منو سایت

چرا احراز هویت هنوز بزرگترین مشکل برای CISO است

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

چرا احراز هویت هنوز بزرگترین مشکل برای CISO است

یکی از چالش های اصلی که مدیران امنیت اطلاعات در سازمان های بزرگ و کوچک همچنان با آن مواجه هستند، احراز هویت است. این عنصر امنیتی مهم و قدیمی مشکلات مختلفی را برای مدیران امنیت سایبری ایجاد می کند که به دنبال شناسایی و احراز هویت کاربران و دستگاه های پراکنده در شهرها، مرزها و مناطق زمانی هستند. از سوی دیگر، ریسک‌های مداوم مرتبط با فرآیندها و استراتژی‌های احراز هویت ناکارآمد، مشاغلی را که به دنبال سرعت بخشیدن به عملیات و اقدامات امنیتی هستند، تهدید می‌کند. از این رو تیم های امنیت سایبری در سازمان ها در تلاش هستند تا در دنیای جدید احراز هویت را مورد بازنگری قرار دهند.

احراز هویت یک مانع بزرگ برای مدیران امنیتی امروزی است

مشکل احراز هویت همیشه توسط مدیران ارشد امنیت اطلاعات با استفاده از روش های مختلف آزمایش می شود. لامونت اورنج، مدیر ارشد اطلاعات نتسکوپ، می گوید: «اول و مهمتر از همه، ما باید یک تعریف مدرن از احراز هویت ارائه کنیم. او گفت: «ما از عبارات مختلفی برای توصیف روش‌های احراز هویت و مجوز مورد نیاز برای دستگاه‌ها، برنامه‌ها و سیستم‌ها استفاده می‌کنیم، علاوه بر حفظ سیاست‌های امنیتی حاکم بر این تعامل‌ها». در گذشته از احراز هویت در ساختاری بسیار ساده استفاده می کردیم. بنابراین، در صورت نیاز به دسترسی، باید تست های احراز هویت (نام کاربری / رمز عبور) را بدون استفاده از احراز هویت چند مرحله ای برای هر کاربر / سرویس انجام دهیم. در حالی که در مکانیسم‌های احراز هویت امروزی باید احراز هویت مبتنی بر توکن و APIها را همراه با قابلیت‌های احراز هویت چند مرحله‌ای در نظر بگیریم.» Orange معتقد است که چنین رویکردی منجر به پیچیدگی‌های خاصی می‌شود.

احراز هویت نیز یک هدف متحرک برای حمله است و برای مقابله با تهدیدات و آسیب پذیری های جدید، باید همیشه تلاش کنیم تا احراز هویت کاربر و دستگاه را به روشی امن ارزیابی و بررسی کنیم. تداوم تکامل ابر نیز نقش مهمی در این زمینه ایفا می کند. کریس هیکمن، مدیر امنیت Keyfactor می گوید: «مدیران ارشد امنیت اطلاعات اغلب فاقد دید و مقیاس پذیری برای حفظ چنین محیط هایی هستند. آنها همچنین باید به طور مداوم پورتال ها و ارائه دهندگان راه حل هویت را پیکربندی کنند یا در پیکربندی های خود تغییراتی ایجاد کنند تا نیازهای همیشه در حال تغییر را برآورده کنند.

چالش‌های افزایش دقت برای اعتبارسنجی هویت نیز از موضوعات مهم در این زمینه است. به گفته سامی میگز از Synopsys، “به کارگیری بالاترین سطح دقت برای احراز هویت معمولاً یک کار اضافی در مقایسه با اطمینان و اطمینانی است که برای سازمان ها و کارمندان ایجاد می شود.”

