تاريخ النشر: 19 يوليو 2024
المساهم: ماثيو كوسينسكي
إدارة الوصول المميز (PAM) هو نظام الأمن الإلكتروني الذي يحكم الحسابات المميزة ويؤمنها (مثل حسابات المسؤولين) والأنشطة المميزة (مثل العمل مع البيانات الحساسة).
في نظام الكمبيوتر، يشير مصطلح "الامتياز" إلى أذونات الوصول التي تفوق أذونات المستخدم العادي. وقد يكون لحساب المستخدم العادي صلاحية عرض الإدخالات في قاعدة البيانات، في حين أن المسؤول المتميز قد يكون قادرًا على تكوين الإدخالات وإضافتها وتغييرها وحذفها.
كما يمكن للمستخدمين غير البشر، مثل الأجهزة والتطبيقات وأحمال التشغيل، الحصول على امتيازات جرى الارتقاء بها. على سبيل المثال، قد تتمتع عملية النسخ الاحتياطي التلقائي بإمكانية الوصول إلى الملفات السرية وإعدادات النظام.
الحسابات المميزة هي أهداف عالية القيمة بالنسبة إلى المخترقين الذين يمكنهم إساءة استخدام حقوق الوصول الخاصة بهم لسرقة البيانات وإتلاف الأنظمة الحساسة مع التهرب من الكشف. في الواقع، تعد سرقة الحسابات الصالحة أكثر وسائل الهجمات الإلكترونية شيوعًا اليوم، وفقًا لمؤشر IBM® X-Force® Threat Intelligence Index.
إن إدارة الوصول المميز وممارساتها تساعد المنظمات على حماية الحسابات المميزة من الهجمات القائمة على الهوية. على وجه التحديد، تعمل إستراتيجيات إدارة الوصول المميز على تعزيز الوضع الأمني للمنظمة من خلال تقليص عدد المستخدمين والحسابات المميزة وحماية بيانات الاعتماد المميزة وتطبيق مبدأ الامتيازات الأقل.
إدارة الهوية والوصول (IAM) هو مجال واسع يشمل كل جهود أمن الهوية في المنظمة لجميع المستخدمين وكل الموارد. أما إدارة الوصول المميز (PAM) فهي مجموعة فرعية من إدارة الهوية والوصول تركز على تأمين الحسابات المميزة والمستخدمين.
هناك تداخل كبير بين إدارة الهوية والوصول وإدارة الوصول المميز، فكلاهما يتضمن توفير الهويات الرقمية وتنفيذ سياسات التحكم في الوصول ونشر أنظمة المصادقة والتخويل.
ومع ذلك، تتجاوز إدارة الوصول المميز ما هو أبعد من تدابير إدارة الهوية والوصول القياسية لأن الحسابات المميزة تتطلب حماية أقوى من الحسابات القياسية. تستخدم برامج إدارة الوصول المميز تدابير أمنية متقدمة مثل خزائن بيانات الاعتماد وتسجيل الجلسات للتحكم الصارم في كيفية حصول المستخدمين على امتيازات جرى الارتقاء بها وما يفعلونه بتلك الامتيازات.
سيكون من غير العملي وغير الفعال تطبيق مثل هذه التدابير القوية على الحسابات غير المميزة، فهذه التدابير ستعطل وصول المستخدم العادي وتجعل من الصعب على الأشخاص أداء وظائفهم اليومية. هذا الاختلاف في متطلبات الأمان هو السبب في تطور إدارة الوصول المميز وإدارة الهوية والوصول إلى تخصصين منفصلين، ولكنهما مترابطان.
تعرف على سبب الاعتراف بأداة IBM Security Verify كأداة رائدة في أحدث تقارير ™Magic Quadrant الصادر عن ®Gartner لإدارة الوصول.
