بهترین روشهای مدیریت هویت ممتاز

بهترین روشهای مدیریت هویت ممتاز

چشم انداز تهدیدات امروزی به نظارت مستمر بر خطرات نیاز دارد – این خطرات شامل جاسوسی صنعتی ، جرایم اینترنتی ، حملات سایبری ، تهدید مداوم پیشرفته (APT) ، حملات هدفمند مداوم و جنگ سایبری –  است. این موضوع را به این واقعیت اضافه کنید که افراد داخلی معتمد (مانند مدیران IT) هم به اطلاعات بسیار حساس و هم به منابع مهم دسترسی دارند. سوء استفاده تصادفی (یا عمدی) از اعتبارنامه مشترک منجر به نقض می شود، و اعتبارنامه به خطر افتاده توسط افراد داخلی، کارمندان ناراضی یا مجرمان اینترنتی مورد سوء استفاده قرار می گیرد.

حوزه امنیتی که با این مشکل روبرو است، مدیریت هویت ممتاز (PIM) است و مدتی است که وجود دارد. برخی از مدیران فناوری اطلاعات در مورد چگونگی جستجوی راه حل احتمالی وقت زیادی را برای تهیه یک برنامه عملیاتی صرف می کنند. این مقاله با هدف جمع آوری بهترین شیوه های PIM در یک فضای واحد برای سهولت دسترسی و مرجعی برای این امر گردآوری شده است. مخاطب این مقاله تصمیم گیرندگان فناوری اطلاعات و پرسنل امنیتی هستند و این مقاله قصد دارد برخی از بهترین روشهای صنعت را برای راه حلهای PIM به اشتراک بگذارد.

بگذارید به طور خلاصه راه حل های PIM را معرفی کنیم

مدیریت هویت ممتاز

در حال حاضر تقریباً به طور منظم، ما اخبار مربوط به نقض داده ها و سیستم های IT به خطر افتاده در شرکت ها یا سازمان های دولتی را می شنویم. به نظر می رسد هیچ شرکتی، بزرگ یا کوچک، دولتی یا خصوصی، از دسترس این حملات در امان نیست. مشخص شده است که حدود 83٪ این موارد به دلیل سوء نیت یا ناآگاهی افراد داخلی است. سیستم های PIM دقیقاً برای پر کردن این جایگاه در زیرساخت های امنیتی یک شرکت وجود دارند. راه حل های PIM برای موارد زیر استفاده می شوند:

  • امنیت، مدیریت و پیگیری حساب های ممتاز
  • جلسات ممتاز را منزوی، کنترل و نظارت کنید
  • گزارش تجارت، در کنار ارسال هشدار انحرافات صورت گرفته

در هر دستگاهی در مرکز داده – میزبانی شده ، داخلی ، در محیط ابر – در زیرساخت کامل IT.

اما علی رغم همه این موارد، ما هنوز شاهد استفاده گسترده راه حل PIM در صنعت نبوده ایم. کسانی که قبلاً این کار را انجام داده اند به عنوان مترقی شناخته می شوند. همچنین، بین راه حل های PIM و Identity Access Management (IAM) تمایز محدودی وجود دارد. راه حل های IAM معمولاً قابلیت های PIM را ارائه نمی دهند، زیرا هویت های ممتاز با دارایی های نرم افزاری و سخت افزاری مرتبط هستند ، نه با شناسه های شخصی کاربر که توسط IAM کنترل می شوند. راه حل های PIM اعتبار ممتاز را که توسط مدیران، سرویس های رایانه ای و برنامه ها برای دسترسی به اطلاعات حساس و منابع محاسباتی مورد استفاده قرار می گیرد، نظارت، ایمن و ممیزی می کند. هدف ما در این مقاله دسترسی به اطلاعات مورد نیاز برای استقرار PIM است. ما سعی خواهیم کرد با ارائه استدلال در مورد بهترین اقدامات PIM توضیحات لازم را ارائه نماییم.

هدف از اجرای راه حل PIM چیست؟

هدف از راه حل های PIM ایجاد چرخه ای مداوم است که می تواند در چهار مرحله نشان داده شود:

جدا کردن و ثبت تمام دارایی های مهم IT ، حساب های ممتاز و وابستگی متقابل آنها در هر کجا که در هر سیستم سخت افزاری یا نرم افزاری وجود داشته باشد.

اختصاص دسترسی تنها به پرسنل مناسب با استفاده از اصل حداقل دسترسی مورد نیاز، به همراه مستند سازی هدف دسترسی، به طوری که از اعتبارنامه می توان برای ورود به دارایی های IT در زمان های تعیین شده استفاده کرد

قوانینی را برای پیچیدگی، تنوع و تغییر زمان بندی شده رمز عبور، همگام سازی تغییرات در همه وابستگی ها برای جلوگیری از اختلال در سرویس، اعمال کنید.

