دليل المبتدئين لإدارة الوصول المميز

تقدر شركة Cyber ​​Security Ventures أن الضرر الناجم عن الجرائم الإلكترونية سيصل إلى 6 تريليونات دولار سنويًا بحلول عام 2021. ويطلقون على هذا اسم "عالم القرصنة". هذا المبلغ هو ضعف الأضرار التي حدثت في عام 2015 والتي بلغت 3 تريليون دولار. هذا هو أكبر تهديد عالمي للشركات وواحد من أكبر مشاكل البشرية.

أصبحت الحوافز للهجمات السيبرانية الإجرامية ضخمة جدًا لدرجة أنها ستتجاوز مقدار الأموال التي يتم جنيها من الاتجار غير المشروع بالمخدرات عالميًا.

حسابات المستخدمين المتميزة

كثيرًا ما يتم استهداف حسابات المستخدمين المتميزين للهجوم لأن لديهم أذونات مصرح بها أقوى ، ويمكنهم الوصول إلى المعلومات السرية ، وإنشاء حسابات مستخدمين جديدة أو تغيير إعدادات المستخدم.

قد تتضمن أنواع الحسابات التي لها حق وصول مميز حسابات إدارية وحسابات مسؤول المجال وحسابات خدمات المصادقة وحسابات أمان تكنولوجيا المعلومات للطوارئ وحسابات مسؤول Microsoft Active Directory وحسابات الخدمات السحابية وحسابات واجهة برمجة تطبيقات المسار الحرج (API).

إذا تم اختراق حساب مستخدم ذي امتياز ، فقد يكون الضرر المحتمل شديدًا. فمثلا. قدرت الأضرار الناجمة عن خرق Equifax لحسابات التاريخ الائتماني لجميع الأمريكيين البالغين تقريبًا بـ 4 مليارات دولار. تستخدم إدارة الوصول المميزة لتقليل هذه المخاطر.

ما هي إدارة الوصول المميز؟

تُستخدم إدارة الوصول مع تعريف العميل للتحكم في وصول المستخدم إلى خدمات الشبكة. تُستخدم إدارة الوصول المميزة للتحكم في مستويات الأذونات التي تم تعيينها كنهج أمان للمجموعات وأنواع الحسابات والتطبيقات والأفراد. يتضمن ذلك إدارة كلمات المرور ومراقبة الجلسة والوصول بامتياز البائع والوصول إلى بيانات التطبيق.

كيف تعمل إدارة الوصول المميز؟

يقوم برنامج إدارة الوصول المتميز (PAM) بتخزين بيانات اعتماد الحسابات المميزة في مستودع منفصل وآمن للغاية حيث يتم تشفير الملفات. تساعد وحدة التخزين المشفرة المنفصلة في التأكد من عدم سرقة بيانات الاعتماد أو استخدامها من قبل شخص غير مصرح له للوصول إلى الشبكة على مستوى مسؤول النظام.

لا تسمح أنظمة PAM الأكثر تعقيدًا للمستخدمين باختيار كلمات المرور. بدلاً من ذلك ، يستخدم مدير كلمات المرور الآمنة مصادقة متعددة العوامل للتحقق من طلب مستخدم مصرح شرعي ثم يصدر كلمة مرور تستخدم لمرة واحدة في كل مرة يسجل فيها مستخدم مسؤول الدخول. تنتهي صلاحية كلمات المرور هذه تلقائيًا إذا انتهت مهلة المستخدم ، تكون الجلسة هي انقطع أو بعد فترة معينة.

إدارة الوصول المميزة والدليل النشط

تعمل إدارة الوصول المميز من Microsoft مع خدمات مجال Active Directory من Microsoft لتأمين حسابات مسؤولي الشبكة والحسابات الأخرى بأذونات وصول خاصة. يساعد هذا في تقليل مخاطر فقدان بيانات اعتماد المستخدمين المصرح لهم الذين يمكنهم إدارة مجال (مجالات) الشركة.

في نظام Microsoft Active Directory ، يعد PAM مثيلًا محددًا لإدارة الهوية المميزة (PIM) المرخصة من قِبل مدير الهوية في Microsoft. يسمح PAM من Microsoft للمستخدم المرخص له بإعادة السيطرة على نظام Active Directory المخترق. يتم ذلك عن طريق الاحتفاظ بمعلومات حساب المسؤولين في بيئة منفصلة لا تتأثر بالهجمات السيبرانية الضارة.

