكد من أن المستخدمين هم الذين يقولون أنهم وأنهم لديهم حق الوصول المناسب "للقيام بما ينبغي أن يكونوا قادرين على القيام به"، كما يقول كراولي.
ما مدى أهمية التحكم في الوصول لأمن البيانات العامة؟
أمن البيانات غير موجود بدون المصادقة والتخويل. "في أي انتهاك لبيانات مراقبة الدخول من بين السياسات أول فحص" يلاحظ تيد فاغنر ، CISO SAP خدمات الأمن الوطني، وشركة " سواء كان التعرض العرضي من البيانات الحساسة محمية بشكل غير صحيح من قبل المستخدم النهائي أو انتهاك إكيفاكس، حيث تم الكشف عن البيانات الحساسة من خلال خادم الويب العامة التي تعمل مع ضعف البرمجيات ، ومراقبة الدخول هو عنصر رئيسي. إذا لم يتم تنفيذها أو الحفاظ عليها بشكل صحيح، فإن النتيجة يمكن أن تكون كارثية ".
التحكم في الوصول
ما هي أنواع المنظمات التي تحتاج إلى التحكم في الوصول أكثر؟
أي منظمة يتصل موظفوها بالإنترنت. وبعبارة أخرى، تحتاج كل منظمة إلى مستوى معين من التحكم في النفاذ. "وهذا ينطبق بشكل خاص على الشركات مع الموظفين الذين يعملون خارج المكتب والتي تتطلب الوصول إلى الموارد والخدمات للشركات" يقول آفي Chesla ، الرئيس التنفيذي لمجتمع الأمن السيبراني empow.
"وبعبارة أخرى: إذا كانت بياناتك قد تكون ذات قيمة لشخص ما دون الحصول على إذن مناسب للوصول إليها، فإن مؤسستك تحتاج إلى تحكم قوي في الوصول" ، كما يقول كراولي.
5 تحديات رئيسية لتطبيق مراقبة الدخول
1- الحاجة إلى سياسات ثابتة
يقول تشيسلا: "يعرف معظم العاملين في مجال الأمن جيدا كيف أن التحكم في الوصول أمر بالغ الأهمية لمنظمتهم ، ولكن ليس الجميع يوافقون على كيفية تطبيقه" . "تتطلب مراقبة الدخول تطبيق سياسات ثابتة في عالم ديناميكي بلا حدود تقليدية". معظمنا نعمل في بيئات هجينة حيث تمر البيانات من الخوادم المحلية أو من السحابة إلى المكاتب والمنازل والفنادق والسيارات والمقاهي مع البقع الساخنة المفتوحة، والتي يمكن أن تجعل السيطرة على الوصول صعبة.
"عامل خطر آخر هو أن الوصول متاح لمجموعة واسعة من الأجهزة بما في ذلك أجهزة الكمبيوتر المحمولة، وأجهزة الكمبيوتر المحمولة، والهواتف الذكية، وأقراص، والمتكلمين الذكية وغيرها من إنترنت الأشياء (تقنيات عمليات) الأجهزة . وهذا التنوع يجعل من التحدي الحقيقي خلق وضمان استمرار سياسات الوصول ".
2- البت في نموذج التحكم الأنسب
"يجب على المنظمات تحديد النموذج المناسب لمراقبة الدخول التي سيتم اعتمادها على أساس نوع وحساسية البيانات التي يتم معالجتها"، كما يقول فاغنر. وتشمل قوالب الوصول القديمة التحكم في الوصول الاستنسابي (داك) والتحكم في الوصول المقيد (ماك) . مع نماذج داك، يقرر مالك البيانات في الوصول. لجنة المساعدة الإنمائية هي وسيلة لتعيين حقوق الوصول استنادا إلى القواعد التي يحددها المستخدمون.
وقد تم تطوير لجنة الهدنة العسكرية باستخدام نموذج غير استنسابي، حيث يتم منح الناس الوصول بناء على توضيح المعلومات. ماك هي السياسة التي يتم بموجبها تعيين حقوق الوصول وفقا للوائح سلطة مركزية.
اليوم القائم على التحكم في الوصول (RBAC) هو النموذج الأكثر شيوعا. ويمنح المكتب الإقليمي لأمريكا اللاتينية ومنطقة البحر الكاريبي إمكانية الوصول استنادا إلى دور المستخدم ويطبق مبادئ الأمن الرئيسية، مثل "الحد الأدنى من الامتيازات" و "فصل الامتيازات" . ولذلك، فإن أولئك الذين يحاولون الوصول إلى المعلومات يمكن فقط الوصول إلى البيانات التي تعتبر ضرورية للدور الذي يلعبونه.
يعرف أحدث طراز باسم أباك (التحكم بالوصول على أساس السمة) ، حيث يتم تعيين مجموعة من السمات لكل مورد وللمستخدم. "في هذه الطريقة الديناميكية، يتم استخدام تقييم مقارن لسمات المستخدم، بما في ذلك الوقت من اليوم والموقع والموقف، لاتخاذ قرار حول الوصول إلى مورد"، ويوضح فاغنر.
