ما هو توسع الهويات؟

توسع الهويات هو النمو غير المنضبط للهويّات الرقمية والحسابات داخل المنظمة، ما يؤدي إلى تقليل قدرة الاطلاع وزيادة مخاطر الأمن. مع توسع المؤسسات في بيئاتها السحابية وتبنيها لتطبيقات جديدة، ينمو عدد الهويات الرقمية بشكل أسرع مما يمكن إدارته وتأمينه بشكل صحيح. توسع الهويات يؤثر على كل من الهويات البشرية و الهويات غير البشرية (NHIs)، بما في ذلك حسابات الخدمة ووكلاء الذكاء الاصطناعي. في حين أن استخدام الهويات غير البشرية (NHIs) آخذ في الازدياد، فإن العديد من هذه الهويات لا تتم مراجعتها وإدارتها بشكل منتظم مثل حسابات الموظفين البشريين. بمرور الوقت، يزيد غياب الرؤية من خطر الهجمات الإلكترونية القائمة على الهوية. غالبًا ما يصاحب توسع الهويات انتشار الأسرار، حيث تتكاثر بيانات الاعتماد مثل مفاتيح واجهة برمجة التطبيقات (API) والرموز بدون تحكم مركزي.

كيف يحدث توسع الهويات؟

يتطور توسع الهوية تدريجيًا مع توسع المؤسسات واعتمادها للخدمات السحابية وإدخال تقنيات جديدة دون تنفيذ ضوابط إدارة الهوية والوصول المركزية (IAM).ت

التوسع السريع

لقد غير تبني السحابة الطريقة التي تدير بها المؤسسات الوصول، مما يتيح نشر تطبيقات جديدة في دقائق. ومع ذلك، عندما تتبنى المؤسسات أدوات SaaS دون ضوابط مركزية لإدارة الهوية والوصول (IAM)، يتم إنشاء الحسابات بعيدًا عن رؤية فرق الأمن. هذه اللامركزية تؤدي إلى حسابات مكررة وضوابط وصول غير متسقة وبيانات مجزأة عبر المنصات. تكنولوجيا المعلومات الخفية تزيد من تسارع توسع الهويات؛ عندما يستخدم الموظفون أدوات بدون موافقة رسمية، توسّع حسابات المستخدمين والهويات غير المُدارة سطح الهجوم للمؤسسة.

إدارة دورة حياة الهوية غير الفعالة

تضمن إدارة دورة حياة الهوية (ILM) حصول المستخدمين على الوصول المناسب عند انضمامهم إلى المؤسسة أو تغيير أدوارهم أو مغادرتها. عندما تكون عمليات الانضمام والمغادرة غير متسقة، من المرجح أن يحدث انتشار غير منضبط للهويّات. تتضمن العديد من مشكلات إدارة دورة حياة الهوية (ILM) الشائعة منح وصول مفرط أثناء الإلحاق، وعدم سحب صلاحيات الوصول عند تغيير الموظفين لأدوارهم، وتأخير إنهاء الخدمات. بدون تطبيق سياسات متسقة والإعداد الآلي، قد يحتفظ المستخدمون بصلاحيات الوصول لفترة طويلة بعد مغادرتهم المؤسسة، مما يُفضي إلى مخاطر غير ضرورية في ظل الهويات النشطة.

تزايد الحسابات ذات الامتيازات

يتم إنشاء الحسابات المميزة بشكل متكرر لدعم المشاريع المؤقتة أو البائعين أو الاحتياجات التشغيلية. ومع نمو المؤسسات، قد تؤدي هذه الحسابات إلى عدد كبير جدًا من بيانات الاعتماد المميزة المشتركة أو الوصول الدائم إلى الأنظمة الهامة أو المراجعات غير المتكررة للوصول المميز. عندما لا تخضع الحسابات المميزة لإدارة منتظمة، فإنها تصبح أصولًا قيّمة لمجرمي الإنترنت. يؤدي توسع الهوية داخل البيئات المميزة إلى زيادة التأثير المحتمل لخرق البيانات بشكل كبير.ت

نمو حسابات الخدمة والهويات غير البشرية (NHIs)