تشكل الحسابات المميزة مخاطر أمنية كبيرة، فأذوناتها عالية المستوى عرضة لإساءة الاستخدام، وتكافح العديد من المنظمات لتتبع النشاط المميز عبر الأنظمة المحلية وأنظمة السحابة. تساعد إدارة الوصول المميز المنظمات على اكتساب مزيد من التحكم في الحسابات المميزة لإيقاف المخترقين في أثناء ربط المستخدمين بالأذونات التي يحتاجونها.
تتزايد الهجمات القائمة على الهوية التي يستولي فيها المخترقون على حسابات المستخدمين ويسيئون استخدام امتيازاتهم الصالحة. تشير تقارير X-Force من IBM إلى أن هذه الهجمات زادت بنسبة 71% العام الماضي. وهي تمثل الآن 30% من الاختراقات الأمنية. وغالبًا ما تستهدف هذه الهجمات الحسابات المميزة، إما مباشرة أو من خلال الحركة الجانبية.
يمكن للجهات سيئة النية- التهديدات الداخلية أو المهاجمين الخارجيين- التي تضع أيديها على الحسابات المميزة أن تُلحق أضرارًا جسيمة. ويمكنها استخدام الأذونات التي جرى الارتقاء بها لنشر البرامج الضارة والوصول إلى الموارد الحساسة من دون قيود، كل ذلك مع خداع الحلول الأمنية للاعتقاد بأنهم مستخدمون شرعيون بحسابات صالحة.
وفقًا لتقرير تكلفة اختراق البيانات الصادر عن شركة IBM، فإن الاختراقات التي يستخدم فيها المخترقون بيانات اعتماد مسروقة هي من بين أكثر الاختراقات تكلفة حيث تبلغ 4.62 مليون دولار أمريكي في المتوسط. ويمكن أن تتسبب التهديدات الداخلية التي يسيء استخدام امتيازاتها الصالحة في أضرار أكبر، حيث تبلغ تكلفة تلك الاختراقات 4.90 مليون دولار أمريكي في المتوسط.
وعلاوة على ذلك، أدى التحول الرقمي ونمو الذكاء الاصطناعي إلى زيادة عدد المستخدمين المميزين في الشبكة العادية. يجلب كل خدمة سحابية جديدة وتطبيق ذكاء اصطناعي ومحطة عمل وجهاز إنترنت الأشياء (IoT) حسابات مميزة جديدة. وتشمل هذه الحسابات كلاً من حسابات المسؤول التي يحتاجها المستخدمون البشريون لإدارة هذه الأصول والحسابات التي تستخدمها هذه الأصول للتفاعل مع البنية التحتية للشبكة.
وما يزيد الأمور تعقيدًا أن الأشخاص غالبًا ما يتشاركون الحسابات المميزة. على سبيل المثال، بدلاً من تعيين حساب خاص لكل مسؤول نظام، يعد العديد من فرق تقنية المعلومات حساب مسؤول واحدًا لكل نظام ويشاركون بيانات الاعتماد مع المستخدمين الذين يحتاجون إليها.
ونتيجة لذلك، يصعب على المنظمات تتبع الحسابات المميزة بينما تركز الجهات الخبيثة اهتمامها على تلك الحسابات بالذات.
تساعد تقنيات إدارة الوصول المميز وإستراتيجياتها المنظمات على اكتساب الرؤية أوسع والتحكم في الحسابات والأنشطة المميزة من دون تعطيل عمليات سير عمل المستخدم الشرعي. ويدرج مركز أمان الإنترنت أنشطة إدارة الوصول المميز الأساسية ضمن ضوابطه الأمنية "الحساسة".1
يمكن لأدوات مثل خزائن بيانات الاعتماد والارتقاء بالامتيازات في الوقت المناسب تسهيل الوصول الآمن للمستخدمين الذين يحتاجون إليها مع إبعاد المخترقين والعاملين الداخليين غير المصرح لهم. تتيح أدوات مراقبة الجلسات المميزة للمنظمات إمكانية تتبع كل ما يفعله كل مستخدم بامتيازاته عبر الشبكة، ما يمكّن فرق تقنية المعلومات وفرق الأمن من اكتشاف الأنشطة المشبوهة.
