سؤالات مهمی که قبل از خرید راهکار مدیریت دسترسی ویژه (PAM) حتماً باید آنها را بررسی کنید

کمیته رکن چهارم – چالش‌های مربوط به عدم آشکار نمودن هویت اصلی کاربر، موضوع تازه‌ای نبوده و تاریخ مملو از فریبکاری‌ها و کلاهبرداری‌های بسیار زیاد در این زمینه است. برای مثال در دوره جنگ تروا مصریان باستان توانستند با مخفی کردن نیروهای نظامی خود در اسب‌های چوبی، بدون جلب توجه به شهر تروا نفوذ کنند. در قرن شانزدهم میلادی نیز در فرانسه، یک کلاهبردار بی‌پول خود را به جای شخص دیگری جا زده و املاک وی را تصاحب نمود. در اوایل قرن ۱۹ میلادی هم فردی به نام “Frederik Emerson Peters” موفق شد با استفاده از چک‌های تقلبی و جعل هویت هنرپیشه‌ها، اشخاص مشهور و نویسندگان، بعضی از بانک‌ها را فریب دهد.

با نگاهی به وضعیت امروزی کاملاً واضح است که با استفاده گسترده از فناوری‌های دیجیتال، مهاجرت پلتفرم‌ها به سرویس‌های ابری، روش‌های جدید کاری (مثل دورکاری) و نوآوری‌های بی‌وقفه مهاجمان سایبری، پیچیدگی مسائل مربوط به هویت و دسترسی‌های ویژه از لحاظ امنیتی رو به افزایش است. جعل هویت و دستکاری مجوزهای دسترسی یکی از ابزارهای کلیدی در حملات سایبری مدرن و هدفمند به شمار می‌روند.

بر اساس آمار و نتایج تحقیقات انجام شده، حدود ۹۰ درصد از سازمان‌ها در یک برهه زمانی دچار نفوذهای امنیتی شدند که از طریق پنهان نمودن هویت یا سوءاستفاده از هویت‌های واقعی افراد رخ دادند. از این رو تیم‌های امنیتی متعددی در تلاش هستند آسیب‌پذیری‌های امنیتی را از بین برده و رویکردهایشان را نیز بهبود بخشند. در گام اول، هدف آنها ارایه یک طرح کلی از مخاطرات مربوط به مجوزهای هویتی و همچنین دسترسی‌های ویژه است. آنها معتقدند که سامانه مدیریت حقوق دسترسی‌ها (PAM) باید به عنوان هسته اصلی تمام رویکردهای امنیت هویتی در نظر گرفته شود.

تیم امنیتی شما باید راهکارهای فناورانه منعطفی را شناسایی کند که قابل اجرا در سازمان بوده و به بالا بردن امنیت نهادهای هویتی کمک می‌کنند. این راهکارها همچنین باید از دسترسی‌های سطح بالا (همچنین در محیط‌های ترکیبی و سرویس‌های ابری که ممکن است مخاطراتی را ایجاد کنند) محافظت نمایند. از طرف دیگر، شناسایی دقیق نیازمندی‌های فنی در طول فرایندهای ارزیابی و خریداری برای سازمان‌هایی که به صورت مستمر در حال ایجاد تغییر و تکامل در کسب‌وکارشان هستند چندان آسان نبوده و پیش‌بینی نیازهای سازمان تقریباً غیرممکن است.

در این مطلب مجموعه‌ای از سؤالات کلیدی و ملاحظاتی که می‌توانند در تسهیل فرایند ارزیابی و انتخاب فروشنده و ابزار مناسب به کارشناسان امنیت IT کمک کرده و آنها را در راستای تحقق اهداف امنیت نهادهای هویتی و مدیریت دسترسی‌‌های ویژه راهنمایی کنند، مورد بررسی قرار می‌دهیم.

بعضی از سؤالاتی که باید از ارایه‌دهندگان سامانه مدیریت دسترسی ویژه و امنیت هویتی مدنظرتان بپرسید، شامل موارد زیر هستند:

آیا این سامانه از زیرساخت ترکیبی پشتیبانی می‌کند؟

یک راهکار مدیریت دسترسی‌های ویژه مناسب شامل مجموعه‌ای از فناوری‌های ترکیبی قابل گسترش بوده و کارایی عملیاتی را در کلیه نهادهای هویتی، زیرساخت و برنامه‌هایی که دارای ساختار ترکیبی بوده یا در محیط‌های ابری مورد استفاده قرار می‌گیرند، افزایش می‌دهد. توصیه می‌شود جهت حصول اطمینان از انطباق و پوشش کامل چنین راهکاری به موارد زیر توجه کنید:

