يعتبر وجود المستخدمين المميزين ضرورة في أي نظام معلوماتي. وبشكل عام، يعتمد تشغيل نظم المعلومات وتوافر موارد المؤسسة على الاجراءات التي يقوم بها مستخدمون مميزون. وإذا ارتكب هؤلاء المستخدمين خطأ أو تسربت معلومات حساباتهم إلى المهاجمين أو المنافسين ، فإن ذلك قد يعرض أعمال المؤسسة للخطر الشديد.
وفقاُ لـ cybersecurity.att عندما تتوسع العمليات التجارية لن يكفي نظام معلومات واحد بل سيكون هناك ضرورة لاستخدام مجموعة من الحلول المعقدة التي تقع تحت إدارة العديد من المديرين ذوي الصلاحيات والمسؤوليات المختلفة. حينها يصبح التحكم في أعمالهم أمرا صعبا ومكلفا للغاية. و تزداد هذه الصعوبة إذا لم يكن هناك نظام مصادقة محكم أو إذا استخدم المديرون كلمات سر ضعيفة أو افتراضية.
وبطبيعة الحال ، إذا كان لدى جميع مدراء الأنظمة ذات مستوى الصلاحيات ، فإن مثل هذا الوضع قد يكون مناسباً للوهلة الأولى ، ولكن إذا وقعت حدث أمني، فلن يكون من السهل تحديد من هو المذنب.
الحماية من أخطاء المستخدمين المميزين
إذا قمت بتعيين مدير نظام جديد لا يفهم كل ترابط الأنظمة وقام بالتسبب بضرر ما عن طريق الخطأ ، فإنه هناك احتمال لأن يجاول إلقاء اللوم على الآخرين. لذلك يجب أن أن تتم عمليات مصادقة جميع المستخدمين المميزين بصورة منفصلة وفعالة. وينبغي التحكم في أفعالهم بأكبر قدر ممكن قد يصل لتخصيص كل مستخدم منهم بمجموعة محددة من الأوامر أو العمليات.
هناك العديد من الطرق المختلفة لاختراق النظام. فعلى سبيل المثال ، يمكن للمحتالين أن يستفيدوا من الافتقار إلى نظام لإدارة التحديث والتصحيح فيستغلوا نقاط الضعف قبل أن تتم معالجتها أو عبربناء هجمات من الداخل. ومع ذلك ، بالنسبة للمهاجمين الخارجيين ، فإن القدرة على انتحال حساب مدير هي في الواقع أفضل طريقة لخرق نظام معلومات بسرعة والتخفي. ولذلك ، فإن موثوقية آلية المصادقة بالنسبة لمدراء الأنظمة administrators وغيرهم من المستعملين المميزين هي مفتاح أمن الشركة.
أفضل الممارسات لمصادقة المستخدمين المميزين
أولا ، يجب أن نعرف متطلبات مصادقة المستخدمين المميزين. هناك الكثير من المعايير واللوائح في هذا المجال. و منها:
حساب واحد لكل شخص
هذا الشرط مفهوم ومباشر. وإذا كان هناك حساب يشترك باستخدامه عدة أشخاص ، وكانت كلمة السر معروفة لديهم ، فمن الصعب عندئذ تحديد من استخدمها بالضبط للقيام بأعمال محددة.
المتطلبات القانونية
في بعض البلدان ، يلزم إجراء مصادقة قانونية ملزمة للمستخدمين المتميزين حيث يجب توقيع كل إجراء بتوقيع إلكتروني. إذا تم ارتكاب أعمال غير قانونية باستخدام كمبيوتر الشركة ، فيجب على المدير تقديم معلومات حول من فعل ذلك بالضبط. خلاف ذلك ، قد يكون المدراء مسؤولين عن هذه الإجراءات.
إزالة المستخدمين المميزين في الوقت المناسب
تتطلب المعايير الأمنية مراقبة وصول المستعملين إلى المعلومات. والمراقبة لا تمنح الإذن بالوصول إلى الموارد فحسب ، بل أيضا إلغاء حقوق الوصول في الوقت المناسب. وهذه ليست مهمة ثانوية، لا سيما إذا كان هناك العديد من التطبيقات التي يمكن الوصول إليها من الشبكة الخارجية.