تجمع إدارة الوصول المميز بين العمليات والأدوات التقنية للتحكم في كيفية تعيين الامتيازات والوصول إليها واستخدامها. وتركز العديد من إستراتيجيات إدارة الوصول المميز على ثلاث ركائز:
إدارة الحسابات المميزة: إنشاء الحسابات، ذات الأذونات التي جرى الارتقاء بها، وتوفيرها والتخلص الآمن منها.
إدارة الامتيازات: إدارة كيفية حصول المستخدمين على الامتيازات وتوقيته، بالإضافة إلى ما يمكن للمستخدمين فعله باستخدام امتيازاتهم.
إدارة الجلسات المميزة: مراقبة النشاط المميز لاكتشاف السلوك المشبوه وضمان الامتثال.
تشرف إدارة الحسابات المميزة على دورة الحياة الكاملة للحسابات ذات الأذونات التي جرى الارتقاء بها، بدءًا من إنشائها حتى إلغائها.
الحساب المميز هو أي حساب يتمتع بحقوق وصول أكثر من المتوسط في النظام. ويمكن لمستخدمي الحسابات المميزة فعل أشياء مثل تغيير إعدادات النظام وتثبيت برامج جديدة وإضافة مستخدمين آخرين أو إزالتهم.
في بيئات تقنية المعلومات الحديثة، تأخذ الحسابات المميزة أشكالاً عديدة. يمكن أن يكون لكل من المستخدمين البشر والمستخدمين غير البشر، مثل أجهزة إنترنت الأشياء ومهام سير العمل الآلية، حسابات مميزة. ومن الأمثلة على ذلك:
تمنح الحسابات الإدارية المحلية المستخدمين التحكم في كمبيوتر محمول أو خادم أو نقطة نهاية واحدة أخرى.
تمنح الحسابات الإدارية للمجال المستخدمين التحكم في مجال كامل، مثل جميع المستخدمين ومحطات العمل في مجال Microsoft Active Directory.
تمنح حسابات مستخدمي الأعمال المميزين للمستخدمين إمكانية وصول عالية المستوى لأغراض غير متعلقة بتقنية المعلومات، مثل الحساب الذي يستخدمه موظف الشؤون المالية للوصول إلى أموال الشركة.
تمنح حسابات المستخدم المتميز امتيازات غير مقيدة في نظام معين. في أنظمة التشغيل Unix و®Linux، تسمى حسابات المستخدمين المتميزين حسابات "الجذر". في نظام التشغيل Microsoft Windows، تسمى حسابات "المسؤول".
تسمح حسابات الخدمة للتطبيقات ومهام سير العمل التلقائية بالتفاعل مع أنظمة التشغيل.
تمكّن حسابات التطبيقات التطبيقات من التفاعل مع بعضها وإجراء مكالمات إلى واجهات برمجة التطبيقات (APIs) وأداء وظائف مهمة أخرى.
تتعامل إدارة الحسابات المميزة مع دورة الحياة الكاملة لهذه الحسابات المميزة، بما في ذلك:
الاكتشاف: جرد كل الحسابات المميزة الموجودة في الشبكة.
التزويد: إنشاء حسابات مميزة جديدة وتعيين الأذونات بناءً على مبدأ الامتيازات الأقل.
الوصول: إدارة من يمكنه الوصول إلى الحسابات المميزة وكيفية الوصول إليها.
التخلص: الحذف الآمن للحسابات المميزة التي لم تعد ضرورية.
يتمثل أحد الأهداف الرئيسية لإدارة الحسابات المميزة في تقليل عدد الحسابات المميزة في النظام وتقييد الوصول إلى تلك الحسابات. وتُعد إدارة بيانات الاعتماد أداة رئيسية لتحقيق هذا الهدف.
