کارشناسان امنیتی چگونه بر مدیریت دسترسی نظارت می‌کنند؟

متاسفانه ضعف در کنترل‌های IAM و عدم هماهنگی آن‌ها با سازوکارهای احراز هویت سازمانی باعث شده تا شکاف بزرگی در این زمینه ایجاد شود. هکرها می‌توانند از این شکاف برای حمله به زیرساخت‌ها، تصاحب حساب‌های کاربری و دور زدن مکانیزم‌های امنیتی استفاده کنند. در سویی دیگر، سخت‌گیری بیش از اندازه نیز باعث ایجاد اختلال در جریان فعالیت‌های تجاری می‌شود.

بازاری بزرگ و گیج‌کننده از ابزارهای IAM

فناوری‌های IAM در چند سال گذشته پیشرفت‌های خیره‌کننده‌ای داشته‌اند. مدیریت هویت در محیط‌های چند ابری و ترکیبی، کنترل حساب‌های کاربری مدیران ارشد، امکان نظارت بر الگوهای ورود به حساب‌های کاربری، احراز هویت بر مبنای معیارهای خطرآفرین و مدیریت بخش‌های مختلف چرخه حیات کاربر به لطف پیشرفت‌های چشم‌گیر در این زمینه ساده‌تر از قبل شده است.

نارش پرسود (Naresh Persaud) از شرکت مشاوره Deloitte در این ارتباط گفته است: «مشاهده می‌کنیم که بخش‌بندی جالب توجهی در ارتباط با راه‌حل‌های IAM صورت گرفته است. علاوه بر این، امکانات زیادی مثل روان‌سازی تجربیات کاربری از طریق یادگیری ماشین، ادغام با سرویس‌های ارائه‌دهندگان سرویس‌های ابری برای مدیریت هر چه بهتر جریان کاری یا ارائه اطلاعات بیشتر درباره عملیات IAM از طریق تحلیل‌های پیشرفته به منظور ساخت طرح‌های امنیتی قوی در دسترس شرکت‌ها قرار دارد».

با توجه به این‌که، قابلیت‌های جدیدی به این ابزارها افزوده شده، انواع بی‌شماری بازار فرعی پیرامون این محصولات شکل گرفته که شامل محصولات مستقل یا ابزارهایی می‌شود که خود زیرمجموعه‌ای از یک پلتفرم‌ جامع هستند. همین مسئله باعث شده تا مصرف‌کنندگان به گزینه‌های زیادی دسترسی داشته باشند که گاهی اوقات سردرگمی کارشناسان در ارتباط با انتخاب بهترین IAM را به‌همراه دارد.

جی‌آر کانینگهام (JR Cunningham) مدیر ارشد عملیات شرکت ارائه‌دهنده سرویس‌های امنیتی مدیریت شده Nuspire می‌گوید: «بیشتر شرکت‌های تولیدی متکی به منظور اعمال خط‌مشی‌های امنیتی کارآمد به ابزارهای مدیریت و حاکمیت هویت (IGA) سرنام identity Governance And Administration  و برخی دیگر به ابزارهای مدیریت هویت ممتاز (PAM) سرنام Privileged Access Management و برخی دیگر به ترکیب هر دو ابزار وابسته است. به‌طوری که بتوانند یک یک طرح هویتی کارآمد را پیاده‌سازی کنند. همین مسئله باعث شده تا پراکندگی محصولات در حوزه احراز هویت بیش از اندازه زیاد شود. علاوه بر این، بیشتر شرکت‌های این حوزه فناوری‌های احراز هویت چند مرحله‌ای را ارائه می‌دهند. واقعیت این است که سازمان‌ها باید قابلیت‌ها و الزامات جاری خود را به درستی تعریف کنند تا اطمینان حاصل کنند محصولی متناسب با نیازهای خود را خریداری خواهند کرد».