عدم الإنكار للمستخدمين المميزين
وتتطلب العديد من المعايير القدرة على إجراء تحقيق. ويرتبط عدم الإنكار بالمسائل القانونية. ويجب التوقيع على جميع إجراءات المستعملين المميزين بتوقيع إلكتروني يُنشأ باستخدام المفتاح الخاص. ووفقا للقواعد ، لا يمكن القيام بذلك إلا من قبل مستخدم محدد يمكنه الوصول إلى المفتاح الخاص. و يوصى بشدة أن يتم تخزين هذا المفتاح على وسيلة تخزين قابلة للإزالة ترتبط ارتباطا قويا بالمستخدم ، على سبيل المثال ، على بطاقة بلاستيكية.
BYOD استخدام الأجهزة الشخصية في الأعمال
وفي عصر الرقمنة ، تضطر الشركات إلى إبقاء جزء من نظم المعلومات يعمل باستمرار. وهذا يعني أن مدراء الأنظمة لديهم القدرة على إصلاح المشاكل باستخدام أي جهاز على مدار الساعة. لذلك ، تسمح الشركات بالعمل عن بعد ، بما في ذلك استخدام المستخدمين لأجهزتهم الشخصية. وهذا يوفر الموارد والمال. ومع ذلك ، عند اعتماد BYOD ، ينبغي أن يستند نظام المصادقة على التكنولوجيا القياسية غير المرتبطة بجهاز أو منصة أو برنامج محدد. لتبسيط التعامل مع BYOD ، تحتاج إلى استخدام بروتوكولات المصادقة القياسية التي تستخدم في أدوات الإدارة عن بعد.
الحوسبة السحابية والمستخدمين المميزين
لا توجد جميع الأنظمة المعلوماتية الآن داخل مباني الشركة. في حالة استخدام الشركة للخدمات السحابية، يجب ربط المصادقة بآليات التحقق المستخدمة في المؤسسة. للقيام بذلك ، يقدم مزودي الخدمات السحابية إمكانية استخدام بروتوكولات المصادقة الموحدة ، مثل OpenID أو SAML. يتيح ذلك للمستخدمين استخدام أدوات المصادقة ذاتها للوصول لمعلومات الشركة سواءاً كانت مستضافة على مزودات الخدمات السحابية أوعلى النظم المعلوماتية ضمن مراكز البيانات في الشركة.
وينبغي النظر بعناية في جميع المتطلبات المذكورة أعلاه عند بناء نظام مصادقة الشركات. وينبغي تزويد المستخدمين المميزين بآليات مصادقة معززة. وعلى الرغم من أنها أكثر تكلفة إلى حد ما ، فإن الأمن ، في هذه الحالة ، أكثر أهمية من التكلفة المادية.
وللامتثال التام لجميع هذه المتطلبات ، فإن أفضل خيار هو استخدام منصة SSO و IDM لإدارة حقوق الوصول على أساس الأدوار الوظيفية ، ودعم بروتوكولات المصادقة الموحدة ، فضلا عن أدوات خاصة للمصادقة للمستخدمين المميزين.
ماذا يستخدم المستخدمين المميزين بدلاً من كلمة السر؟
بالنسبة للمستخدمين المميزين ، لا يمكن استخدام كلمات السر البسيطة. من السهل اعتراض كلمات السر بمساعدة برنامج Trojan، حتى لو استخدمت بروتوكولات آمنة مثل VPN. ويقابل انخفاض تكلفة طريقة المصادقة هذه ارتفاع خطر سرقة كلمة السر ، وهو أمر غير مقبول بالنسبة للمستخدمين المميزين. وعلى هذا فإن المعايير توصي بقوة بأن يتجنب مديرو تكنولوجيا المعلومات وأمن المعلومات على الأقل استخدام كلمات السر البسيطة. ويمكن أن تكون البدائل على النحو التالي:
كلمات مرور رسومية
وفي الآونة الأخيرة ، بدأ استخدام طرق مصادقة رسومية مختلفة. تسمح كلمات المرور الرسومية باستخدام الصور المشكلة خصيصا لمصادقة المستخدمين استنادا إلى قواعد محددة. وهذه الطريقة رخيصة نسبيا ولا تتطلب بروتوكولات معقدة. وفي الوقت نفسه ، يوفر ذلك سبلاً لللحماية من اعتراض كلمة السر. ومع ذلك ، فإن تسجيل جلسة المصادقة ومعرفة القواعد يسمح للمهاجم بتخمين كلمة السر.
