تأمين وإدارة حسابات الوصول المميزة مع BeyondTrust

ما وراء الثقة نهج إدارة الامتياز العالمي يؤمـن ويحمي الامتيازات عبر كلمات المرور ونقاط النهاية والوصول ، مما يمـنح المؤسسات الرؤية والتحكم الذي تحتاجه لتقليل المخاطر وتحقيق الامتثال وتعزيز الأداء التشغيلي. كبير مسؤولي التكنولوجيا (CTO) ومدير أمـن المعلومات (CISO) موري هابر يصف أساسيات إدارة الوصول المتميز (PAM) ويحدد بعض الاستراتيجيات المثيرة للاهتمام التي تساعد فـ ي الحفاظ عــل ى أمان المؤسسات.

يرجى وصف قصة BeyondTrust.

BeyondTrust هي شركة رائدة فـ ي مجال إدارة الوصول المتميز. نريد إحداث ثورة فـ ي الطريقة التي يستخدم بها العالم إدارة الوصول المميزة لتأمين الامتيازات وبيانات الاعتماد والأسرار وما إلى ذلك. طريقة تأمين تقنية الوصول عن بُعد التي تضمـن إدارة أي حساب ذي امتياز أو مراقبته أو إزالته عند الاقتضاء.

ما هو دورك فـ ي الشركة؟

أنا كبير موظفـ ي التكنولوجيا و CISO لشركة BeyondTrust. بصفتي كبير مسؤولي التكنولوجيا ، أشرف عــل ى الإستراتيجية عالية المستوى للمؤسسة والمـنتجات التي نصنعها. كما أنني مدير أمـن المعلومات بالشركة ، مما يجعلني مسؤولاً عن الأمـن الداخلي و الأمـن السحابي للمـنتجات التي نصنعها لعملائنا.دور CTO / CISO المزدوج مثير للاهتمام. أساعد فـ ي تصميم أو تحديد ما يجب أن يفعله المـنتج فـ ي مساحة إدارة الوصول المميزة ، لكننا أيضًا نستخدم هذه المـنتجات داخليًا لحماية أمـننا. إنه يوفر حلقة عودة لطيفة للتحقق مـن أن حلولنا تعمل. إن الحصول عــل ى دور مزدوج يمـنحني مـنظورًا فريدًا ومفـ يدًا بشكل لا يصدق بالنسبة لي فـ ي محادثاتي مع العملاء والعملاء المحتملين.

كيف تشرح مفهوم انعدام الثقة لأولئك الذين ليسوا عــل ى دراية به؟

مفهوم عدم الثقة ليس جديدًا. ينص نموذج الأمان الصفري بشكل أساسي عــل ى أن الوصول لا يتم مـنحه إلى شيء ما بناءً عــل ى حساب محلي أو أنواع أخرى مـن الامتيازات التي تم تعيينها. وبدلاً مـن ذلك ، نقوم أولاً بتقييم ماهية المستخدم أو التطبيق ، إلخ مسموح به أو غير مسموح به. قد يكون السياق هو اتصال الشبكة الذي تتواجد فـ يه وامتيازاتك ونوع الجهاز الذي تستخدمه والعوامل البيئية الأخرى. عند الاتصال أو الجلسة أو الوصول إلى يتم التوسط فـ ي التطبيق مـن خلال نموذج عدم الثقة ، ويتخذ محرك السياسة القرار الذي يسمح لك بالمصادقة ، ويجب أن يتبع تفويضك مبدأ الامتياز الأقل (PoLP). هذا يعني أن لديك فقط القدرة عــل ى القيام بما يفترض بك القيام به ، وللمدة المحدودة فقط مـن الوقت اللازم لإكمال النشاط المشروع. تتم مراقبة سلوكك أثناء الجلسة للبحث عن الأنشطة غير الملائمة أو التي يحتمل أن تكون ضارة. إذا تم الاستيلاء عــل ى نظامك وحسابك يحاول القيام بشيء ضار بالمورد ، ويمكن أن يتخذ الإجراء المـناسب لفصل الحساب وإنهاء العملية. يتم توثيق جميع أنشطة الجلسة فـ ي السجلات ، إما فـ ي شكل سجلات IO ، أو حتى تسجيلات الشاشة ، للطب الشرعي أو النسخ المستقبلي. فـ ي سياق إدارة الوصول المتميز ، الثقة الصفرية أمر أساسي. تدافع الثقة الصفرية عن إلغاء الحسابات المتميزة الدائمة والحسابات التي تعمل دائمًا ، والتي لها حقوق المسؤول حتى لو لم يسبق للمستخدم اتصال. يمثل استمرار الامتياز فـ ي الحسابات الدائمة متجهًا للهجوم يكون دائمًا جاهزًا للاستغلال. عند تطبيق الوصول المميز ، قم بإدارة بالنسبة لتلك الحسابات المميزة ، سيتم تقييم المسؤول ، وكذلك أي مستخدم ذي امتياز آخر يحتاج إلى الوصول ، وفقًا لمجموعة مـن الشروط مثل:

• هل يحتاجون إلى الوصول إلى المورد المحدد للقيام بعملهم؟
• هل هذه ساعة عمل مـناسبة؟
• هل هم قادمون مـن اتصال مصرح به؟

يتم إنشاء الاتصال عند استيفاء حد الثقة. الحسابات المميزة هي الحسابات الأكثر حساسية. تريد BeyondTrust التأكد مـن أن الإجراء مـناسب بناءً عــل ى جميع الشروط ، وأن الوصول يتم مراقبته والوسيط فـ يه بشكل مـناسب.

كيف توازن بين الأمان وقابلية الاستخدام؟

عندما يكون لديك بنية مـناسبة لعدم الثقة (ZTA) ، وهي طريقة لنشر أداة تساعد عــل ى تمكين انعدام الثقة ، يمكنك فـ ي الواقع زيادة الكفاءة. هذه إحدى الفوائد التي يجلبها BeyondTrust إلى الطاولة. عــل ى سبيل المثال ، إذا كان مستخدم لديه حقوق إدارية محلية يعمل عــل ى نقطة نهاية ، فهناك خطر كبير مـن أن البرامج الضارة أو برامج الفدية يمكن أن تصيب النظام مـن خلال استغلال هذه الامتيازات. وأفضل الممارسات هي إزالة حقوق المسؤول وجعلها مستخدمًا قياسيًا. ومع ذلك ، مـن خلال عند القيام بذلك ، ستتوقف أشياء مثل إضافة طابعة ، أو تغيير الساعة ، أو تحديث أو تثبيت برنامج جديد ، عن العمل ، مما يؤدي إلى تجربة مستخدم سيئة. لذلك ، ما فعلته الشركات هو تطبيق بيانات اعتماد إدارية ثانوية أو نوع آخر مـن الأذونات المحلية ، بحيث عندما تنبثق UAC ، سيتم تطبيق بيانات الاعتماد الثانوية هذه. وأثناء نجاح ذلك ، فإنها تمثل أيضًا مخاطرة أمـنية ، لأنها تعني أن كل شخص لديه حسابان. أحد هذه الحسابات هو المسؤول المحلي ، والذي يمكن للبرامج الضارة الكشط السيئ عبر سجل ضغطات المفاتيح أو طلب الترقية وإصابة النظام. أفضل الممارسات هي إزالة حقوق المسؤول تمامًا ، ولكن رفع التطبيق حسب الحاجة. عندما يقوم المستخدم بتشغيل برنامج يحتاج إلى حقوق المسؤول ، يتم رفع التطبيق بدلاً مـن المستخدم النهائي الذي يقوم بتشغيله. هذا هو ما نسميه إدارة نقطة النهاية الأقل امتيازًا. إنه مفهوم وجود وكيل ومحرك قائم عــل ى القواعد يحدد البرامج التي تحتاج إلى رفع ، ويغير رمز الأمان وفقًا لذلك. عندما تكون بنية عدم الثقة عند تطبيقه عــل ى ذلك ، يتم فصل مستوى التحكم ومستوى البيانات. لديك مسؤول ومحرك نهج يقوم الآن بتقييم ما إذا كان هذا الشخص لديه بيانات الاعتماد الصحيحة أم لا. يمكن أن يكون مثال عــل ى معايير التقييم هذه:

