یکی از چالش های اصلی که مدیران امنیت اطلاعات در سازمان های بزرگ و کوچک همچنان با آن مواجه هستند، احراز هویت است. این عنصر امنیتی مهم و قدیمی مشکلات مختلفی را برای مدیران امنیت سایبری ایجاد می کند که به دنبال شناسایی و احراز هویت کاربران و دستگاه های پراکنده در شهرها، مرزها و مناطق زمانی هستند. از سوی دیگر، ریسکهای مداوم مرتبط با فرآیندها و استراتژیهای احراز هویت ناکارآمد، مشاغلی را که به دنبال سرعت بخشیدن به عملیات و اقدامات امنیتی هستند، تهدید میکند. از این رو تیم های امنیت سایبری در سازمان ها در تلاش هستند تا در دنیای جدید احراز هویت را مورد بازنگری قرار دهند.
احراز هویت یک مانع بزرگ برای مدیران امنیتی امروزی است
مشکل احراز هویت همیشه توسط مدیران ارشد امنیت اطلاعات با استفاده از روش های مختلف آزمایش می شود. لامونت اورنج، مدیر ارشد اطلاعات نتسکوپ، می گوید: «اول و مهمتر از همه، ما باید یک تعریف مدرن از احراز هویت ارائه کنیم. او گفت: «ما از عبارات مختلفی برای توصیف روشهای احراز هویت و مجوز مورد نیاز برای دستگاهها، برنامهها و سیستمها استفاده میکنیم، علاوه بر حفظ سیاستهای امنیتی حاکم بر این تعاملها». در گذشته از احراز هویت در ساختاری بسیار ساده استفاده می کردیم. بنابراین، در صورت نیاز به دسترسی، باید تست های احراز هویت (نام کاربری / رمز عبور) را بدون استفاده از احراز هویت چند مرحله ای برای هر کاربر / سرویس انجام دهیم. در حالی که در مکانیسمهای احراز هویت امروزی باید احراز هویت مبتنی بر توکن و APIها را همراه با قابلیتهای احراز هویت چند مرحلهای در نظر بگیریم.» Orange معتقد است که چنین رویکردی منجر به پیچیدگیهای خاصی میشود.
احراز هویت نیز یک هدف متحرک برای حمله است و برای مقابله با تهدیدات و آسیب پذیری های جدید، باید همیشه تلاش کنیم تا احراز هویت کاربر و دستگاه را به روشی امن ارزیابی و بررسی کنیم. تداوم تکامل ابر نیز نقش مهمی در این زمینه ایفا می کند. کریس هیکمن، مدیر امنیت Keyfactor می گوید: «مدیران ارشد امنیت اطلاعات اغلب فاقد دید و مقیاس پذیری برای حفظ چنین محیط هایی هستند. آنها همچنین باید به طور مداوم پورتال ها و ارائه دهندگان راه حل هویت را پیکربندی کنند یا در پیکربندی های خود تغییراتی ایجاد کنند تا نیازهای همیشه در حال تغییر را برآورده کنند.
چالشهای افزایش دقت برای اعتبارسنجی هویت نیز از موضوعات مهم در این زمینه است. به گفته سامی میگز از Synopsys، “به کارگیری بالاترین سطح دقت برای احراز هویت معمولاً یک کار اضافی در مقایسه با اطمینان و اطمینانی است که برای سازمان ها و کارمندان ایجاد می شود.”