حسابرسی و گزارش را به گونه ای انجام دهید که درخواست کننده، هدف و مدت زمان هر درخواست دسترسی ممتاز ثبت شود. هشدارها همچنین می توانند برای آگاهی از مدیریت حوادث غیرمعمول پیکربندی شوند.

بهترین روش ها کدامند؟

چه با استفاده از PIM شروع به کار کنید ، چه پیاده سازی های موجود را به روزرسانی کنید، بهتر است با یک چک لیست کار کنید. بر اساس تجارب و مطالعات موردی، موارد زیر به عنوان ترکیب اصلی بهترین روشها توصیه می شوند.

  1. جداسازی و ضبط

سیستم های کلیدی، برنامه ها و پایگاه داده ها و حساب (های) ممتازی که در هر یک وجود دارد. یک لیست مشخص شده به سازماندهی بهتر زیرساخت پیچیده فناوری اطلاعات مدرن کمک می کند. همچنین، این مرحله باید در فرآیندهای تأمین کلیه دارایی ها گنجانده شود. این لیست را به عنوان منبع واحد به روز می کند.

  1. تنظیمات موجود را آماده کنید

حساب های نامناسب و دسترسی ها را اصلاح کنید. با لیست مرحله قبل، شناسایی این موارد بسیار آسان است. به عنوان مثال، اطمینان حاصل کنید که به هر حساب سرویس دیتابیس، ورود دامنه متفاوتی اختصاص داده شده است تا گواهی نامه ها با دامنه محدود منتشر شوند.

  1. از اشتباه در خودکار کردن اقدامات ضعیف قبلی جلوگیری کنید

این دام بسیار خطرناکی است و باید به هر قیمتی از آن اجتناب کنید. اگر در نهایت کاربران ممتاز، اعتبارات منحصر به فرد خود را به اشتراک بگذارند و از سیستم به عنوان ابزار مدیریت نشست ها و گذرواژه های خودکار استفاده کنند، کل ایده PIM را با شکست مواجه می کند.

  1. طبقه بندی کنید که چه کسی باید به این حسابها دسترسی داشته باشد

با تهیه لیستی از کلیه دارایی ها و حساب های ممتاز آنها، که می تواند مجدداً با نقش ها و مسئولیت های سرپرستان مقایسه شود، این قسمت آسان است.

  1. کشف کنید چه کسی به این حساب ها دسترسی دارد

این قسمت سخت است زیرا افشای دسترسی غیرمجاز برای کارمندان ترسناک است. یکی از راه های دور زدن این مسئله ، اعطای رمز یکبار مصرف به همه هنگام درخواست این اطلاعات است. مورد دیگر تغییر گذرواژه های ممتاز به صورت مرحله ای است و پس از آن به همه اطلاع رسانی شود تا برای دسترسی بیشتر به تیم PIM مراجعه نمایند.

  1. اجرای فرآیند چرخه عمر حساب ممتاز

ایجاد، اصلاح و حذف حساب ممتاز باید از طریق یک فرآیند کاملاً ثابت انجام شود. تا آنجا که ممکن است سیستم باید خودکار باشد تا هرگونه درخواست تأییدیه لازم را انجام دهد. ایجاد یک حساب ممتاز با یک دوره انقضاء از پیش تعیین شده که در آن چنین حساب هایی برای کارهای موقت ایجاد می شوند، روش خوبی است.

  1. از الگوها برای مجوزها استفاده کنید

گروه های کاربری ایجاد کنید و مجوزها را برای گروه تعریف کنید. هنگام اضافه شدن یک فرد (افراد) باید او را به گروه مناسب اضافه نمایید. به این ترتیب فقط مجوزهایی که کاملاً برای آنها لازم است به افراد ارائه می شود.

  1. سیاست های مربوط به دسترسی ممتاز به سیستم های کلیدی

اطمینان حاصل کنید که سیاست ها به صورت زیر طراحی شده اند:

آ. تا حد امکان خاص (دسترسی محدود به زمان، مجوز کنترل دوگانه، اصلاح گذرواژه)

ب. تا حد امکان با جزئیات باشد (سیاست در سطح جلسه و دستورالعمل جزئی باشد)

  1. پیش فرض حداقل امتیاز دسترسی

این مورد از افشای ورودهایی که دارای مجوز گسترده برای ایجاد تغییرات در کل شرکت هستند، جلوگیری می کند. همین امر در مورد انواع دیگر حساب های ممتاز صادق است. کنترل بهتر شامل سازماندهی این مدارک برای محدود کردن دامنه دسترسی است.

  1. احراز هویت چند عاملی (MFA) برای کاربران دارای امتیاز

برای کاربران ممتازی که نیاز به دسترسی به داده ها / منابع حساس دارند ، MFA را پیاده سازی کنید. چنین فرایندهایی به کاربر احتیاج دارد تا برای تأیید هویت، اعتبار اضافی ارائه دهند (مانند توکن سخت افزاری یا رمز یکبار مصرف) همراه با اطلاعات عادی آنها.