1. آیا این راهکار به صورت یکپارچه و به شیوه‌ای کارآمد و مقرون به صرفه، کاربران (انسان و ماشین) را به منابع موجود متصل می‌کند.
2. آیا این راهکار به شما کمک می‌کند تا با استفاده از ابزارها و سرویس‌های شناخته شده که مورد تأیید متخصصان هستند با استانداردهای انطباق مشتری و نیازمندی‌های حریم خصوصی سازگار شوید.
3. آیا چنین راهکاری بدون وارد نمودن کوچکترین لطمه‌ای به میزان سود کسب‌وکارتان، امکان یکپارچه‌سازی با برنامه‌های فعلی و جدید یا توسعه زیرساخت را فراهم می‌کند.

آیا این سامانه قابلیت پشتیبانی از تراکنش‌های متنوع را داشته و با اهداف تحول دیجیتالی‌تان همخوانی دارد؟

مشاغل و کسب‌وکارها به منظور ایجاد تحول در توسعه‌های نرم‌افزاری از DevOps استفاده نموده و به کمک رویکرد نرم‌افزاری خودکارسازی فرایندهای رباتیک (RPA) توانسته‌اند مرزهای قدرت تنظیمات خودکار را نیز گسترش دهند. PAM به شما کمک می‌کند با تجمیع سیستم فعلی با فناوری خودکارسازی، اسکریپت‌ها و رابط‌های کاربری (API) برنامه‌های مبتنی بر گردش کار (Workflow) و همچنین بدون اینکه امنیت سازمان‌تان دچار مخاطره شود از مزایای افزایش کارایی و بهره‌وری ناشی از تحولات دیجیتالی به صورت کامل بهر‌ه‌مند شوید. پیش از خرید این سامانه حتماً موارد زیر را مورد بررسی قرار دهید:

1. آیا این سامانه می تواند حجم زیادی از اعتبارنامه‌های تعبیه شده در DevSecOps، خدمات ابری و برنامه‌های سنتی را به صورت پیوسته مدیریت کند.
2. آیا این سامانه امکان ایجاد یک محیط رمزنگاری شده امن (که همه اعتبارنامه‌های حساس‌تان به صورت امن در آن ذخیره شوند) و مدیریت اعتبارنامه‌های حساب‌های ویژه که به وسیله ربات‌های نرم‌افزاری و مدیران RPA مورد استفاده قرار می‌گیرند را فراهم می‌کند.
3. آیا این سامانه از قابلیت مدیریت خودکار چرخه برنامه به منظور تقویت بهره‌وری و به حداقل رساندن مدت زمان تأخیرها پشتیبانی می‌کند.
4. آیا این سامانه، مجوز استفاده از رویکرد امنیتی Just-in-time (که در آن مجوز دسترسی فقط برای یک مدت زمان از پیش تعیین شده و بر اساس نیاز تخصیص داده می‌شود) در حساب‌های کاربری مشترک یا روش لیوان شکسته (که در آن دسترسی فوری به حساب کاربری که فرد در حالت عادی مجوز دسترسی به آن ندارد، داده می‌شود) را می‌دهد.

آیا تجربه کاربر در این سامانه در اولویت قرار دارد؟

یکی از عناصر حیاتی در بحث امنیت سازمان‌ها افراد هستند. هر عاملی که منجر به افزایش پیچیدگی یا مسئولیت در بحث مدیریت و محافظت از دسترسی‌های ویژه شود، سطح مخاطرات امنیتی را افزایش و بهره‌وری را کاهش خواهد داد. جهت برآورد تأثیرات احتمالی این سامانه بر روی تجربه کاربری، سؤالات زیر را مطرح کنید:

1. آیا کار کردن با چنین سامانه‌ای برای کاربران آسان بوده و علاوه بر ایجاد امنیت و توازن در بین دسترسی‌های بدون مشکل و مستقیم، کنترل‌های امنیت هویتی قوی را نیز به وجود می‌آورد.
2. آیا سامانه می‌تواند با نظارت و دسترسی از راه دور، بیشترین میزان تأثیر را داشته و نیازمندی‌های مربوط به دسترسی را مدیریت کند.
3. آیا سامانه از قابلیت‌های سرویس خودکار و گردش‌های کاری خودگردان برای کمک به حفظ کارایی و بهره‌وری کاربران پشتیبانی می‌کند.
4. آیا امکان پیاده‌سازی و اجرای سامانه از طریق یک مدل مقرون به صرفه و منعطف SaaS که به کاهش بار عملیاتی و هزینه‌های سازمان کمک می‌کند، وجود دارد.