فبدلاً من تعيين حسابات مميزة لمستخدمين فرديين، تجعل العديد من أنظمة إدارة الحسابات المميزة هذه الحسابات مركزية وتخزن بيانات اعتمادها في خزائن كلمات المرور. ويضم المخزن بشكل آمن كلمات المرور والرموز المميزة ومفاتيح Secure Shell (SSH) وبيانات الاعتماد الأخرى في شكل مشفر.
عندما يحتاج مستخدم- بشري أو غير بشري- إلى إجراء نشاط مميز، يجب عليه التحقق من بيانات اعتماد الحساب المناسبة من المخزن.
على سبيل المثال، لنفترض أنه يجب على أحد أعضاء فريق تقنية المعلومات إجراء تغييرات على كمبيوتر محمول تابع للشركة. لفعل ذلك، يحتاج إلى استخدام حساب المسؤول المحلي لهذا الحاسوب المحمول. وتكون بيانات الاعتماد الخاصة بالحساب موجودة في خزنة كلمات المرور، لذلك يبدأ عضو فريق تقنية المعلومات بطلب كلمة مرور الحساب.
يجب أن يجتاز عضو الفريق أولاً اختبار مصادقة صعب، مثل المصادقة متعددة العوامل (MFA)، لإثبات هويته. بعد ذلك، تستخدم الخزنة عناصر التحكم في الوصول القائمة على الأدوار (RBAC) أو سياسات مشابهة لتحديد ما إذا كان مسموحًا لهذا المستخدم بالوصول إلى بيانات اعتماد هذا الحساب.
يُسمح لعضو فريق تقنية المعلومات هذا باستخدام حساب المسؤول المحلي ذلك، ومن ثَمَّ فإن خزنة بيانات الاعتماد تمنح حق الوصول. ويمكن لعضو فريق تقنية المعلومات الآن استخدام حساب المسؤول المحلي لإجراء التغييرات اللازمة على الكمبيوتر المحمول التابع للشركة.
لمزيد من الأمان، لا تشارك العديد من خزائن بيانات الاعتماد بيانات الاعتماد مباشرة مع المستخدمين. وبدلاً من ذلك، فإنها تستخدم تسجيل الدخول الموحد (SSO) ووساطة الجلسات لبدء اتصالات آمنة من دون أن يرى المستخدم كلمة المرور.
تنتهي صلاحية وصول حساب المستخدم عادةً بعد فترة زمنية محددة أو بعد اكتمال مهمته. ويمكن للعديد من خزائن بيانات الاعتماد تغيير بيانات الاعتماد تلقائيًا وفقًا لجدول زمني أو بعد كل استخدام، ما يجعل من الصعب على الجهات الخبيثة سرقة بيانات الاعتماد هذه وإساءة استخدامها.
تستبدل إدارة الوصول المميز نماذج الامتيازات الدائمة، التي يتمتع فيها المستخدم دائمًا بالمستوى الثابت نفسه من الأذونات، بنماذج الوصول في الوقت المناسب حيث يحصل المستخدمون على امتيازات جرى الارتقاء بها عندما يحتاجون إلى أداء مهام محددة. إدارة الامتيازات هي طريقة تنفيذ المنظمات لنماذج الوصول الديناميكية الأقل امتيازًا.
تُعد خزائن بيانات الاعتماد إحدى الطرق التي تلغي بها المنظمات الامتيازات الدائمة، حيث يمكن للمستخدمين الوصول إلى الحسابات ذات الامتيازات فقط لفترة محدودة ولأغراض محدودة. ولكن الخزائن ليست الطريقة الوحيدة للتحكم في امتيازات المستخدم.
تستخدم بعض أنظمة إدارة الوصول المميز نموذجًا يسمى الارتقاء بالامتيازات في الوقت المناسب (JIT). فبدلاً من تسجيل الدخول إلى حسابات مميزة منفصلة، ترتقي أذونات المستخدمين بشكل مؤقت عندما يحتاجون إلى تنفيذ أنشطة مميزة.