في البيئات السحابية الأصلية، غالبًا ما تفوق الهويات غير البشرية عدد المستخدمين البشريين. تقوم مسارات DevOps وأدوات الأتمتة بإنشاء حسابات خدمة جديدة باستمرار لتمكين الاتصال بين الآلات. يقدم هذا النمو الهائل مخاطر أمنية إذا كانت حسابات الخدمة غير مركزية، أو إذا كانت بيانات الاعتماد المشفرة مضمنة في البرامج النصية أو إذا كانت الرموز المميزة غير مدوّرة. عندما لا تتم مراقبة بيانات اعتماد الهويات غير البشرية أو تدويرها أو تأمينها في خزنة مركزية، فإنها تصبح ناقلات هجوم حاسمة لمجرمي الإنترنت. وبما أن الهويات غير البشرية تعمل غالبًا دون تدخل بشري، فقد تمر حالاتها المخترقة دون أن يلاحظها أحد لفترات طويلة من الزمن.

توسع الهوية مقارنة بانتشار الأسرار مقارنة بتوسع الامتيازات

توسع الهوية، وانتشار الأسرار، وزيادة الامتيازات مرتبطة بأمن الهوية، لكنها تمثل مخاطر أمنية مختلفة. يركز توسع الهوية على توسيع الهويات عبر الأنظمة. عادة ما ينتج عن اعتماد SaaS اللامركزي، ونمو سحابي دون ضوابط مركزية في IAM وإنشاء حسابات غير مدارة. المشكلة الأساسية في توسع الهوية هي الحجم؛ هناك العديد من الهويات الموجودة عبر البيئات، وقد تكون غير نشطة أو ضعيفة المراقبة. على سبيل المثال، إذا تبنت منظمة عشرات المنصات، كل منها يتطلب حساباته الخاصة، فقد تتراكم آلاف الهويات مع مرور الوقت. ورغم عدم نشاطها، توسع هذه الهويات سطح الهجوم لأنها تزداد في العدد إلى ما يتجاوز ما يمكن للمراقبة الصحيحة أن تغطيه.

على الرغم من التشابه في الاسم، يشير انتشار الأسرار إلى الانتشار غير المنضبط للأسرار، بما في ذلك كلمات المرور ومفاتيح API والرموز، عبر الأنظمة. غالبًا ما يحدث انتشار الأسرار عندما يتم ترميز بيانات الاعتماد بشكل ثابت في الكود المصدري، أو تخزين مفاتيح API في ملفات نص عادي، أو مشاركة الأسرار من خلال طرق غير آمنة مثل البريد الإلكتروني. المشكلة الرئيسية مع انتشار الأسرار لا تكمن في عدد الهويات الموجودة، بل في الانتشار غير المنضبط لبيانات الاعتماد التي تمنح الوصول. كل سر مكشوف أو غير مُدار يمكن أن يوفر للمجرمين الإلكترونيين وصولاً مباشرًا إلى الأنظمة الحرجة. فكر في مفتاح واجهة برمجة التطبيقات (API) المضمن في مستودع الأكواد والذي لم يتم تدويره أبدًا؛ يمكن لمجرم الإنترنت استخدام هذا السر للوصول إلى موارد السحابة دون اختراق الحساب على الإطلاق.

تزايد الامتيازات، على النقيض، يركز على تعيين وصول مفرط لهوية محددة. يحدث ذلك بشكل عام عندما يتم منح الوصول ولكن لا يتم إلغاؤه أبدًا بسبب تغييرات الأدوار أو المشاريع المؤقتة أو مراجعات الوصول النادرة. مع توسع الامتيازات، قد يكون عدد الهويات قابلاً للإدارة، لكن المشكلة الحقيقية تظهر عندما تحصل الحسابات الفردية على وصول أكثر من اللازم. تخيل أن موظفًا ينضم إلى فريق التسويق في مؤسسة مع وصول إلى أدوات إدارة علاقات العملاء ولكن في نهاية المطاف ينتقل إلى العمليات ويكتسب وصولاً إلى الأنظمة الحيوية. نظرًا لأن هوية الموظف لا تزال تتمتع بوصول غير ضروري إلى أدوات إدارة علاقات العملاء، يمكن للحساب المخترق أن يكشف عن معلومات حساسة خارج نطاقه المقصود.

