امنیت تعریف شده با هویت

امنیت تعریف شده با هویت به یکی از موضوعات مورد توجه در تأمین امنیت تبدیل شده است. امروزه تأمین امنیت با استفاده از ابزارهای سنتی مانند فایروال‌ها امکان‌پذیر نیست. کاربران به مرزهایی فراتر از محدوده‌ امنیت سنتی نقل مکان کرده‌اند و از مکان‌های و دستگاه‌های مختلف به برنامه‌های کاربردی داخلی و ابری سازمان دسترسی پیدا می‌کنند.

سازمان‌ها برای افزایش امنیت به رویکردهای نوین مانند بهره‌گیری از ویژگی‌های بیومتریک روی آورده‌اند. افزایش استفاده از ویژگی‌های بیومتریک موجب افزایش آمار حملات به این روش‌ها نیز شده است و این حملات در آینده نیز ادامه خواهد داشت. این موضوع چندان هم عجیب نیست چرا که با افزایش استفاده از ویژگی‌هایی مانند اثر انگشت یا اسکن صورت به عنوان ابزارهای احراز هویت، میزان توجهات به داده‌های تولید شده از این روش‌ها نیز فزونی یافته است.

امنیت تعریف شده با هویت

چالش‌های به کارگیری داده‌های بیومتریک

برخلاف گذرواژه که به سهولت قابل تغییر است داده‌های بیومتریک غیرقابل تغییر می‌باشند و همین موضوع باعث افزایش ارزش آن شده است. بنابراین کاملاً منطقی است که مهاجمان بر روی این معدن ارزشمند تمرکز کنند. این تمرکز موجب شکل‌گیری روش‌های جدید حمله به این نوع داده‌ها شده است.

یکی از شناخته‌شده‌ترین حملات، دستیابی به داده‌های بیومتریک مورد استفاده در احراز هویت چند عاملی برای نفوذ به شبکه شرکت‌ها است. زمانی که مهاجمین به لطف تاکتیک‌های دستکاری داده به این اطلاعات دست یابند می‌توانند از آن برای برای نفوذ به شبکه‌های شرکتی و سرقت داده‌ها و اطلاعات ارزشمند استفاده کنند.

یکی دیگر از چالش‌های پیش آمده، سوء استفاده از داده‌های شناسایی هویت در جنگ‌های سایبری است. فناوری تشخیص چهره امکان شناسایی افراد در مکان‌های عمومی تنها با ویژگی‌های صورت را تسهیل کرده است. کشورهای رقیب به طور فزاینده‌ای، داده‌های بیومتریک مورد استفاده برای شناسایی هویت را به عنوان بخشی از استراتژی جنگ سایبری خود هدف قرار می‌دهند.

بنابراین نشت این نوع داده‌ها برای افراد دولتی، نیروی‌های انتظامی و ارتشی می‌تواند فاجعه بار باشد و حتی زندگی‌ آن‌ها را تهدید کند.

آیا استفاده از داده‌های بیومتریک واقعاً نیاز است؟

سازمان‌ها اکثراً از مدل امنیتی outside-in استفاده می‌کنند که تهدیدات خارجی و الزامات انطباق‌پذیری نقش تعیین‌کننده‌ای در تعیین استراتژی امنیتی و میزان هزینه آن‌ها دارند. به عبارت دیگر، این سازمان‌ها با اجرای جدیدترین و بهترین راه‌حل‌های فناوری به آخرین تهدیدات، واکنش نشان می‌دهند. به عنوان مثال، این شرکت‌ها از روش‌های بیومتریک برای پاسخگویی به تهدیدات مربوط به شناسایی و احراز هویت بهره می‌گیرند. استفاده از روش‌های بیومتریک علاوه بر افزایش امنیت، بهبود بهره‌وری و کارایی کارکنان را نیز در پی دارد.

با این وجود، ممکن است برخی از سازمان‌ها به جای اضافه کردن یک لایه احراز هویت مبتنی بر ویژگی‌های بیومتریک از روش بخش‌بندی استراتژیک شبکه‌ها و داده‌های خود استفاده کنند. چنین رویکردی موجب سختی دسترسی به شبکه می‌شود. بنابراین هر شرکت/ سازمان، استراتژی امنیتی متفاوتی خواهد داشت، زیرا هر سازمان دارای پروفایل ریسک منحصربه‌فردی است.