في نموذج الارتقاء بالامتيازات في الوقت المناسب، يكون لكل مستخدم حساب قياسي مع أذونات قياسية. وعندما يحتاج المستخدم إلى فعل شيء ما يتطلب أذونات جرى الارتقاء بها- مثل تغيير أحد أعضاء فريق تقنية المعلومات لإعدادات مهمة على كمبيوتر محمول تابع للشركة- فإنه يرسل طلبًا إلى أداة إدارة الوصول المميز. قد يتضمن الطلب نوعًا من التبرير يوضح ما يحتاج المستخدم إلى فعله ولماذا.
تقيم أداة إدارة الوصول المميز الطلب مقابل مجموعة من القواعد المحددة مسبقًا. وإذا كان هذا المستخدم مصرحًا له بأداء هذه المهمة على هذا النظام، تقوم أداة إدارة الوصول المميز بالارتقاء بامتيازاته. هذه الامتيازات عالية المستوى صالحة فقط لفترة زمنية قصيرة، وتسمح للمستخدم بأداء المهام المحددة التي يحتاج إلى أدائها فقط.
تستخدم معظم المنظمات كلاً من الارتقاء بالامتيازات وتخزين بيانات الاعتماد لإدارة الامتيازات. وتتطلب بعض الأنظمة حسابات مميزة مخصصة- مثل الحسابات الإدارية الافتراضية المضمنة في بعض الأجهزة- وبعضها الآخر لا يتطلب ذلك.
إدارة الجلسات المميزة (PSM) هي جانب من جوانب إدارة الوصول المميز التي تشرف على الأنشطة المميزة. عندما يدخل المستخدم إلى حساب مميز أو عند الارتقاء بامتيازات أحد التطبيقات، تتتبع أدوات إدارة الوصول المميز ما يفعله المستخدم بهذه الامتيازات.
يمكن لأدوات إدارة الوصول المميز تسجيل نشاط الجلسة المميزة من خلال تسجيل الأحداث وضغطات المفاتيح. كما تسجل بعض أدوات إدارة الوصول المميز أيضًا تسجيلات فيديو لجلسات العمل المميزة. وتساعد سجلات إدارة الوصول المميز المنظمات على اكتشاف الأنشطة المشبوهة وإسناد النشاط المميز للمستخدمين الأفراد وإنشاء مسارات تدقيق لأغراض الامتثال.
تُعد إدارة الهويات المميزة (PIM) وإدارة المستخدمين المميزين (PUM) حقلين فرعيين متداخلين لإدارة الوصول المميز. تركز عمليات إدارة الهويات المميزة على تعيين امتيازات الهويات الفردية في النظام والحفاظ عليها. بينما تركز عمليات إدارة المستخدمين المميزين على صيانة حسابات المستخدمين المميزين.
ومع ذلك، لا يُتفق عالميًا على الفروق بين إدارة الهويات المميزة وإدارة المستخدمين المميزين والجوانب الأخرى لإدارة الوصول المميز. حتى إن بعض الممارسين يستخدمون المصطلحات بالتبادل. في النهاية، الشيء المهم هو أن كل ذلك يندرج تحت مظلة إدارة الوصول المميز. قد تتصور المنظمات المختلفة مهام إدارة الوصول المميز بشكل مختلف، ولكن كل إستراتيجيات إدارة الوصول المميز تشترك في هدف منع إساءة استخدام الوصول المميز.
من غير الفعال، وغالبًا ما يكون من المستحيل، إجراء مهام إدارة الوصول المميز يدويًا، مثل الارتقاء بالامتيازات والتغيير المنتظم لكلمات المرور. تستخدم معظم المنظمات حلول إدارة الوصول المميز لتبسيط الكثير من العمليات وجعلها آلية.
يمكن تثبيت أدوات إدارة الوصول المميز محليًا كبرامج أو أجهزة. كما تُقدم بشكل متزايد كتطبيقات برمجيات كخدمة (SaaS) قائمة على السحابة.