• هل هم عــل ى جهاز كمبيوتر موثوق به؟
• هل يعملون مـن المـنزل أم هم فـ ي المكتب؟
• هل هناك تذكرة لتغيير السيطرة؟
• هل أجابوا لماذا يجب عليهم تنفـ يذ الإجراء المطلوب ، عــل ى سبيل المثال ، تثبيت أداة؟

بمجرد استيفاء المعايير ، يتم تأكيد الهوية وعلاقة الحساب ، ويتم توفـ ير الوصول باستخدام نموذج الامتياز الأقل. تتم مراقبة السلوك ، ويتم تقييد الإجراءات مثل العمليات الفرعية لتتوافق مع انعدام الثقة. وهذا فـ ي الواقع يجعل الأمور أكثر كفاءة ، لأنه عندما يقوم المستخدم النهائي بتشغيل برنامج ، فإنه يعمل فقط ، بغض النظر عما إذا كان يحتاج إلى رفع أم لا ، ولا توجد بيانات اعتماد ثانوية. جميع إمكانات المراقبة الأمـنية مدمجة خلف الكواليس وهي شفافة حتى النهاية- مستخدم.

كيف تتفاعل BeyondTrust مع تطبيقات الطرف الثالث؟

تتفاعل BeyondTrust مع مجموعة متنوعة مـن تطبيقات الجهات الخارجية. لدينا نوعان أساسيان مـن فئات التكامل. النوع الأول مـن التكامل هو مع البائعين الخارجيين الذين يتعين علينا مشاركة البيانات أو المصادقة معهم للتحقق مـن صحة بطاقات التحكم أو تغييرها. مكتبة مـن الموصلات وعمليات الدمج لإجراء سير العمل بالكامل ، بما فـ ي ذلك مجموعة متنوعة مـن الأدوات مثل ServiceNow و McAfee وغيرها مـن الأدوات التي يمكنك رؤيتها عــل ى موقعنا عــل ى الويب. ويتعلق الشكل الثاني لتكامل BeyondTrust بالأنظمة الأساسية التي تستخدم مـنتجنا داخليًا. عــل ى سبيل المثال ، تعمل تقنية أمان كلمة المرور عــل ى تخزين كلمات المرور وتدويرها تلقائيًا لتوفـ ير تجربة تسجيل الوصول / المغادرة التي تضمـن ألا تصبح بيانات الاعتماد قديمة. حتى إذا حصل أحد الفاعلين عــل ى كلمة مرور ، بسبب تسجيل ضغطات مفاتيح البرامج الضارة أو نوع مـن حملات التصيد الاحتيالي ، سرعان ما يصبح غير صالح بسبب التناوب. تقنيتنا قادرة عــل ى العثور عــل ى أهداف ، مـن أنظمة التشغيل إلى قواعد البيانات ، وحتى التطبيقات والموارد السحابية والبنية التحتية ، ثم قم بتسجيل الدخول إليها وقم بتدوير بيانات الاعتماد بانتظام.حتى أن الحل يحتفظ بسجل آمـن لبيانات الاعتماد السابقة ، فقط فـ ي حالة تطلب النسخ الاحتياطي الوصول ، أو لاستعادة البيانات بعد الكوارث.