ورود به دوره امنیت تعریف شده با هویت (Identity-defined Security)

در دوره‌ای که تحول دیجیتال بسترهای لازم برای ایجاد دیوارهای مجازی در پیرامون داده را فراهم کرده است. تأمین امنیت با استفاده از سیاست‌های ایستا و با بهره‌گیری از ابزارهایی مانند دیوار آتش امکان‌پذیر نیست. کاربران خارج از مرزهای تعریف شده در امنیت کلاسیک قرار دارند و در هر زمانی از مکان‌های متفاوت و با دستگاه‌های مختلف به داده‌ها و برنامه‌های کاربردی سازمان دسترسی پیدا می‌کنند.

سازمان‌ها برای اطمینان از تأمین امنیت در جهان جدید باید به سمت رویکردهایی با محوریت هویت حرکت کنند. هویت در عصر تحولات شگرف به ابزار جدیدی برای ایجاد محیط‌های کنترل شده تبدیل شده است که از شناسه‌های بیومتریک نیز به عنوان ابزاری برای کنترل دسترسی استفاده می‌کند.

سازمان‌ها برای تعاملات امن و قابل اعتماد باید به سمت امنیت با محوریت هویت حرکت کنند تا امکان تضمین دسترسی افراد درست به منابع درست در زمان درست و به دلیل درست را داشته باشند. در دنیای جدید، سازمان‌ها باید بلوغ برنامه‌های مدیریت هویت و دسترسی خود را افزایش دهند تا امکان استفاده از امنیت هویت محور (Identity-centric Security) را داشته باشند.

امنیت هویت محور

امنیت هویت محور، مفهومی است که با پیاده‌سازی روش‌های نوین (نسل آینده) مدیریت هویت و دسترسی و یکپارچه‌سازی آن با برنامه امنیت سازمان موجب ارتقاء امنیت مبتنی بر محیط (Perimeter-based Security) می‌شود. سازمان‌ها از طریق امنیت هویت محور می‌توانند در ورای روش‌های سنتی حرکت کنند و امکان دسترسی افراد درست به منابع درست را فراهم نمایند.

امنیت مبتنی بر محیط، تکنیکی برای ایمن‌سازی شبکه است که از روش کنترل دسترسی به همه نقاط ورود و خروج شبکه استفاده می‌کند.

امنیت هویت محور

اولین گام در دستیابی به امنیت تعریف شده با هویت، متعهد شدن سازمان نسبت به راهبرد جدید است که به معنی سرمایه‌گذاری استراتژیک در یک رویکرد نظام‌مند برای دستیابی به مدیریت هویت و دسترسی است. برای دستیابی به این هدف باید مفاهیم پایه زیر را در نظر گرفت:

  • توسعه نقشه‌راه اولویت‌دار برای مدیریت هویت و دسترسی که شامل محرک‌های کسب‌وکار، چالش‌های وضعیت جاری و ملاحظات مربوط به وضعیت آینده است.
  • ایجاد یک درک کلی از هر شخصی که برای سازمان یا با سازمان کار می‌کند و مستندسازی دقیق جزییات دسترسی‌هایی که در طول زمان داشته است.

ملاحظات کلیدی دسترسی شامل اطلاعات قابل شناسایی شخصی (PII)، داده‌های بیومتریک، کدهای منبع و دارایی‌های معنوی، داده‌های منابع انسانی و نظیر آن از مواردی هستند که از نقش تعیین‌کننده در سازمان‌های امروزی برخوردارند.

زمانی که اطلاعات مربوط به ویژگی‌های پایه درک شدند می‌توان کنترل‌های پایه مانند کنترل دسترسی، مدیریت چرخه عمر کاربر و حاکمیت دسترسی را پیاده‌سازی نمود. با پیاده‌سازی این الزامات، مبنای مورد نیاز برای امنیت تعریف شده با هویت ایجاد می‌شود و می‌توان به سمت کنترل‌های پیشرفته‌تر حرکت کرد. روش‌های بیومتریک یکی از گزینه‌های پیش رو برای پیاده‌سازی امنیت تعریف شده با هویت در سازمان به شمار می‌روند. با این وجود، استفاده از این کنترل‌های پیشرفته‌ باید بر مبنای چشم‌انداز ریسک سازمان باشد.

غلبه هویت بر امنیت: چگونه هویت می‌تواند امنیت را هدایت کند؟

شناسایی هویت افراد و دستگاه‌های دارای درخواست دسترسی، اولین مرحله از محافظت از داده‌ها و دارایی‌های سازمان به شمار می‌رود. سابقاً هویت با استفاده از گذرواژه و رمزعبور سنجیده می‌شد و امکان دسترسی به سیستم فراهم می‌گردید اما تحولات فناوری اطلاعات، الزامات جدیدی برای تایید هویت و مدیریت دسترسی به منابع ایجاد کرده است.