اعتبارسنجی هویت ها

چالش های موفقیت هویت

چالش‌های ناشی از مکانیسم‌های احراز هویت مدرن برای مدیران ارشد و سازمان‌های امنیت اطلاعات بسیار زیاد است. این چالش ها شامل تعامل، قابلیت استفاده، محدودیت های فنی و آسیب پذیری ها می شود. Orange می‌گوید: «بسیاری از سازمان‌ها همچنان با چالش‌های زیادی در رسیدگی به مسائل هویت کاربر مواجه هستند. پیچیدگی احراز هویت مدرن اکنون به سطوح سیستم، ماشین‌ها و قابلیت‌های مدیریت مخفی منجر می‌شود که باید در نظر گرفته شوند، اما همه فناوری‌ها به اندازه کافی بالغ نیستند که بتوان از آنها استفاده کرد. اینگونه است که مدل های مختلف مدیریتی شکل می گیرد. گاهی اوقات پشتیبانی ضمنی از پروتکل‌های سنتی منجر به آسیب‌پذیری‌های امنیتی می‌شود و شیوه‌های مورد استفاده برای کنترل دسترسی و APIها می‌توانند بسیار متفاوت و ناسازگار باشند.»

گرگ دی، مدیر ارشد اطلاعات در Cybereason گفت: «مهم ترین چالش تجربه کاربر است. دی می گوید: «کاربران اغلب تمایلی به حفظ گذرواژه های پیچیده و طولانی ندارند، صدها رمز عبور مختلف را برای فرآیندها و حساب های کاربری مختلف حفظ می کنند و آنها را به طور مکرر وارد می کنند. اگرچه استفاده از یک پین کد منحصر به فرد برای هر تراکنش توسط کاربر منجر به ارتقای امنیت می شود، اما از طرف دیگر زمان تکمیل تراکنش افزایش می یابد.

برای تغییر وضعیت فعلی احراز هویت، تیم های فناوری و امنیتی باید به دنبال مدل هایی مانند اعتماد صفر باشند. به گفته هیکمن: «استراتژی‌های جدید، مانند اعتماد صفر، نیاز به احراز هویت قوی دستگاه یا دستگاه دارند. سازمان‌ها معمولاً با مدیریت هویت ماشین و استراتژی‌های اعتبار شروع می‌کنند، و احراز هویت ماشین، مانند احراز هویت کاربر، به اشکال مختلفی ارائه می‌شود. “مدیریت موثر تمام مدل های احراز هویت مبتنی بر ماشین می تواند یک چالش باشد.”

میگ می گوید: «مفاهیم احراز هویت بیومتریک موانع قابل توجهی ایجاد کرده است. مثلاً برای شناسایی فرد باید به صورت بصری مشاهده شود و تصویر دقیقی از چشم، اثر انگشت، اسکن حرارتی و … داشته باشد. چنین جزئیاتی به شخص مورد نظر مرتبط است. حال فرض کنید فرد مورد نظر حضور داشته باشد. این شخص برای ثبت نام باید چه مدارکی داشته باشد؟ فرض کنید برای احراز هویت مدارکی مانند شناسنامه، شناسنامه، پاسپورت و … لازم است. این مدارک چگونه تایید می شوند؟ اگر شخصی رانندگی نکند و پاسپورت نداشته باشد چه؟ در پاسخ به این سوال می توان گفت که باید به اندازه کافی حرکت کرد، اما چنین رویکردی گران است. همه این بررسی‌ها مطمئناً برای کسی انجام می‌شود که می‌خواهد به انبار تجهیزات هسته‌ای دسترسی پیدا کند، اما برای کسی که به‌عنوان مثال به دنبال دسترسی به یک شبکه LAN شرکتی است، چه باید کرد؟ همچنین امیدوارم با وادار کردن کاربران به انجام احراز هویت بیومتریک هنگام تعامل با روبات‌ها، راه درازی در پیش داشته باشیم!»

چالش های احراز هویت

مخادوستت دارم هویت ناکارآمد

احراز هویت غیرعملکردی خطرات قابل توجهی را برای سازمان ها به همراه دارد که منجر به دسترسی شدید و غیرمجاز به کاربران، سیستم ها / ماشین ها، خدمات و دستگاه ها می شود و می تواند منجر به افشای داده ها شود. Orange می‌گوید: «در اکوسیستم DevOps، اجزای API می‌توانند در معرض انواع آسیب‌پذیری‌ها، مانند نقص‌های احراز هویت در سطح شی، قرار بگیرند. احراز هویت ناکارآمد همچنین منجر به نشت API می‌شود که عواقبی مانند جریمه‌های سنگین حریم خصوصی، آسیب‌پذیری در برابر حملات در حال ظهور و سوء استفاده موفقیت‌آمیز از باج‌افزار با افزایش سطح حمله را به همراه دارد.