كلمات مرور لمرة واحدة OTP
إن البديل الأرخص لكلمة سر بسيطة هو كلمة سر لمرة واحدة. يمكنك الحصول على ذلك الرمز بطرق مختلفة: الرسائل القصيرة ، باستخدام جهاز خاص ، أو برنامج. إن مبدأ توليد OTP من الممكن أن يكون مختلفاً أيضاً: فمن خلال العدد ، أو الزمن ، أو خوارزمية التشفير ، أو حتى أن يكون عشوائياً بالكامل.
المصادقة الحيوية Biometric
يمكن استخدام البارامترات الحيوية للشخص ، مثل بصمات الأصابع ، شبكية العين ، عروق اليد ، الوجه ، إلخ. ومع الانتشار الحالي للعدسات الفوتوغرافية المدمجة في الهواتف النقالة ، يمكن لهذه التكنولوجيات أن تحقق نتائج جيدة إلى حد معقول بتكلفة معقولة. يتم بناء ماسحات البصمات في بعض الهواتف الذكية ، وميزة التعرف على الوجه متوفرة في ويندوز. هذه التقنيات تسمح لك بتوصيل الجهازباللشخص الذي يستخدمه.
تحليل السلوك
ومن الممكن تقييم ما إذا كان الشخص المحدد يعمل على الحاسوب بتحليل معلومات إضافية عن أفعاله. على سبيل المثال ، أسلوب العمل على لوحة المفاتيح فريد من نوعه لكل شخص. وبالإضافة إلى ذلك ، يمكن أن تختلف باختلاف الجهاز الذي تستخدمه – لوحة المفاتيح الافتراضية ، ولوحة المفاتيح اللوحية ، ولوحة المفاتيح القياسية ، وما إلى ذلك. غير أن هذه الطريقة لا يمكن أن تكون الطريقة الرئيسية للمصادقة و لكن يمكن استخدامها كعامل إضافي لأهم العمليات. عند إدارة نظم المعلومات ، معظم إجراءات المستخدم هي عمليات روتينية ، وبالتالي يمكن التحقق من سلوك المستخدم ضمن هذا النطاق.
أجهزة إضافية لمصادقة المستخدمين المميزين
للمصادقة، يمكن استخدام أجهزة إضافية لتوليد كلمات سر لمرة واحدة ، وتخزين المفاتيح السرية ، وحتى التوقيع الر قمي المستندات. على وجه الخصوص ، الهاتف الذكي مع وحدة TPM مدمجة لتخزين مفاتيح التشفير يعمل على بهذه الطريقة. في بعض الحالات ، بالنسبة للأجهزة المحمولة ، يمكنك استخدام وحدات خارجية لتخزين معلومات التعريف ، والتفاعل مع الجهاز عن طريق بلوتوث.
وتجدر الإشارة إلى أن البدائل المدرجة في القائمة لا تستبعد بعضها بعضاً. إنها تتكامل لتحقيق الغرض المرجو منها. من الممكن جدا تخيل المصادقة متعددة المستويات بشكل يتم فيه استخدام كلمة مرور رسومية للوصول إلى قاعدة بيانات من صور للتعرف على الوجوه المخزنة في الذاكرة المحمية لجهاز بالإضافة كلمات مرور لمرة واحدة. وفي الوقت نفسه ، يستطيع النظام أن يأخذ في الاعتبار السمات المميزة لمجموعة الأوامر التي يرسلها المدير (لتحليل السلوك) وأن يصد الهجمات من الخارج في الوقت المناسب. ويمكن استخدام جميع طرق المصادقة في نظام واحد ، مما يجعل هذا الإجراء آمناً للغاية.