PAM لـ Active Directory يحسن الأمان

يجعل نظام PAM الخاص بـ Microsoft لـ Active Directory من الصعب على المتسللين الحصول على وصول غير مصرح به إلى شبكة وإساءة استخدام الحسابات ذات الامتيازات. بموجب مخطط PAM من Microsoft ، تتمتع المجموعات ذات الامتيازات بالوصول والتحكم في خوادم الكمبيوتر وتطبيقات البرامج التي تعمل عبر مجالات متعددة ومترابطة.

مراقبة نشاط الشبكة

تتم مراقبة أنشطة المجموعة ذات الامتيازات باستمرار من خلال زيادة الرؤية وضوابط الوصول المضبوطة بدقة. يمكن لمسؤولي الشبكة دائمًا رؤية ما يفعله المستخدمون المتميزون. يحدث اكتشاف اختراق الشبكة في الوقت الفعلي. يمنح هذا مسؤولي الشبكة مزيدًا من الأفكار حول كيفية استخدام الوصول إلى الحساب ذي الامتيازات في بيئة تشغيل الشبكة.

منصات إدارة الوصول المميزة الأخرى

هناك العديد من منصات إدارة الوصول المميزة التي يجب مراعاتها. أعلنت Saviynt مؤخرًا عن نظام أساسي جديد لإدارة الوصول المميز للخدمات السحابية والتطبيقات المختلطة.

يوفر برنامج إدارة الوصول إلى مستخدمي السحابة ميزات أمان مهمة ضرورية لإدارة الخدمات السحابية. تعمل منصات PAM الأكثر ابتكارًا مع الخدمات المستندة إلى السحابة والشبكات المحلية والتوليفات المختلطة لكليهما.

أعلى منصات PAM

أنظمة إدارة الوصول الأكثر امتيازًا التي اختارها Solution Review هي:

• BeyondTrust - تعمل هذه المنصة بشكل جيد مع الشبكات التي تحتوي على خوادم بأنظمة تشغيل مختلفة. وهو يدعم المصادقة عن طريق التحقق من الهوية الشخصية (PIV) وله ميزات آلية تسمح له بمشاركة الملفات على الشبكة باستخدام بروتوكول شبكة كتلة رسائل الخادم (SMB).

• CA Technologies - تعمل منصة PAM هذه مع الأنظمة الهجينة التي تستخدم الخدمات السحابية والشبكات المحلية. توفر الشركة دعم البنية التحتية العالمية. يتكامل النظام جيدًا مع Security Analytics و IGA وحلول إدارة الأحداث ومعلومات الأمان الأخرى (SIEM).

• Centrify - تكمن قوة منصة PAM هذه في حلها المبتكر للتخزين الآمن لكلمات المرور وقدرات إعادة التوجيه الخاصة بها.

• CyberArk - يُعرف هذا النظام الأساسي بأنه رائد في التخفيف من مخاطر الحساب المتميز مع إمكانات ممتازة لتخزين كلمات المرور.

• عكران - يستخدم هذا النظام الأساسي وحدة تحكم قائمة على الويب لعمليات النشر التي تحتاج إلى الحفاظ على التوافر العالي. لديه مراقبة في الوقت الحقيقي لنشاط الشبكة ويمكنه تسجيل جلسات تسجيل دخول المستخدمين. لتعزيز الأمن ، يمكن للمشرفين التحكم في الوصول حتى بعد منحه. لديها تكامل كامل مع أنظمة التذاكر وحلول SIEM.

• ManageEngine - يعمل هذا النظام الأساسي بشكل جيد مع الشبكات السحابية المختلطة / المحلية. إنه سهل التثبيت والإعداد. يتم استخدامه من قبل العديد من المؤسسات حيث تنتقل من الشبكات المحلية إلى الخدمات المستندة إلى مجموعة النظراء.

• هوية واحدة - تقدم هذه الشركة حلول PAM التي يمكن استخدامها داخليًا من قبل مسؤولي الشبكة وحل الوصول المميز المستند إلى السحابة والذي يتم تقديمه من خلال موفر يسمى Balabit. اشترت One Identity شركة Balabit في يناير 2018 لتوسيع حلول PAM الخاصة بها. تحظى One Identity بشعبية في العديد من البلدان لأنها متوفرة بـ 13 لغة. تركز حلولها على إدارة كلمات المرور للتحكم في الوصول ذي الامتيازات.