آیا این سامانه قابلیت مواجه با چالش‌های آتی را دارد؟

شناسه‌های هویتی همزمان با ادغام سنسورها و فناوری‌های عملیاتی به میکروسرویس‌ها، ربات‌های نرم‌افزاری و سرویس‌های مجازی تکامل یافته و پیچیده‌تر شده‌اند. یک راهکار اثربخش باید قابلیت همگام‌سازی نیازهای امنیتی و فرصت‌های تجاری دیجیتال آینده را با یکدیگر داشته باشد. پیش از خرید چنین راهکاری موارد زیر را در نظر داشته باشید:

1. آیا این سامانه می‌تواند نقش مؤثری در خریدهای راهبردی هوش تجاری داشته و یک خط‌مشی قوی و محکم R&D را برای بررسی تهدیدات و همچنین موارد مورد استفاده ارایه دهد.
2. آیا این سامانه به منظور بهبود کارایی، دیدگاه محققان امنیتی درباره رویکردهای نوظهور را مورد بررسی قرار می‌دهد.

آیا این سامانه نقش مؤثری در مقابله با تهدیدات امنیتی خواهد داشت؟

بنا به توصیه آژانس امنیت ملی آمریکا سازمان‌ها باید همواره آمادگی لازم برای مقابله با مخاطرات امنیتی را داشته باشند. یک راهکار مناسب باید تمام ارتباطات را غیرامن در نظر گرفته مگر آنکه به صراحت مورد تأیید واقع شوند. پیش از انتخاب راهکار مدنظرتان موارد زیر را بررسی کنید:

1. این راهکار به منظور ایجاد امنیت در کلیه نهادهای هویتی باید روش‌های دسترسی پایه‌ای را از طریق قواعد امنیتی پویا اعمال کند.
2. این راهکار باید امکان استفاده از یک رویکرد Zero Trust که احراز هویت و اعطای مجوز تطبیقی را به همراه مجموعه‌ای از بازرسی‌های غیرقابل دستکاری از کلیه فعالیت‌ها به کار می‌برد، فراهم نماید.
3. این راهکار باید مخاطرات امنیتی و هزینه‌های مربوطه را از طریق یک چارچوب موفق که همواره در حال اصلاح است، کاهش دهد.

آیا این فناوری امکان پشتیبانی از یک محیط گسترده را دارد؟

از آنجا که هویت، رشته اتصال بخش‌های زیرساخت اطلاعاتی و فناوری یک سازمان است، راهکار مناسب می‌بایست توانایی مشارکت با طیف گسترده‌ای از برنامه‌ها، سرویس‌ها و تأمین‌کنندگان را داشته باشد. پیش از انتخاب راهکار مدنظرتان و به منظور کاهش هزینه‌های مربوط به انجام کارهای فنی تکراری و همچنن صرف زمان و هزینه در فناوری‌های غیرقابل استفاده، موارد زیر را مورد بررسی قرار دهید:

1. آیا این سامانه امکان ادغام با سایر رویکردها را به منظور حفظ ارزش دارایی‌ها و سرویس‌های فناوری اطلاعات دارد.
2. آیا این سامانه قابلیت یکپارچه‌سازی سرویس‌ها را دارد.
3. آیا این سامانه به سادگی از طریق پروتکل‌ها و استانداردهای قابل اعتماد و پذیرفته شده نظیر SAML ،REST و OAUTH قابل ادغام است.

نتیجه‌گیری

از آنجا که اطلاعات سازمانی از جمله دارایی‌های مهم هر کسب‌وکار بوده و ممکن است توسط مجرمان سایبری مورد سوءاستفاده قرار گیرد بنابراین وجود یک راهکار PAM به منظور حفاظت مستمر از این اطلاعات در برابر تهدیدات هویتی، محرمانگی، یکپارچگی و دسترس‌پذیری یک امر ضروری است. همچنین در هنگام انتخاب راهکار PAM مدنظرتان باید به ارایه‌دهنده چنین سرویسی توجه ویژه‌ای داشته و سخت‌گیری‌های لازم را به کار گیرید. در نهایت باید راهکاری را انتخاب کنید که بیشترین سازگاری را با بودجه و فرایندهای کاری سازمان‌تان داشته و از کسب‌وکار شما در مقابل تهدیدات سایبری محافظت کند.

منبع: فراست