  1. مجوز صریح

هرگونه دسترسی به منبع یا داده های حیاتی باید صریحاً مجاز باشد. اینگونه نیست که فقط با احراز هویت شخصی، به هر کاربر دسترسی نامحدودی به همه اجزای اساسی داده شود.

  1. اجرای سیاست خودکار

برای استفاده خودکار از سیاست ها، از فرایندها استفاده کنید. این کار را می توان به صورت دستی توسط بخش فناوری اطلاعات بر اساس ممیزی های منظم انجام داد و یا با کمک سرویس های اختصاصی مدیریت شده به صورت خودکار انجام شد.

  1. ثبت و حسابرسی

سازمانها باید کلیه فعالیتهای کاربر را برای دسترسی های ممتاز ثبت و ضبط کرده و برای ممیزی منظم برنامه ریزی کنند. این مورد نه تنها احساس مسئولیت پذیری را در بین کاربران ایجاد می کند بلکه به بررسی سریعتر هرگونه نقض نیز کمک می کند.

  1. نظارت و هشدار

نظارت فعال بر فعالیت ها به محافظت از هرگونه دسترسی غیرمجاز عمدی یا غیر عمدی کمک می کند. چنین یافته هایی باید بلافاصله به عنوان هشدار برای تیم مربوطه ارسال شود.

بنابراین با اجرای یک راه حل PIM چگونه سود خواهید برد؟

ارزش واضح (و برخی نه چندان واضح) راهکارهای PIM در غیاب آن قابل ملاحظه است. این موارد معمولاً پس از نقض، وقتی که سیاست های امنیتی مورد بررسی قرار می گیرند، یاد آور می شود که چگونه ممکن است برخی اقدامات گذشته از حادثه جلوگیری کرده باشد.

خوشبختانه، مانند بهترین روش ها، در اینجا لیستی از مزایای استقرار PIM آورده شده است. برخی از این مزایا قابل اندازه گیری هستند، برخی از آنها نیز قابل اندازه گیری نیستند، اما قطعاً برای استفاده صحیح از راه حل های PIM معمول است.

مزایا … به معنای
محدودیت مبتنی بر سیاست حسابرسی کامل و پاسخگویی انجام دهندگان واقعی فعالیت ها
تداوم تجارت فعالیت را مشاهده کنید و سیاست ها و گردش کار (از طریق یک رابط وب ، یا thin client) ضبط جلسه – برای انطباق و اهداف نظارتی تعریف کنید.
نظارت و حسابرسی نسخه امن رمز عبور (در صورت از دست دادن یا ورود به سیستم)
سرمایه گذاری محدود ادغام با سیستم های احراز هویت فناوری اطلاعات موجود (در فضای ابری یا محلی)
انطباق انطباق قانونی و نظارتی

 

نتیجه گیری

با آگاهی بیشتر حسابرسان فناوری اطلاعات از تهدیدات ناشی از هویت های ممتاز کنترل نشده، سازمان شما می توانید با فشارهای فزاینده ای که برای کنترل این ورودهای قدرتمند سازمان به شما وارد می نماید، روبرو شوید. هکرها نیز توجه کرده و تعداد دفعات حملاتی را که برای به دست آوردن اعتبارات مشترک و سطح بالا برای کنترل شبکه های سازمان قربانی مورد سو استفاده قرار می گیرند، افزایش می دهند.

خوشبختانه، نرم افزار مدیریت هویت ممتاز می تواند به شما کمک کند تا به طور مداوم اعتبارهای ممتاز را در سراسر شبکه خود حفظ کنید و یک ردیابی معتبر از دسترسی آنها را فراهم کنید. یک اجرای موفقیت آمیز همچنین می تواند با ارائه اطلاعات ورود به سیستم بلافاصله و بر اساس تقاضا، در وقت کارکنان فناوری اطلاعات صرفه جویی کند و نیاز به فرآیندهای دستی برای کشف، تغییر و مستند کردن حساب ها را کاهش دهد.

درباره Arcon

ARCON یک شرکت پیشرو در زمینه راه حل های امنیت اطلاعات است که در زمینه راه حل های مدیریت هویت ممتاز و ارزیابی مداوم ریسک تخصص دارد. با سابقه طولانی خود در شناسایی ریسک های تجاری در صنایع، در درک و شناسایی شکاف های امنیتی ذاتی در چارچوب زیرساخت سازمان ها و ساخت و استقرار راهکارها / محصولات نوآورانه برای کاهش قابل توجه خطرات احتمالی در موقعیت منحصر به فردی قرار دارد.

منبع: WWW.ARCONNET.COM

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.