چالش های موفقیت هویت
چالشهای ناشی از مکانیسمهای احراز هویت مدرن برای مدیران ارشد و سازمانهای امنیت اطلاعات بسیار زیاد است. این چالش ها شامل تعامل، قابلیت استفاده، محدودیت های فنی و آسیب پذیری ها می شود. Orange میگوید: «بسیاری از سازمانها همچنان با چالشهای زیادی در رسیدگی به مسائل هویت کاربر مواجه هستند. پیچیدگی احراز هویت مدرن اکنون به سطوح سیستم، ماشینها و قابلیتهای مدیریت مخفی منجر میشود که باید در نظر گرفته شوند، اما همه فناوریها به اندازه کافی بالغ نیستند که بتوان از آنها استفاده کرد. اینگونه است که مدل های مختلف مدیریتی شکل می گیرد. گاهی اوقات پشتیبانی ضمنی از پروتکلهای سنتی منجر به آسیبپذیریهای امنیتی میشود و شیوههای مورد استفاده برای کنترل دسترسی و APIها میتوانند بسیار متفاوت و ناسازگار باشند.»
گرگ دی، مدیر ارشد اطلاعات در Cybereason گفت: «مهم ترین چالش تجربه کاربر است. دی می گوید: «کاربران اغلب تمایلی به حفظ گذرواژه های پیچیده و طولانی ندارند، صدها رمز عبور مختلف را برای فرآیندها و حساب های کاربری مختلف حفظ می کنند و آنها را به طور مکرر وارد می کنند. اگرچه استفاده از یک پین کد منحصر به فرد برای هر تراکنش توسط کاربر منجر به ارتقای امنیت می شود، اما از طرف دیگر زمان تکمیل تراکنش افزایش می یابد.
برای تغییر وضعیت فعلی احراز هویت، تیم های فناوری و امنیتی باید به دنبال مدل هایی مانند اعتماد صفر باشند. به گفته هیکمن: «استراتژیهای جدید، مانند اعتماد صفر، نیاز به احراز هویت قوی دستگاه یا دستگاه دارند. سازمانها معمولاً با مدیریت هویت ماشین و استراتژیهای اعتبار شروع میکنند، و احراز هویت ماشین، مانند احراز هویت کاربر، به اشکال مختلفی ارائه میشود. “مدیریت موثر تمام مدل های احراز هویت مبتنی بر ماشین می تواند یک چالش باشد.”
میگ می گوید: «مفاهیم احراز هویت بیومتریک موانع قابل توجهی ایجاد کرده است. مثلاً برای شناسایی فرد باید به صورت بصری مشاهده شود و تصویر دقیقی از چشم، اثر انگشت، اسکن حرارتی و … داشته باشد. چنین جزئیاتی به شخص مورد نظر مرتبط است. حال فرض کنید فرد مورد نظر حضور داشته باشد. این شخص برای ثبت نام باید چه مدارکی داشته باشد؟ فرض کنید برای احراز هویت مدارکی مانند شناسنامه، شناسنامه، پاسپورت و … لازم است. این مدارک چگونه تایید می شوند؟ اگر شخصی رانندگی نکند و پاسپورت نداشته باشد چه؟ در پاسخ به این سوال می توان گفت که باید به اندازه کافی حرکت کرد، اما چنین رویکردی گران است. همه این بررسیها مطمئناً برای کسی انجام میشود که میخواهد به انبار تجهیزات هستهای دسترسی پیدا کند، اما برای کسی که بهعنوان مثال به دنبال دسترسی به یک شبکه LAN شرکتی است، چه باید کرد؟ همچنین امیدوارم با وادار کردن کاربران به انجام احراز هویت بیومتریک هنگام تعامل با روباتها، راه درازی در پیش داشته باشیم!»
مخادوستت دارم هویت ناکارآمد
احراز هویت غیرعملکردی خطرات قابل توجهی را برای سازمان ها به همراه دارد که منجر به دسترسی شدید و غیرمجاز به کاربران، سیستم ها / ماشین ها، خدمات و دستگاه ها می شود و می تواند منجر به افشای داده ها شود. Orange میگوید: «در اکوسیستم DevOps، اجزای API میتوانند در معرض انواع آسیبپذیریها، مانند نقصهای احراز هویت در سطح شی، قرار بگیرند. احراز هویت ناکارآمد همچنین منجر به نشت API میشود که عواقبی مانند جریمههای سنگین حریم خصوصی، آسیبپذیری در برابر حملات در حال ظهور و سوء استفاده موفقیتآمیز از باجافزار با افزایش سطح حمله را به همراه دارد.