تصنِّف شركة التحليل Gartner أدوات إدارة الوصول المميز إلى أربع فئات:
أدوات إدارة الحسابات والجلسات المميزة (PASM) التي تتعامل مع إدارة دورة حياة الحساب وإدارة كلمات المرور وتخزين بيانات الاعتماد ومراقبة الجلسات المميزة في الوقت الفعلي.
تتيح أدوات إدارة الارتقاء بالامتيازات والتفويض (PEDM) الارتقاء بالامتيازات في الوقت المناسب من خلال تقييم طلبات الوصول إلى الامتيازات والموافقة عليها ورفضها تلقائيًا.
تركز أدوات إدارة الأسرار على حماية بيانات الاعتماد وإدارة الامتيازات للمستخدمين غير البشر، مثل التطبيقات وأحمال التشغيل والخوادم.
صُممت أدوات إدارة استحقاقات البنية الأساسية السحابية (CIEM) لإدارة الهوية والوصول في البيئات السحابية، حيث يكون المستخدمون والأنشطة أكثر انتشارًا ويتطلبون ضوابط مختلفة عن نظرائهم محليًا.
في حين أن بعض أدوات إدارة الوصول المميز هي حلول نقاط تغطي فئة واحدة من الأنشطة، فإن العديد من المنظمات تتبنى منصات شاملة تجمع بين وظائف إدارة الحسابات والجلسات المميزة وإدارة الارتقاء بالامتيازات والتفويض وإدارة الأسرار وإدارة استحقاقات البنية الأساسية السحابية. وقد تدعم هذه الأدوات أيضًا عمليات التكامل مع أدوات الأمان الأخرى، مثل إرسال سجلات الجلسات المميزة إلى حل إدارة المعلومات الأمنية والأحداث (SIEM).
تحتوي بعض منصات إدارة الوصول المميز الشاملة على وظائف إضافية، مثل:
القدرة على الاكتشاف التلقائي للحسابات المميزة غير المعروفة سابقًا
القدرة على فرض المصادقة متعددة العوامل (MFA) على المستخدمين الذين يطلبون الوصول المميز
الوصول الآمن عن بُعد للأنشطة المميزة والمستخدمين المميزين
قدرات إدارة الوصول المميز للموردين (VPAM) للمقاولين والشركاء الخارجيين
يتوقع المحللون أن أدوات إدارة الوصول المميز، مثلها مثل أدوات التحكم الأمنية الأخرى، ستتضمن بشكل متزايد الذكاء الاصطناعي والتعلم الآلي (ML). في الواقع، تستخدم بعض أدوات إدارة الوصول المميز بالفعل الذكاء الاصطناعي والتعلم الآلي في أنظمة المصادقة القائمة على المخاطر.
تقيم المصادقة القائمة على المخاطر سلوك المستخدم باستمرار، وتحسب مستوى مخاطر هذا السلوك وتغير متطلبات المصادقة ديناميكيًا بناءً على هذه المخاطر. على سبيل المثال، قد يحتاج المستخدم الذي يطلب امتيازات لتهيئة جهاز كمبيوتر محمول واحد إلى اجتياز مصادقة ثنائية. وقد يحتاج المستخدم الذي يرغب في تغيير الإعدادات لكل محطات العمل في المجال إلى تقديم المزيد من الأدلة للتحقق من هويته.
تتوقع الأبحاث الصادرة عن 2OMDIA أن أدوات إدارة الوصول المميز قد تستخدم الذكاء الاصطناعي التوليدي لتحليل طلبات الوصول وأتمتة الارتقاء بالامتيازات وإنشاء سياسات الوصول وتنقيحها واكتشاف النشاط المشبوه في سجلات الجلسات المميزة.