مخاطر توسع الهويات على الأمن

مع تزايد الهويات عبر البيئات، تفقد المؤسسات الرؤية وتعاني من ضعف الحوكمة. فيما يلي أبرز المخاطر الأمنية المرتبطة بتوسع الهويات:

كيفية منع توسع الهوية

يتطلب منع تشتّت الهويات أن تركّز المؤسسات على الرؤية وإدارة دورة حياة الهويات، وإنفاذ مبدأ أقلّ الامتيازات في الوصول عبر كلٍّ من الهويات البشرية وهويات الآلات.

أتمتة التزويد وإلغاء التزويد

يُعدّ مركزية إدارة الهوية من خلال حل إدارة الهوية والوصول (IAM) أمرًا بالغ الأهمية للتحكم في نمو الهوية. ينبغي للمؤسسات أن توفر الوصول تلقائيًا بناءً على الأدوار والوظائف باستخدام عناصر التحكم في الوصول المستندة إلى الأدوار (RBAC) بدلاً من منح الوصول الواسع يدويًا. إلغاء التزويد التلقائي لا يقل أهمية عن التزويد، حيث يجب إلغاء الوصول فورًا عند مغادرة الموظفين للمؤسسة. من خلال إلغاء إدارة الحسابات اليدوية، تقلل المؤسسات من عدد الهويات غير المستخدمة أو ذات الامتيازات الزائدة.

تطبيق حوكمة الهوية وإدارتها (IGA)

تضمن حوكمة الهوية وإدارتها (IGA) أن يظل الوصول متوافقًا مع احتياجات المؤسسة بمرور الوقت. تساعد مراجعة صلاحيات الوصول بانتظام على التأكد من أن المستخدمين يحتفظون فقط بالصلاحيات اللازمة لمهامهم الحالية. إدارة الهوية وحوكمتها تساعد المؤسسات على تحديد الحسابات اليتيمة أو غير النشطة قبل أن تصبح ثغرات أمنية. دون حوكمة مستمرة، تنمو الهويات بما يتجاوز قدرة الرقابة وتساهم بسرعة في توسع الهوية.

فرض الوصول بامتيازات أقل

يجب على المنظمات إلغاء الوصول الدائم إلى الأنظمة الحرجة كلما أمكن ذلك من خلال فرض الوصول بأقل قدر من الامتيازات وتنفيذ الوصول في الوقت المناسب (JIT). من خلال ضمان حصول المستخدمين والأنظمة على الحد الأدنى من الوصول الضروري فقط، يمكن للمؤسسات تقليل مخاطر تصعيد الامتيازات وتقليل تأثير أي حساب تم اختراقه.

تأمين الحسابات المميزة

تلعب إدارة الوصول المميز (PAM) دورًا مهمًا في منع توسع الهوية من التفاقم إلى اختراق كبير للبيانات. يجب تأمين الحسابات المميزة داخل قبو مشفر، مع فرض المصادقة متعددة العوامل (MFA) لجميع الوصول الإداري. تحتاج المؤسسات إلى مراقبة وتسجيل الجلسات ذات الامتيازات للحفاظ على المساءلة والرؤية الكاملة. يجب عليهم أيضًا فرض التدوير التلقائي لبيانات الاعتماد لتقليل التعرض ومنع مشاركة بيانات الاعتماد العشوائية وغير الآمنة. من خلال تأمين الهويات ذات الصلاحيات المميزة، تمنع المؤسسات الوصول المفرط الذي يسهم في مخاطر توسع الهوية الأمنية.

إدارة الهويات غير البشرية (NHIs) والأسرار

في بيئات السحابة، تميل الهويات غير البشرية (NHIs) إلى تجاوز عدد المستخدمين البشريين، لذا فإن منع توسع الهويات يتطلب التعامل مع الحسابات البشرية والآلية بنفس مستوى الأمان. ينبغي على المؤسسات جرد حسابات الخدمات، وتأمين الأسرار بدلاً من تضمينها في الكود، وتدوير الأسرار تلقائيًا. من الضروري تطبيق وصول أقل امتيازات على الهويات البشرية وغير البشرية للقضاء على الوصول الدائم وضمان عدم توسيع مصادقة الآلة بما يتجاوز الضوابط المناسبة. هذا يشمل إدارة بيانات اعتماد الهويات غير البشرية، مثل مفاتيح واجهات برمجة التطبيقات، والرموز، والشهادات، كأسرار مرتبطة بهوية، مع التدوير، والنطاق، والمراقبة.

close
مبيعات الأعمال
الدعم
close
شراء الآن