ومن الأهمية بمكان أن تقرر المنظمات النموذج الأكثر ملاءمة استنادا إلى حساسية البيانات والاحتياجات التشغيلية للوصول إلى البيانات. على وجه الخصوص، يجب على المنظمات التي تقوم بمعالجة المعلومات الشخصية (بي) أو غيرها من أنواع المعلومات الحساسة، بما في ذلك بيانات التأمين الصحي، وقانون المساءلة (هيبا) أو المعلومات غير المصنفة الخاضعة للرقابة (كوي)، أن تجعل السيطرة على والوصول إلى وظيفة أساسية في بنية الأمن الخاصة بهم.
التحكم في الوصول
3 - المزيد من الحلول لمراقبة الدخول
ويمكن لعدد من التكنولوجيات أن تدعم مختلف نماذج التحكم في النفاذ. وفي بعض الحالات، قد تكون هناك حاجة إلى تكنولوجيات متعددة لتحقيق المستوى المطلوب من التحكم في النفاذ. وتقول فاغنر: "إن البيانات الواسعة النطاق بين مقدمي الخدمات السحابية وتطبيقات ادارة العلاقات المتصلة بمحيط الشبكة التقليدي تملي الحاجة إلى تنسيق حل آمن" . "هناك العديد من مقدمي الخدمات التي توفر الوصول المميز وحلول إدارة الهوية التي يمكن دمجها في بناء ميكروسوفت أكتيف ديركتوري التقليدي. المصادقة متعددة العوامل يمكن أن يكون عنصرا لزيادة تحسين الأمن. "
4 - لا يزال التفويض نقطة ضعف العديد من المنظمات
واليوم أصبحت العديد من الشركات أكثر كفاءة في المصادقة، ولا سيما مع الاستخدام المتزايد للمصادقة المتعددة العوامل والمصادقة على أساس البيانات البيومترية (مثل التعرف على الوجه أو قزحية العين). في السنوات الأخيرة، كما أدت خروقات البيانات رفيعة المستوى إلى بيع أوراق اعتماد كلمة السر المسروقة على شبكة الإنترنت الظلام، أخذت المتخصصين في مجال الأمن الحاجة إلى مصادقة متعددة العوامل على محمل الجد.
ويقول كراولي: "لا يزال التفويض مجالا لا يزال فيه مهنيو الأمن يخطئون الكثير من الأخطاء . ويمكن أن يكون من الصعب تحديد ورصد من يستطيع الوصول إلى موارد البيانات، وكيف ينبغي أن يكون قادرا على الوصول إليه وتحت أي ظروف لديهم إمكانية الوصول. وبالإضافة إلى ذلك، يمكن لبروتوكولات الترخيص غير المتناسقة أو الضعيفة أن تخلق ثقوب أمنية يجب تحديدها وإغلاقها في أسرع وقت ممكن.
أيا كانت الطريقة التي تختارها مؤسستك لتنفيذ مراقبة الدخول، فإنه يجب مراقبتها باستمرار سواء من حيث الامتثال لسياسة أمن شركتك وعلى المستوى التشغيلي لتحديد أي خروقات أمنية محتملة. يقول تشيسلا: "يجب عليك مراجعة الحوكمة والمخاطر والامتثال دوريا". "يجب عليك إجراء عمليات فحص متكررة ضد أي تطبيق يقوم بوظائف التحكم في الوصول وجمع ورصد السجلات على كل وصول لانتهاكات السياسة."
5 - يجب أن تكون سياسات التحكم في الدخول قادرة على التغيير ديناميكيا
في الماضي، كانت طرق التحكم في الوصول ثابتة في كثير من الأحيان. يقول تشيسلا: "اليوم، يجب أن يكون الوصول إلى الشبكة ديناميا وسائلا ، ودعم الهوية وحالات الاستخدام القائمة على التطبيق" . ويمكن تكييف سياسة متطورة لمراقبة الدخول بشكل ديناميكي للاستجابة لعوامل الخطر المتطورة، مما يسمح للشركة التي انتهكت لعزل الموظفين وأصول البيانات ذات الصلة للحد من الضرر.
ويتعين على الشركات التأكد من أن تكنولوجيات التحكم في النفاذ "مدعومة بشكل متسق من خلال مواردها السحابية وتطبيقاتها، ويمكن أن تنتقل بسهولة إلى بيئات افتراضية مثل السحب الخاصة"، توصي تشيسلا. "يجب أن تتغير قواعد التحكم في الوصول استنادا إلى عامل الخطر، مما يعني أن المنظمات يجب أن تنفذ مستويات التحليل الأمني باستخدام الذكاء الاصطناعي والتعلم الآلي التي تتداخل مع تكوين الأمان والشبكة القائمة . كما يجب عليهم تحديد التهديدات في الوقت الحقيقي وأتمتة قواعد مراقبة الدخول وفقا لذلك. "
استنتاج
في بيئات تكنولوجيا المعلومات المعقدة اليوم، يجب أن ينظر إلى مراقبة الدخول على أنها "بنية تحتية تكنولوجية حية تستخدم أكثر الأدوات تطورا، تعكس التغيرات في بيئة العمل مثل زيادة التنقل، والتعرف على التغييرات في الأجهزة التي نستخدمها ومخاطرها. متأصلة ويأخذ التحول المتزايد إلى سحابة على محمل الجد " ، ويختتم تشيسلا.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))