في حين أن أدوات إدارة الوصول المميز وأساليبها تتحكم في نشاط الامتيازات عبر المنظمة، يمكن أن تساعد أيضًا في معالجة تحديات أمنية محددة تتعلق بالهوية والوصول.
- تقليص الثغرات القابلة للاستغلال من الخارج المرتبطة بالهوية
- إدارة انتشار الهويات
- الامتثال التنظيمي
- إدارة أسرار عمليات التطوير
تستخدم الجهات المهددة بشكل متزايد حسابات صالحة لاختراق الشبكات. وفي الوقت نفسه، تعاني العديد من المنظمات من تزايد الامتيازات بشكل غير مبرر. حيث يتمتع المستخدمون بامتيازات أعلى مما يحتاجون إليه، ولا تُحذف الحسابات ذات الامتيازات القديمة بشكل صحيح.
ونتيجة لذلك، أصبحت الهويات أكبر المخاطر التي تواجهها العديد من المنظمات. ويمكن أن تساعد أدوات إدارة الوصول المميز في معالجة هذه الثغرات الأمنية.
تجعل خزائن بيانات الاعتماد من الصعب سرقة الحسابات المميزة، وتفرض أدوات إدارة الارتقاء بالامتيازات والتفويض الوصول الأقل امتيازًا بشكل دقيق ما يحد من الحركة الجانبية. يمكن للمنظمات استخدام هذه الحلول وغيرها من حلول إدارة الوصول المميز لاستبدال الامتيازات الدائمة بنموذج الثقة الصفرية حيث يجب مصادقة المستخدمين وترخيصهم لكل اتصال ونشاط. ويمكن أن يساعد هذا النموذج على تقليص الثغرات القابلة للاستغلال من الخارج المرتبطة بالهوية والحد من فرص المخترقين.
أدى التحول الرقمي إلى زيادة كبيرة في الهويات المميزة في شبكات الشركات، ما يشكل تحديًا كبيرًا لأمن المعلومات.
يستخدم قسم الأعمال النموذجي 87 تطبيقًا مختلفًا من تطبيقات البرامج كخدمة3، ناهيك عن أجهزة إنترنت الأشياء المختلفة وخدمات البنية التحتية السحابية والمستخدمين عن بُعد الذين يستخدمون أجهزة نظام أحضر جهازك معك (BYOD) التي تملأ شبكات الشركات الآن. يحتاج العديد من هذه الأصول والمستخدمين إلى حسابات مميزة للتفاعل مع موارد تقنية المعلومات.
ومع دمج المزيد من المنظمات الذكاء الاصطناعي التوليدي في عملياتها، فإن تطبيقات الذكاء الاصطناعي الجديدة وعمليات التكامل هذه تجلب مجموعة أخرى من الهويات المميزة إلى الساحة.
تنتمي العديد من هذه الهويات المميزة إلى مستخدمين غير بشريين، مثل تطبيقات الذكاء الاصطناعي وأجهزة إنترنت الأشياء. ويفوق عدد المستخدمين غير البشريين عدد المستخدمين البشريين في العديد من الشبكات اليوم، وهم سيئو السمعة في الحفاظ على سرية بيانات اعتمادهم. على سبيل المثال، تضع بعض التطبيقات بيانات اعتمادها بنص عادي في سجلات النظام وتقارير الأخطاء.
يمكن أن تساعد إدارة الوصول المميز المنظمات على إدارة انتشار الهويات من خلال تخزين بيانات الاعتماد المميزة للمستخدمين البشريين وغير البشريين والتحكم المركزي في الوصول إليها. ويمكن أن يحد التغيير التلقائي لبيانات الاعتماد من أضرار تسرُّب أي بيانات اعتماد، وتساعد أدوات مراقبة الجلسات في تتبع ما يفعله كل هؤلاء المستخدمين المتباينين بامتيازاتهم.
تتطلب لوائح خصوصية البيانات والأمان، مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) ومعيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) واللائحة العامة لحماية البيانات (GDPR) أن تتحكم المنظمات في الوصول إلى المعلومات الصحية وأرقام بطاقات الائتمان والبيانات الحساسة الأخرى.
