امنیت تعریف شده با هویت
امنیت تعریف شده با هویت به یکی از موضوعات مورد توجه در تأمین امنیت تبدیل شده است. امروزه تأمین امنیت با استفاده از ابزارهای سنتی مانند فایروالها امکانپذیر نیست. کاربران به مرزهایی فراتر از محدوده امنیت سنتی نقل مکان کردهاند و از مکانهای و دستگاههای مختلف به برنامههای کاربردی داخلی و ابری سازمان دسترسی پیدا میکنند.
سازمانها برای افزایش امنیت به رویکردهای نوین مانند بهرهگیری از ویژگیهای بیومتریک روی آوردهاند. افزایش استفاده از ویژگیهای بیومتریک موجب افزایش آمار حملات به این روشها نیز شده است و این حملات در آینده نیز ادامه خواهد داشت. این موضوع چندان هم عجیب نیست چرا که با افزایش استفاده از ویژگیهایی مانند اثر انگشت یا اسکن صورت به عنوان ابزارهای احراز هویت، میزان توجهات به دادههای تولید شده از این روشها نیز فزونی یافته است.
چالشهای به کارگیری دادههای بیومتریک
برخلاف گذرواژه که به سهولت قابل تغییر است دادههای بیومتریک غیرقابل تغییر میباشند و همین موضوع باعث افزایش ارزش آن شده است. بنابراین کاملاً منطقی است که مهاجمان بر روی این معدن ارزشمند تمرکز کنند. این تمرکز موجب شکلگیری روشهای جدید حمله به این نوع دادهها شده است.
یکی از شناختهشدهترین حملات، دستیابی به دادههای بیومتریک مورد استفاده در احراز هویت چند عاملی برای نفوذ به شبکه شرکتها است. زمانی که مهاجمین به لطف تاکتیکهای دستکاری داده به این اطلاعات دست یابند میتوانند از آن برای برای نفوذ به شبکههای شرکتی و سرقت دادهها و اطلاعات ارزشمند استفاده کنند.
یکی دیگر از چالشهای پیش آمده، سوء استفاده از دادههای شناسایی هویت در جنگهای سایبری است. فناوری تشخیص چهره امکان شناسایی افراد در مکانهای عمومی تنها با ویژگیهای صورت را تسهیل کرده است. کشورهای رقیب به طور فزایندهای، دادههای بیومتریک مورد استفاده برای شناسایی هویت را به عنوان بخشی از استراتژی جنگ سایبری خود هدف قرار میدهند.
بنابراین نشت این نوع دادهها برای افراد دولتی، نیرویهای انتظامی و ارتشی میتواند فاجعه بار باشد و حتی زندگی آنها را تهدید کند.
آیا استفاده از دادههای بیومتریک واقعاً نیاز است؟
سازمانها اکثراً از مدل امنیتی outside-in استفاده میکنند که تهدیدات خارجی و الزامات انطباقپذیری نقش تعیینکنندهای در تعیین استراتژی امنیتی و میزان هزینه آنها دارند. به عبارت دیگر، این سازمانها با اجرای جدیدترین و بهترین راهحلهای فناوری به آخرین تهدیدات، واکنش نشان میدهند. به عنوان مثال، این شرکتها از روشهای بیومتریک برای پاسخگویی به تهدیدات مربوط به شناسایی و احراز هویت بهره میگیرند. استفاده از روشهای بیومتریک علاوه بر افزایش امنیت، بهبود بهرهوری و کارایی کارکنان را نیز در پی دارد.
با این وجود، ممکن است برخی از سازمانها به جای اضافه کردن یک لایه احراز هویت مبتنی بر ویژگیهای بیومتریک از روش بخشبندی استراتژیک شبکهها و دادههای خود استفاده کنند. چنین رویکردی موجب سختی دسترسی به شبکه میشود. بنابراین هر شرکت/ سازمان، استراتژی امنیتی متفاوتی خواهد داشت، زیرا هر سازمان دارای پروفایل ریسک منحصربهفردی است.