در واقع، داده ها یکی از با ارزش ترین دارایی های هر کسب و کاری است و اگر نتوانید کنترل کنید چه کسی به داده ها دسترسی دارد، کسب و کار خود را در معرض خطر قرار می دهید. به گزارش دی: «ما دائماً شاهد عواقب واقعی این مشکل و مبالغ هنگفت دریافتی از باج افزار هستیم. برای موفقیت هر کسب‌وکاری، کنترل اینکه چه کسی به داده‌ها دسترسی دارد و با چه کسانی داده‌ها به اشتراک گذاشته می‌شود، بسیار مهم است.»

این مشکل پس از انتشار گزارش‌های گسترده‌ای مبنی بر نقض اطلاعات در سیستم‌های داخلی شرکت Okta (ارائه‌دهنده نرم‌افزار احراز هویت مبتنی بر ابر) از گروه باج‌افزار LAPSUS، اهمیت بیشتری پیدا کرد. طبق پست‌های توییتر، LAPSUS پایگاه داده Okta $ را هدف قرار نمی‌دهد، بلکه بر روی کاربران Okta برای دسترسی سطح بالا به سیستم‌های این شرکت تمرکز می‌کند. متیو پرینس، مدیر عامل کلودفلیر اعلام کرد که این شرکت تمام اعتبارنامه های Okta را برای هر کارمندی که در چهار ماه گذشته رمز عبور خود را تغییر داده است، “بازنشانی” می کند و به دنبال جایگزین هایی برای نرم افزار احراز هویت خواهد بود.

روش های احراز هویت توصیه شده هویت مدرن

فهرست کردن اصول گواهینامه توصیه شده آسان است، اما به گفته میگ، بکارگیری این اصول به خصوص در سازمان های بزرگ آسان نیست. او می گوید: «سعی نکنید خودتان یک سیستم توکن، رمزنگاری، پروتکل و غیره طراحی کنید. تعداد مشاوران امنیت سایبری باکیفیت دارای محصولات بالغ و هزاران کاربر است و حتی مهاجمان هر روز نظرات خود را بیان می کنند.

Migues در حال کار بر روی مکانیسم های احراز هویت بدون رمز عبور است و تلاش می کند توجه شرکت ها را به اهمیت احراز هویت از API به API جلب کند. او استفاده از NIST 800-63B و راهنماهای مشابه را برای اجرای استراتژی احراز هویت پیشنهاد می‌کند و می‌گوید: «باید آگاه باشید که چنین سرویس‌هایی در نهایت مورد حمله قرار خواهند گرفت. بنابراین از ابزارهای سرعت سنج در همه جا استفاده کنید تا حملات خودکار را کاهش دهید.حملات سایبری خودکار

 

Orange معتقد است که مشارکت تیم های مدیریتی، ریسک و انطباق با استانداردهای قانونی برای برآورده کردن الزامات گواهینامه امروز مهم است. اورنج گفت: انجام آزمایش‌های مستمر برای شناسایی آسیب‌پذیری‌ها و بازیابی دید، انجام تحلیل میدانی از طریق ابزارهای پیاده‌سازی شده و آموزش جدی به نیروی کار در مورد تهدیدات مرتبط نیز از اقدامات مهم است.

روز به مدیران ارشد امنیت اطلاعات توصیه می کند که اهمیت تجربه کاربری را دست کم نگیرند. او گفت: “اگر فرآیندهای احراز هویت بسیار پیچیده یا دشوار باشد، کارمندان راهی برای دور زدن آنها پیدا خواهند کرد.” دی می گوید: «هدف باید یافتن رویکردی برای پیاده سازی مدیریت دسترسی مبتنی بر ریسک در تمام سیستم های اطلاعاتی به شیوه ای منسجم باشد.

 

منبع: csoonline