أدوات إدارة الهوية Identity management لمدراء الأنظمة
وبالنسبة لمدراء الأنظمة، تقوم بعض الأدوات بأتمتة إدارة المصادقة بالنسبة للمستخدمين العاديين والمميزين على حد سواء. وتشمل هذه الأدوات ما يلي:
Password vault
هو تطبيق يشفر جميع كلمات السر لجميع خدمات المستخدم. ويمكن الوصول إليها باستخدام كلمة مرور محلية ، ومن ثم يرسل هذا التطبيق كلمات مرور تلقائياً إلى جميع الخدمات التي يتصل بها المستخدمون. بذلك يلغي الحاجة إلى إدخال كلمة السر يدوياً وبالتالي سيكون من الصعب اعتراضها باستخدام keylogger أو باستغلال اتصال غير آمن. وسيكون من الصعب أيضا تخمين كلمات السر المخزنة في هذا التطبيق – فهي تولد عشوائيا.
SSO
وهذا في جوهره تطور لفكرة تخزين كلمة السر secure ، ولكن في نسخة شبكية. ويمكننا لشرح الأمر افتراض أن مخزن كلمات السر في هذه الحالة يوجد عند نقطة الدخول لشبكة الشركة ، ويستطيع المستخدمون ، ولا سيما المميزين منهم ، بعد اجتياز إجراءات المصادقة من خلاله ، الوصول إلى جميع موارد الشركات الأخرى. وفي الوقت نفسه ، لا يعرف المستخدمون كلمات السر لجميع النظم – فهي مخفية عنهم. وبالتالي ، لا يمكن للمستخدم المميز أن يتصل بمورد محدد مباشرة وأن يتخطى الـ SSO. وبالإضافة إلى ذلك ، يمكن للـ SSO أن تدعم أيضا بروتوكولات المصادقة الموحدة للتحقق من هوية المستخدمين الذين يريدون الوصول للموارد السحابية الخاصة بالشركات – ويشار إليها أحيانا باسم WebSO. وتحصل SSO على معلومات عن الموارد المؤسسية التي ينبغي أن يتيسر للمستخدمين الوصول إليها إما من دليل المستخدم أو من نظام مستقل لإدارة البيانات IDM.
IDM لإدارة هوية المستخدمين
من المهم استخدام حلول إدارة المعلومات في نظم المعلومات الكبيرة لإدارة حقوق الوصول للمستخدمين. وبالنسبة للمستخدمين المميزين ، تنشأ أدوار خاصة لديها الحد الأدنى من التصاريح التي يحتاجونها لتنفيذ المهام المسندة لهم. ولتوفير إمكانية وصول مستخدم معين إلى أحد الموارد ، يكفي ربط الدور الوظيفي به . وعلاوة على ذلك ، تسمح IDM بإصدار حقوق مؤقتة ، وتوفير إمكانية الوصول إلى الموارد باستخدام جدول زمني ، وسرعان ما تعرقل الوصول إلى المستخدمين المشتبه في امتثالهم للقواعد المحددة.
إدارة المستخدمين المتميزين PUM
وتشمل بعض نظم مراقبة المستخدمين المميزين الآليات المدمجة لمنظمات الأمن الخاصة. وتتيح لكم بصفة خاصة الجمع بين شروط المصادقة authentication ومتطلبات الترخيص authorization ، والتمكين من استخدام الحسابات المميزة ، وربطها بالحسابات الشخصية. وهذا يجعل PUM عنصراً أساسياً – لا يمكن للمستخدمين المميزين الاتصال مباشرة بموارد شبكة الشركات وسيتم تسجيل أعمالهم بالكامل. وتتيح بروتوكولات المصادقة الحديثة ربط نظام PUM بنظم SSO الخارجية ونظام IDM ، وبالتالي دمج المستخدمين المميزين في نظام مشترك موحد لمراقبة الوصول.