ورود به دوره امنیت تعریف شده با هویت (Identity-defined Security)
در دورهای که تحول دیجیتال بسترهای لازم برای ایجاد دیوارهای مجازی در پیرامون داده را فراهم کرده است. تأمین امنیت با استفاده از سیاستهای ایستا و با بهرهگیری از ابزارهایی مانند دیوار آتش امکانپذیر نیست. کاربران خارج از مرزهای تعریف شده در امنیت کلاسیک قرار دارند و در هر زمانی از مکانهای متفاوت و با دستگاههای مختلف به دادهها و برنامههای کاربردی سازمان دسترسی پیدا میکنند.
سازمانها برای اطمینان از تأمین امنیت در جهان جدید باید به سمت رویکردهایی با محوریت هویت حرکت کنند. هویت در عصر تحولات شگرف به ابزار جدیدی برای ایجاد محیطهای کنترل شده تبدیل شده است که از شناسههای بیومتریک نیز به عنوان ابزاری برای کنترل دسترسی استفاده میکند.
سازمانها برای تعاملات امن و قابل اعتماد باید به سمت امنیت با محوریت هویت حرکت کنند تا امکان تضمین دسترسی افراد درست به منابع درست در زمان درست و به دلیل درست را داشته باشند. در دنیای جدید، سازمانها باید بلوغ برنامههای مدیریت هویت و دسترسی خود را افزایش دهند تا امکان استفاده از امنیت هویت محور (Identity-centric Security) را داشته باشند.
امنیت هویت محور
امنیت هویت محور، مفهومی است که با پیادهسازی روشهای نوین (نسل آینده) مدیریت هویت و دسترسی و یکپارچهسازی آن با برنامه امنیت سازمان موجب ارتقاء امنیت مبتنی بر محیط (Perimeter-based Security) میشود. سازمانها از طریق امنیت هویت محور میتوانند در ورای روشهای سنتی حرکت کنند و امکان دسترسی افراد درست به منابع درست را فراهم نمایند.
امنیت مبتنی بر محیط، تکنیکی برای ایمنسازی شبکه است که از روش کنترل دسترسی به همه نقاط ورود و خروج شبکه استفاده میکند.
اولین گام در دستیابی به امنیت تعریف شده با هویت، متعهد شدن سازمان نسبت به راهبرد جدید است که به معنی سرمایهگذاری استراتژیک در یک رویکرد نظاممند برای دستیابی به مدیریت هویت و دسترسی است. برای دستیابی به این هدف باید مفاهیم پایه زیر را در نظر گرفت:
- توسعه نقشهراه اولویتدار برای مدیریت هویت و دسترسی که شامل محرکهای کسبوکار، چالشهای وضعیت جاری و ملاحظات مربوط به وضعیت آینده است.
- ایجاد یک درک کلی از هر شخصی که برای سازمان یا با سازمان کار میکند و مستندسازی دقیق جزییات دسترسیهایی که در طول زمان داشته است.
ملاحظات کلیدی دسترسی شامل اطلاعات قابل شناسایی شخصی (PII)، دادههای بیومتریک، کدهای منبع و داراییهای معنوی، دادههای منابع انسانی و نظیر آن از مواردی هستند که از نقش تعیینکننده در سازمانهای امروزی برخوردارند.
زمانی که اطلاعات مربوط به ویژگیهای پایه درک شدند میتوان کنترلهای پایه مانند کنترل دسترسی، مدیریت چرخه عمر کاربر و حاکمیت دسترسی را پیادهسازی نمود. با پیادهسازی این الزامات، مبنای مورد نیاز برای امنیت تعریف شده با هویت ایجاد میشود و میتوان به سمت کنترلهای پیشرفتهتر حرکت کرد. روشهای بیومتریک یکی از گزینههای پیش رو برای پیادهسازی امنیت تعریف شده با هویت در سازمان به شمار میروند. با این وجود، استفاده از این کنترلهای پیشرفته باید بر مبنای چشمانداز ریسک سازمان باشد.
غلبه هویت بر امنیت: چگونه هویت میتواند امنیت را هدایت کند؟
شناسایی هویت افراد و دستگاههای دارای درخواست دسترسی، اولین مرحله از محافظت از دادهها و داراییهای سازمان به شمار میرود. سابقاً هویت با استفاده از گذرواژه و رمزعبور سنجیده میشد و امکان دسترسی به سیستم فراهم میگردید اما تحولات فناوری اطلاعات، الزامات جدیدی برای تایید هویت و مدیریت دسترسی به منابع ایجاد کرده است.