• SecureAuth - يحتوي هذا النظام الأساسي على مجموعة واسعة من إمكانات إدارة الوصول التي تتضمن برنامج مصادقة متعدد العوامل مدمج مع PAM. يلغي برنامج المصادقة متعدد العوامل الحاجة إلى مصادقة كلمة المرور المستخدمة لتحديد الهوية المميزة.

• حلول Simeio - يوفر هذا النظام إدارة الهوية المميزة (PIM) التي يمكن استخدامها لأتمتة إنشاء التقارير لقضايا الامتثال. يتكامل مع المصادقة متعددة العوامل والبنية التحتية الأخرى لحوكمة الوصول. يتم تقديم PIM كخدمة تشمل مراقبة على مدار الساعة طوال أيام الأسبوع مع عدم وجود استثمار رأسمالي في معدات تكنولوجيا المعلومات.

• Thycotic - يوفر هذا النظام أداة لإدارة كلمات المرور تتميز بميزات قوية لإدارة الهوية وأوقات نشر سريعة لإدارة الوصول المتميزة.

• Xton Technologies - هذا نظام PAM ميسور التكلفة على مستوى المؤسسة مع سهولة التنفيذ والتكوين. النظام منخفض الصيانة ويعمل بشكل جيد للمؤسسات من جميع الأحجام.

إدارة مخاطر أمان الوصول المميز

ينصب الكثير من التركيز على الأمن السيبراني على منع الهجمات الإلكترونية العدائية التي تأتي من اختراق الشبكة من الخارج. ومع ذلك ، فإن إدارة الوصول المتميز تتضمن أيضًا إدارة المخاطر الأمنية من الداخل.

غالبًا ما يكون تصرف أو تقاعس موظف ساخط أو مهمل مصدر خرق كبير للأمن السيبراني. يمكن استخدام "الهندسة" البشرية كأداة لخداع شخص للكشف عن معلومات تسجيل دخول آمنة. قد تكون هذه وظيفة داخلية أيضًا.

يمكن لأي شخص لديه حق الوصول إلى حسابات الوصول المميزة أن يتسبب في الكثير من الضرر للأنظمة المتصلة بالشبكة. يمكنهم تغيير ضوابط الأمان ، وضبط أذونات المستخدمين ، وإساءة استخدام الموارد التنظيمية ، وعمل نسخ من كميات كبيرة من البيانات السرية.

يمكن للممثل المارق الذي يصل إلى شبكة باستخدام حساب مستخدم متميز يتمتع بمستوى عالٍ من التفويض أن يفعل أي شيء تقريبًا ثم يمحو أي دليل على ما فعلوه.

لإدارة هذه المخاطر ، يجب على كل مؤسسة اتباع أفضل الممارسات التالية:

• فهم النطاق التفصيلي للوصول المتميز.
• امنح فقط حق الوصول المطلوب على وجه التحديد لكل مستخدم.
• مراقبة نشاط وصول امتياز الشبكة في الوقت الحقيقي.
• استخدم الأتمتة لإدارة امتيازات التحكم في الوصول.
• تحكم بقوة وبشكل استباقي في جميع عمليات الوصول إلى الأصول الهامة.
• اعزل كلمات المرور وغيرها من البيانات السرية المهمة في خزائن آمنة لا يمكن أن تتأثر بالبرامج الضارة.
• استخدم نظامًا يرسل تنبيهات النظام تلقائيًا إلى مشرفي الشبكة عند حدوث أي نشاط وصول مشبوه.
• امنح المشرفين القدرة على الإيقاف الفوري لأي وصول إلى الحساب.
• تسجيل جلسات تسجيل الدخول لعمليات تدقيق أمن تكنولوجيا المعلومات.

تعد إدارة الوصول المتميز جزءًا حيويًا من الأنظمة الدفاعية لمنع الوصول غير المصرح به وخروقات البيانات. يواصل مجرمو الإنترنت البحث عن طرق جديدة لاستغلال الأنظمة الضعيفة. يحتاج مسؤولو الشبكات إلى تركيز إستراتيجية أمن تكنولوجيا المعلومات الخاصة بهم لتشمل أفضل الحلول لـ PAM التي يمكنهم نشرها وأن يكونوا استباقيين في الدفاع عن الأصول الهامة.