وبالنسبة لنظم المعلومات الكبيرة مع العديد من مدراء الأنظمة، والمستخدمين الخارجيين ، و مدراء الإدارات ، وغيرهم من المستخدمين المميزين ، من الأفضل استخدام كل هذه الأدوات. ومع ذلك ، في حالات محددة ، يمكننا الحصول على الحد الأدنى من الحلول المتخصصة ، على سبيل المثال ، PUM مع SSO المدمجة.
إدارة كلمات مرور المستخدمين المميزين مع PUM
يسمح نظام إدارة كلمة مرور المستخدمين المميزين بفصل مدراء الأنظمة عن الأنظمة التي يتحكمون فيها. الحقيقة هي أنه يمكن لمدراء الأنظمة إنشاء حساب إداري إضافي في النظام واستخدامه لأداء إجراءات غير مصرح بها. لذلك، ولاستبعاد هذا الاحتمال ، من الضروري التأكد من أن المسؤولين لا يتفاعلون بشكل مباشر مع الأنظمة ، ولكن يعملون عبر وسيط يتفاعل مع النظام الهدف ويسجل أيضًا جميع إجراءات مدراءالنظام administrators. سيتم تسجيل محاولات إنشاء حسابات مميزة إضافية في PUM وبالتالي يمكن استخدامها أثناء التحقيق في الحوادث.
PUM و SSO
ومن الحيوي أن يتم تحديد مصدر جميع الأوامر المسجلة بدقة دون إمكانية الرفض. وللقيام بذلك ، يسند التوثيق لـ PUM. وبطبيعة الحال ، من الممكن أن يتم ربط PUM بنظام SSO باستخدام بروتوكولات المصادقة. ومع ذلك ، تحتاج إلى النظام المقابل للقيام بذلك. ومن الأفضل دائما للمستخدمين المميزين أن يستخدموا أساليب مصادقة أقوى من تلك التي يستخدمها المستخدمين العاديينز بالتالي ، فإن وجود نظام مصادقة خاص بـ PUM في نظام التوثيق الخاص به يجعله أكثر موثوقية وأمنا.
ومن الأهمية بمكان أن تضمن PUM أن المستخدمين لا يحاولون الاتصال بالأنظمة المستهدفة مباشرة متجاوزين أنظمة التحكم و المراقبة. ونظام المصادقة يوفر فقط مثل هذا الضمان. لا يعرف مدراء الأنظمة كلمات السر للحسابات المميزة في النظم المستهدفة. هذه المعلومات مخزنة في PUM. ونتيجة لذلك ، فإن لدى الشركة الفرصة ليس لتسجيل الإجراءات فحسب ، بل أيضا لمنع وصول المستخدمين المميزين إذا حاولوا القيام بأعمال خطيرة. ومن ثم ، فبالنسبة لـ PUM يمثل وجود SSO سمة إضافية ، وملاءمة ، وفي نهاية المطاف ميزة تنافسية.
و بالنتيجة، لا يمكن تجاهل إجراءات وقواعد المصادقة الصحيحة. وهذا أمر حاسم بالنسبة للمستخدمين المميزين. ولحسن الحظ ، لا يوجد عدد كبير من المستخدمين المميزين في معظم المنظمات. و إلا لكان مطلوباً استخدام طرق مصادقة أكثر تعقيدا وتكلفة بالنسبة لهم ، وبالنسبة للشركات التي تهتم بالحماية من التهديدات الداخلية ، هناك جميع المكونات اللازمة لتوثيق أي عدد تقريبا من المستخدمين المميزين. وفي الوقت نفسه ، سيكون من اللطيف ليس فقط توثيق المستخدمين المميزين ولكن أيضا تسجيل الإجراءات. ومن ثم ، فمن المنطقي ألا يقتصر الأمر على تطبيق SSO مع دعم المصادقة القوي لمدراء النظام، بل أن يكون PUM مع SSO .