كيف تتوقع أن تؤثر التطورات الأخيرة فـ ي خصوصية المستخدم عــل ى عملك ومجال عملك؟

كان للتغييرات فـ ي خصوصية البيانات تأثير كبير جدًا عــل ى BeyondTrust ، بالإضافة إلى العديد مـن الشركات الأخرى. مـن المهم أن نفهم أن أمان البيانات وخصوصية البيانات هما شيئان مختلفان. خصوصية البيانات هي حماية المعلومات الحساسة التي يمكنك أو لا لديك امتيازات لرؤيتها أو جمعها. مع وضع ذلك فـ ي الاعتبار ، إذا كانت لديك بيانات حساسة ، فأنت تريد التأكد مـن استخدامها بشكل مـناسب وداخل المـناطق المـناسبة فقط. يمكن للأشخاص إنشاء النطاق المـناسب حول الوصول لتغطية قوانين الخصوصية والمخاوف. التنفـ يذ الفعلي هو أمان البيانات – ينطبق كل شيء مـن الاحتفاظ بالبيانات إلى التعتيم عــل ى خصوصية البيانات ، لكن الحماية الشاملة لأي نوع مـن البيانات ستكون جزءًا مـن أمان البيانات. أوصي المؤسسات بخصوصية البيانات وأمـن البيانات المـنفصلين وفهم الاختلافات بوضوح بين بعد ذلك ، عندما تقوم بتعيينات البيانات واكتشافها ، ستجد أن جانب خصوصية البيانات يصبح أسهل كثيرًا فـ ي معالجته.

ما هو الخطأ الأول الذي ترتكبه المؤسسات فـ يما يتعلق بالأمـن ، وكيف يمكن تجنبه؟

فـ يما يتعلق بالأمـن ، فإن الخطأ الأول الذي ترتكبه المؤسسات هو العقلية القائلة بأن ذلك لن يحدث لهم. يبدو أن الناس يعتقدون أنهم لا يقهرون ولا يمكن اختراقهم لأن لديهم دفاعات كافـ ية. فـ ي الواقع ، تهديدات الأمـن الحديثة ، مـن تزداد سلاسل التوريد والموردون لنقاط الضعف والهجمات ذات الامتيازات والهجمات القائمة عــل ى الهوية والتصيد الاحتيالي أكثر تعقيدًا يومًا بعد يوم. وعلينا التحرر مـن عقلية الإنكار هذه وإدراك أن الأدوات التي نستخدمها تقلل فقط مـن المخاطر. يمكننا العمل عــل ى تقليل مخاطر الإنترنت لدينا – ولكن لا تقضي عليها تمامًا. لذلك ، فإن توصيتي هي أن تعد نفسك لخرق ، لأنه سيحدث. يجب أن يكون لديك خطة مـناسبة للاستجابة للحوادث:

• تعرف عــل ى مـن تخطر به فـ يما يتعلق بالسلطات وإنفاذ القانون وما إلى ذلك.
• اعرف ما هي التزاماتك القانونية مـن حيث المتطلبات التعاقدية للعملاء
• تأكد مـن امتثالك لقوانين خصوصية البيانات المحلية والإقليمية. وهذا يشمل كل شيء بدءًا مـن إحضار محامٍ متخصص فـ ي الأمـن السيبراني عــل ى وكيل أو شركة أدلة جنائية لتشديد أمان عمليتك.

إذا بدأت بالركض وشعرك مقطوعًا ، دون معرفة مدى خطورة المشكلة أو كيفـ ية إصلاحها ، فقد تعرض عملك أو وظيفتك أو سمعتك للخطر. كن مستعدًا عندما يحدث شيء ما لأنه ، فـ ي عالم اليوم ، ربما سيحدث.

ما هي الاتجاهات أو التقنيات التي تجدها مثيرة للاهتمام بشكل خاص هذه الأيام حول مجال عملك؟

أكبر الاتجاهات والتقنيات التي أراها هي حلول أحدث فـ ي السحابة لحل المشكلات التقليدية. هناك العديد مـن الشركات الناشئة والشركات الناضجة التي تعمل عــل ى تطوير تقنيات السحابة. تعمل هذه المؤسسات عــل ى تطوير إدارة الثغرات الأمـنية وتحديد الامتيازات …