امروزه سازمانها از دیدگاه هویتی پیچیدهتری برای احراز هویت و مجوزدهی افراد و دستگاهها استفاده میکنند تا تأیید هویت قابل اعتمادتر و مبتنی بر زمینه را ارائه نمایند. آندره دوراند مدیر ارشد اجرایی Ping Identity در این زمینه اعتقاد دارد: “ما نیاز داریم تا هویت را از وضعیت فعلی که در زمینه مدیریت گروهها، منابع و وضعیت فعلی که در زمینه مدیریت گروهها، منابع و شبکهها کاربرد دارد به واسطه هوشمندی و یادگیری ماشین به رویکرد بلادرنگتری از کنترل دسترسی منتقل کنیم.”
این رویکرد نیازمند نگاه جامعتری به دیگر فاکتورهای تعیینکننده هویت به ویژه خصیصههای رفتاری و محیطی میباشد. باید همه چیز در مورد مشتریان، کارمندان و دستگاههای متصل به شبکه درک شود و یک پروفایل واحد امن برای هر یک از آنها ایجاد گردد. استراتژیهای امنیتی سازمانها باید با تمرکز بر احراز هویت قوی آغاز شود.
امنیت، هویت را جذب کرده است، ولی هویت، امنیت را خواهد بلعید.
تغییر روشهای هویتی که سازمانها برای احراز هویت و مجوزدهی مورد استفاده قرار میدهند تغییرات ساختاری را در پی خواهد داشت. در حال حاضر، افرادی که مسئولیت هویت را بر عهده دارند به طور معمول با امنیت ارتباط ندارند. این موضوع با تمرکز بیشتر امنیت بر روی هویت به عنوان یک مفهوم دفاعی در خط مقدم تغییر خواهد کرد و این موضوع تأثیر عمیقی بر روی هر دو گروه خواهد داشت.
بیشتر بخوانید: روشهای پیادهسازی مدیریت هویت و دسترسی
اتحادیه امنیت تعریف شده با هویت
اتحادیه امنیت تعریف شده با هویت (Identity Defined Security Alliance-IDSA) گروهی از فروشندگان هویت و امنیت، ارائهدهندگان راهحلها و فعالین این حوزه است که به عنوان یک منبع مستقل برای رهبری، تخصص و راهنمایی عملی در مورد رویکردهای هویت محور در حوزه امنیت برای متخصصان فناوری عمل میکند. IDSA یک سازمان غیرانتفاعی است که همکاری جامعه هویت را برای کمک به سازمانها در کاهش خطر با ارائه آموزش، بهروشها و منابع تسهیل میکند.
اتحادیه امنیت تعریف شده با هویت، آموزش و منابع رایگان با رویکرد بیطرفانه را در اختیار فروشندگان قرار میدهد. این اتحادیه به سازمانها کمک میکند تا خطر نشت داده را با تلفیق استراتژیهای هویت و امنیت کاهش دهند. در چند سال گذشته جایگاه هویت از تجربه عملیاتی و کاربری منتقل شده و به عنوان هسته اصلی امنیت شناخته شده است.
عدم بلوغ مدیریت هویت و دسترسی (IAM)، وجود بیش از حد فناوریهای امنیتی پیچیده و سردرگمی در مورد محل شروع دیوارد دفاعی فقط چند مورد از دلایلی هستند که سازمانها از این هویت ذاتی ارزشمند غافل میشوند.
نسل بعدی IAM ، Identity Defined Security™ (IDS)، هویت را در مرکز معماری امنیتی قرار میدهد. امنیت تعریف شده با هویت با ادغام زیرساختهای IAM با فناوریهای امنیت سایبری سازمانی، دسترسی بلادرنگ و مبتنی بر هوشمندی به دادهها و برنامههای سازمان را فراهم میکند.
یک رویکرد هویت محور برای امنیت به شرکتها امکان میدهد تا کارایی سرمایه گذاری خود در زمینه امنیت سایبری را همزمان با کنترل خطر و همگرایی زیرساختهای فناوری اطلاعات بهینه کنند. به نظر یک کار سخت است اما رهبران اندیشه در زمینه امنیت سایبری در IDSA گرد هم میآیند تا این چشمانداز را به واقعیت تبدیل کنند.
نویسنده: تورج اکبری