در واقع، داده ها یکی از با ارزش ترین دارایی های هر کسب و کاری است و اگر نتوانید کنترل کنید چه کسی به داده ها دسترسی دارد، کسب و کار خود را در معرض خطر قرار می دهید. به گزارش دی: «ما دائماً شاهد عواقب واقعی این مشکل و مبالغ هنگفت دریافتی از باج افزار هستیم. برای موفقیت هر کسبوکاری، کنترل اینکه چه کسی به دادهها دسترسی دارد و با چه کسانی دادهها به اشتراک گذاشته میشود، بسیار مهم است.»
این مشکل پس از انتشار گزارشهای گستردهای مبنی بر نقض اطلاعات در سیستمهای داخلی شرکت Okta (ارائهدهنده نرمافزار احراز هویت مبتنی بر ابر) از گروه باجافزار LAPSUS، اهمیت بیشتری پیدا کرد. طبق پستهای توییتر، LAPSUS پایگاه داده Okta $ را هدف قرار نمیدهد، بلکه بر روی کاربران Okta برای دسترسی سطح بالا به سیستمهای این شرکت تمرکز میکند. متیو پرینس، مدیر عامل کلودفلیر اعلام کرد که این شرکت تمام اعتبارنامه های Okta را برای هر کارمندی که در چهار ماه گذشته رمز عبور خود را تغییر داده است، “بازنشانی” می کند و به دنبال جایگزین هایی برای نرم افزار احراز هویت خواهد بود.
روش های احراز هویت توصیه شده هویت مدرن
فهرست کردن اصول گواهینامه توصیه شده آسان است، اما به گفته میگ، بکارگیری این اصول به خصوص در سازمان های بزرگ آسان نیست. او می گوید: «سعی نکنید خودتان یک سیستم توکن، رمزنگاری، پروتکل و غیره طراحی کنید. تعداد مشاوران امنیت سایبری باکیفیت دارای محصولات بالغ و هزاران کاربر است و حتی مهاجمان هر روز نظرات خود را بیان می کنند.
Migues در حال کار بر روی مکانیسم های احراز هویت بدون رمز عبور است و تلاش می کند توجه شرکت ها را به اهمیت احراز هویت از API به API جلب کند. او استفاده از NIST 800-63B و راهنماهای مشابه را برای اجرای استراتژی احراز هویت پیشنهاد میکند و میگوید: «باید آگاه باشید که چنین سرویسهایی در نهایت مورد حمله قرار خواهند گرفت. بنابراین از ابزارهای سرعت سنج در همه جا استفاده کنید تا حملات خودکار را کاهش دهید.
Orange معتقد است که مشارکت تیم های مدیریتی، ریسک و انطباق با استانداردهای قانونی برای برآورده کردن الزامات گواهینامه امروز مهم است. اورنج گفت: انجام آزمایشهای مستمر برای شناسایی آسیبپذیریها و بازیابی دید، انجام تحلیل میدانی از طریق ابزارهای پیادهسازی شده و آموزش جدی به نیروی کار در مورد تهدیدات مرتبط نیز از اقدامات مهم است.
روز به مدیران ارشد امنیت اطلاعات توصیه می کند که اهمیت تجربه کاربری را دست کم نگیرند. او گفت: “اگر فرآیندهای احراز هویت بسیار پیچیده یا دشوار باشد، کارمندان راهی برای دور زدن آنها پیدا خواهند کرد.” دی می گوید: «هدف باید یافتن رویکردی برای پیاده سازی مدیریت دسترسی مبتنی بر ریسک در تمام سیستم های اطلاعاتی به شیوه ای منسجم باشد.
منبع: csoonline