امروزه سازمان‌ها از دیدگاه هویتی پیچیده‌تری برای احراز هویت و مجوزدهی افراد و دستگاه‌ها استفاده می‌کنند تا تأیید هویت قابل اعتمادتر و مبتنی بر زمینه را ارائه نمایند. آندره دوراند مدیر ارشد اجرایی Ping Identity در این زمینه اعتقاد دارد: “ما نیاز داریم تا هویت را از وضعیت فعلی که در زمینه مدیریت گروه‌ها، منابع و وضعیت فعلی که در زمینه مدیریت گروه‌ها، منابع و شبکه‌ها کاربرد دارد به واسطه هوشمندی و یادگیری ماشین به رویکرد بلادرنگ‌تری از کنترل دسترسی منتقل کنیم.”

هویت پایه امنیت

این رویکرد نیازمند نگاه جامع‌تری به دیگر فاکتورهای تعیین‌کننده هویت به ویژه خصیصه‌های رفتاری و محیطی می‌باشد. باید همه چیز در مورد مشتریان، کارمندان و دستگاه‌های متصل به شبکه درک شود و یک پروفایل واحد امن برای هر یک از آن‌ها ایجاد گردد. استراتژی‌های امنیتی سازمان‌ها باید با تمرکز بر احراز هویت قوی آغاز شود.

امنیت، هویت را جذب کرده است، ولی هویت، امنیت را خواهد بلعید.

تغییر روش‌های هویتی که سازمان‌ها برای احراز هویت و مجوزدهی مورد استفاده قرار می‌دهند تغییرات ساختاری را در پی خواهد داشت. در حال حاضر، افرادی که مسئولیت هویت را بر عهده دارند به طور معمول با امنیت ارتباط ندارند. این موضوع با تمرکز بیشتر امنیت بر روی هویت به عنوان یک مفهوم دفاعی در خط مقدم تغییر خواهد کرد و این موضوع تأثیر عمیقی بر روی هر دو گروه خواهد داشت.

بیشتر بخوانید: روش‌های پیاده‌سازی مدیریت هویت و دسترسی

اتحادیه امنیت تعریف شده با هویت

اتحادیه امنیت تعریف شده با هویت (Identity Defined Security Alliance-IDSA) گروهی از فروشندگان هویت و امنیت، ارائه‌دهندگان راه‌حل‌ها و فعالین این حوزه است که به عنوان یک منبع مستقل برای رهبری، تخصص و راهنمایی عملی در مورد رویکردهای هویت محور در حوزه امنیت برای متخصصان فناوری عمل می‌کند. IDSA یک سازمان غیرانتفاعی است که همکاری جامعه هویت را برای کمک به سازمان‌ها در کاهش خطر با ارائه آموزش، به‌روش‌ها و منابع تسهیل می‌کند.

اتحادیه امنیت تعریف شده با هویت، آموزش و منابع رایگان با رویکرد بی‌طرفانه را در اختیار فروشندگان قرار می‌دهد. این اتحادیه به سازمان‌ها کمک می‌کند تا خطر نشت داده را با تلفیق استراتژی‌های هویت و امنیت کاهش دهند. در چند سال گذشته جایگاه هویت از تجربه عملیاتی و کاربری منتقل شده و به عنوان هسته اصلی امنیت شناخته شده است.

اتحادیه امنیت تعریف شده با هویت

عدم بلوغ مدیریت هویت و دسترسی (IAM)، وجود بیش از حد فناوری‌های امنیتی پیچیده و سردرگمی در مورد محل شروع دیوارد دفاعی فقط چند مورد از دلایلی هستند که سازمان‌ها از این هویت ذاتی ارزشمند غافل می‌شوند.

نسل بعدی IAM ، Identity Defined Security™ (IDS)، هویت را در مرکز معماری امنیتی قرار می‌دهد. امنیت تعریف شده با هویت با ادغام زیرساخت‌های IAM با فناوری‌های امنیت سایبری سازمانی، دسترسی بلادرنگ و مبتنی بر هوشمندی به داده‌ها و برنامه‌های سازمان را فراهم می‌کند.

یک رویکرد هویت محور برای امنیت به شرکت‌ها امکان می‌دهد تا کارایی سرمایه گذاری خود در زمینه امنیت سایبری را همزمان با کنترل خطر و همگرایی زیرساخت‌های فناوری اطلاعات بهینه کنند. به نظر یک کار سخت است اما رهبران اندیشه در زمینه امنیت سایبری در IDSA گرد هم می‌آیند تا این چشم‌انداز را به واقعیت تبدیل کنند.

نویسنده: تورج اکبری