يمكن أن تساعد إدارة الوصول المميز المنظمات على تلبية متطلبات الامتثال بعدة طرق. ويمكن لأدوات إدارة الوصول المميز فرض امتيازات وصول دقيقة بحيث يمكن للمستخدمين الضروريين فقط الوصول إلى البيانات الحساسة، ولأسباب مصرح بها فقط.
تلغي خزائن بيانات الاعتماد والارتقاء بالامتيازات الحاجة إلى حسابات المسؤول المشتركة التي يمكن أن تؤدي إلى وصول المستخدمين غير المصرح لهم إلى البيانات الحساسة.
تساعد مراقبة الجلسات المميزة المنظمات على إسناد النشاط وإنتاج مسارات تدقيق لإثبات الامتثال في حال حدوث اختراق أو تحقيق.
يمكن أن تكون إدارة بيانات الاعتماد المميزة، التي غالبًا ما تسمى "الأسرار" في بيئات عمليات التطوير، صعبة بشكل خاص لفرق عمليات التطوير.
تستخدم منهجية عمليات التطوير بكثافة الخدمات السحابية والعمليات الآلية، ما يعني وجود العديد من المستخدمين البشريين وغير البشريين المميزين المنتشرين في العديد من أجزاء الشبكة المختلفة.
ليس من غير المألوف ترميز مفاتيح Secure Shell وكلمات المرور ومفاتيح واجهة برمجة التطبيقات وغيرها من الأسرار في التطبيقات أو تخزينها كنص عادي في أنظمة التحكم في الإصدار وفي أماكن أخرى. وهذا يجعل من السهل على المستخدمين الحصول على بيانات الاعتماد عندما يحتاجون إليها حتى لا تتعطل عمليات سير العمل- ولكنه أيضًا يسهل على الجهات الخبيثة سرقة بيانات الاعتماد هذه.
يمكن لأدوات إدارة الوصول المميز المساعدة من خلال تخزين أسرار عمليات التطوير في خزنة مركزية. ويمكن للمستخدمين الشرعيين وأحمال التشغيل الشرعية فقط الوصول إلى الأسرار، ولأسباب مشروعة فقط. كما يمكن للخزائن تغيير الأسرار تلقائيًا بحيث تصبح بيانات الاعتماد المسروقة عديمة الفائدة بسرعة.
يمكنك حماية هويات العملاء والقوى العاملة والهويات المميزة وإدارتها عبر السحابة الهجينة بدعم من الذكاء الاصطناعي.
يمكنك حماية المستخدمين والتطبيقات داخل المؤسسة وخارجها، من خلال نهج البرمجيات كخدمة (SaaS) في السحابة الأصلية الذي يتطلب مجهودًا بسيطًا ويستخدم السحابة.
تعرف على المزيد حول إدارة الهوية والوصول الشاملة والآمنة والمتوافقة للمؤسسة الحديثة.
استعد للاختراقات من خلال فهم أسبابها والعوامل التي تزيد أو تقلل من تكاليفها.
افهم الأساليب الشائعة للمهاجمين لحماية موظفيك وبياناتك وبنيتك التحتية بشكل أفضل.
اقرأ عن تنسيق الهوية وتنسيق أنظمة إدارة الهوية والوصول (IAM) المتباينة في عمليات سير العمل السلسة.
الحواشي
تؤدي كل الروابط إلى صفحات خارج ibm.com.
1 الضوابط الأمنية الأساسية الصادرة عن مركز أمن الإنترنت، مركز أمن الإنترنت، يونيو 2024
2 اتجاهات الذكاء الاصطناعي التوليدي في الهوية والمصادقة والوصول (IAA)، Omdia، 15 مارس 2024.
3 حالة اتجاهات البرمجيات كخدمة لعام 2023، Productiv، 21 يونيو 2023.