Tuesday, 2 October 2018

المنهج الأمني الجديد: لا تثق أبداً، تحقق دوماً




بدأت المؤسسات تدرك أن مجرد الاعتماد على اسم المستخدم وكلمة المرور لم يعد كافياً لتأمين وجودها على الفضاء الإلكتروني. ولهذا السبب فقد بدأ الاعتماد على منهج انعدام الثقة يلقى إقبالاً متزايداً، كما يوضّح كامل هويس، المدير الإقليمي في الشرق الأوسط وإفريقيا لدى سنتريفاي 




يعدّ مبدأ انعدام الثقة أساساً للأمن الإلكتروني فيما يشهد القطاع تحولاً هائلاً بسبب الحوسبة السحابية والتنقل والمرونة والتوفر. وتتوقع شركة غارتنر أن يصل الإنفاق العالمي على الأمن 96 مليار دولار هذا العام - إلا أننا لا زلنا نقرأ عناوين الأخبار التي تؤكد بأن الشركات غير قادرة على مواجهة التهديدات بالسرعة اللازمة، على الرغم من القائمة المطوّلة من الشركات والحلول المختصة في المجال. والمفاجئ أكثر هو أن أقل من 10 بالمائة من الإنفاق المذكور مخصص لإدارة الهوية وصلاحية الدخول. وقد أجبرت حالات خرق الأمن الإلكتروني الضخمة الخبراء والمزودين على إعادة النظر في الأسس التي تقوم عليها أفضل الممارسات والافتراضات التي تم اعتمادها في الماضي، والتساؤل عن مدى جدواها. 




ويفترض المبدأ الأمني الجديد لانعدام الثقة بأن الجهة المهددة قد تكون بالفعل داخل المؤسسة على هيئة أحد موظفيها، أو يفترض بدلاً من ذلك أن تلك الجهة حصلت على معلومات المرور الخاصة بأحد موظفي المؤسسة. ويسعى مبدأ انعدام الثقة إلى تقييد فرص التهديد الداخلي تلك، وبالتالي تقييد قدرة جهة التهديد على استخدام معلومات الموظف واختراق أجزاء أخرى من المؤسسة. 




افترضت الممارسات السابقة للأمن الإلكتروني ان معلومات المستخدم منيعة أمام التهديدات واختارت التحقق منها كخطوة تالية. أما في النموذج الجديد فلا يمكن الوثوق أبداً بأي مستخدم إلى ان يتم التحقق الدقيق من معلومات الدخول والجهاز. كما تمنح حلول إدارة الوصول والهوية المستخدمين إمكانية الوصول إلى موارد المؤسسة فقط بالقدر اللازم لأداء مهمتهم – وفق ما يقتضيه دور كل منهم في المؤسسة. 




وفي هذا السيناريو، لا يمكن الوثوق أبداً بالموظف ووصوله إلى موارد المؤسسة التي يسمح له بالوصول إليه، حيث يفترض بأن جهة التهديد تمكنت من الاستيلاء على معلومات الدخول الخاصة بأي مستخدم في أي وقت، ولذلك لا بد من تقييد إمكانية وصوله إلى أصول المؤسسة ومواردها. باختصار – لا يمكن الوثوق بالمستخدم أبداً، ولا بد من التحقق من هويته خلال دخوله في محاولة للوصول إلى أصول المؤسسة. 




تطبّق ممارسة الأمن المثلى لانعدام الثقة على جميع المستخدمين النهائيين لتقنية المعلومات وعلى المستخدمين ذوي الصلاحيات الإضافية والموردين والعملاء أو الشركاء، كما تنطبق على كافة أنواع الموارد والأصول سواء عبر تطبيق أو عبر أحد موارد البنية التحتية للحاسوب. 




تستخدم ممارسة انعدام الثقة منهجاً من أربع خطوات.




الخطوة الأولى هي التحقق من شرعية المستخدم بما يتجاوز معلوماته الصحيحة من اسم المستخدم وكلمة المرور، حيث يتم التحقق متعدد العوامل باستعمال المعلومات الشخصية او جهاز آخر معروف للموظف ليكون الممارسة الإضافية المعتادة. 

أما الخطوة الثانية فتتمثل في التحقق من النقطة النهائية أو الجهاز الذي يستعمله المستخدم النهائي. فعند التحاق الجهاز والتحقق منه، يرتبط الجهاز ذاته بنفس المستخدم للتحقق من عنصر الثقة عند استعماله في المرة التالية. ولكن إذا اختار المستخدم استعمال جهاز مختلف من موقع مختلف، فسيتعيّن التحقق من معلومات الدخول والموافقة عليها قبل أن يتمكن المستخدم النهائي من دخول شبكة المؤسسة باستخدام ذلك الجهاز. 




وبعد التحقق من جهاز المستخدم، تمنح الخطوة الثالثة صلاحية الدخول إلى أصول المؤسسة ولكن فقط بالقدر الذي يحتاجه إنجاز المهمة وفقاً لدور المستخدم في المؤسسة. وبهذا يستطيع المستخدمون الوصول إلى العديد من التطبيقات وموارد الحوسبة المختلفة فقط إن كانت مطلوبة للمهام التي يضطلعون بها. وكلما زادت حرجيّة التطبيق أو مورد الحوسبة، قلّت صلاحية الوصول الممنوحة للمستخدم النهائي. 




وتوجد الضوابط ذاتها لجميع أنواع المستخدمين بما فيهم المدراء، وهم عادة الهدف الأساسي لأية جهات تهديد نظراً لأنهم عادة يحملون مفاتيح الدخول إلى المؤسسة بأكملها. ويتمثل الضابط الأساسي هنا في تقييد الوصول الجانبي للمستخدمين النهائيين إلى عدد من التطبيقات وموارد الحوسبة، ما لم يكن ذلك ضرورياً للقيام بمهمة معيّنة. 




أما الخطوة الأخيرة فهي جعل النظم الداخلية قابلة للتعلّم الذاتي والتكيّف من خلال التعلّم الآلي. وبينما تحتاج المنظمات إلى تعزيز الأمن بشكل مستمر، إلا أن تقييد إنتاجية الموظفين يمكن أن يؤدي إلى فوضى في بيئة العمل الداخلية. ولهذا فلا بدّ أن تكون لدى التطبيقات الداخلية للأمن الإلكتروني القدرة على التعلّم من سلوك المستخدم بل وتمكين إنتاجيته في المواقف شبه المعتادة، إلا أنها تستطيع التنبيه فوراً في حال الانحراف عمّا هو طبيعي. 




ويمكن للدروس المستفادة التي تنشأ في تلك الفترة أن تساعد كبار مسؤولي الأمن في تعديل وتكيّف السياسات الأمنية بشكل يحقق التوازن بين مخاوف المؤسسة وإنتاجية المستخدم. وستجد المؤسسات التي تتبع منهج انعدام الثقة أن هذا هو المسار الصحيح لإعادة بناء سياسات المستخدم والوصول إلى الموارد. 




=