ابزارهای IAM چه تغییری کرده‌اند؟

کانینگهام در این ارتباط می‌گوید: «آماده‌سازی یک استراتژی احراز هویت و انتخاب پلتفرم مناسب برای آن، باید بر مبنای رعایت برخی نکات انجام شود تا پلتفرمی هماهنگ با خط‌مشی‌های تجاری سازمان انتخاب شود. به‌طور مثال، کسب‌وکارهایی که قابلیت‌های احراز هویت پایه قوی مثل احراز هویت چند مرحله‌ای و ورود یکپارچه را نداشته باشند، برای مدیریت ابزارهای PAM با مشکل روبرو می‌شوند. سازمانی که این دو بخش و فرایندهای مدیریت هویت مناسب برای کارمندان را نداشته باشد، این توانایی را ندارد تا از تمامی قابلیت‌هایی که پلتفرم‌های مدیریت و حاکمیت هویت ارائه می‌کنند به بهترین شکل استفاده کند. به‌طور معمول، سازمان‌های موفق بر مبنای مسیر احراز هویت،PAM/PIM  و IGA  گام بر می‌دارند».

نارش پرسود به سازمان‌‌ها پیشنهاد می‌کند، هنگام ارزیابی فناوری‌های احراز هویت به سادگی از کنار مقیاس‌پذیری نصب و سازگاری فناوری با تمامی برنامه‌های کاربردی مورد استفاده در محیط کاری، کاربران و خطوط کسب‌وکارشان غافل شوند. او می‌گوید: «ابزارهای IAM که توانایی صورت ادغام و اتصال به نرم‌افزارهای مختلف را دارند، به سازمان‌ اجازه می‌دهند به شکل آزادنه‌تری فعالیت‌های روزمره خود را انجام دهد. البته،  دستیابی به چنین ارزشی کار ساده‌ای نیست. از این‌رو، یکی از چالش‌های اصلی پیاده‌سازی یک پلتفرم  IAM هماهنگ‌سازی آن با راه‌حل‌های رایج است. علاوه بر این، سازمان‌ها می‌توانند یک رویکرد پیش‌بینی کننده و تکثیرپذیر برای افزایش مقیاس عملیات‌ خود انتخاب کنند. به‌کارگیری یک مدل عملیاتی سرویس‌گرا نه تنها برای ‌مقیاس‌بندی با پلتفرم IAM مفید است، بلکه به کارشناسان بخش امنیت و فناوری اطلاعات سازمان اجازه می‌دهد، مدیران کسب‌وکار و تمامی افرادی که در راستای تنظیم مقیاس IAM و تحقق ارزش این فناوری باید مشارکت داشته باشند را در جریان تمامی امور قرار دهند».

آشنایی با بهترین ابزارهای IAM

اکنون که تاحدودی با مفهوم IAM و ضرورت استفاده از آن در ارتباط با مدیریت احراز هویت کاربران و حساب‌های آن‌ها در سازمان‌ها آشنا شدیم، وقت آن رسیده تا به معرفی ابزارهای IAM بپردازیم که مدیران ارشد عملیات امنیتی برای ارتقای قابلیت‌های احراز هویت در سازمان به آن‌ها نیاز دارند.

Avatier

Avatier  از شرکت‌های قدیمی فعال در زمینه مدیریت و ارائه سرویس‌های فناوری اطلاعات و هلپ‌دسک است. این شرکت بر مبنای سال‌ها تجربه در زمینه ارائه ابزارهای مدیریت گذرواژه‌ها و حساب‌های کاربری، یک پلتفرم IGA جامع طراحی کرده و در اختیار سازمان‌ها قرار داده است. این شرکت سرمایه‌گذاری قابل توجهی در زمینه خودکارسازی محصولاتش انجام داده و پلتفرم Identity Anywhere را به عنوان یک راه‌حل جامع احراز هویت که قابلیت استقرار در محیط‌های ابری دارد را توسعه داده است. جدیدترین نسخه از این محصول قابلیت پشتیبانی از احراز هویت یکپارچه بدون نیاز به گذرواژه و یکپارچه‌سازی تجربیات کاربری در پلتفرم‌های همکاری (مخصوص شرکت‌هایی که شرکای تجاری دارند)، ابر و موبایل از جمله  اسلک، تیمز و ServiceNow را دارد. این ابزار امکان اتصال بیش از 90 سازمان و 5 هزار پلتفرم و نرم‌افزار تحت ابر را ارائه می‌کند و یک کانال ارتباطی ایمن و پر سرعت بدون نیاز به کدنویسی را در اختیار سازمان‌ها قرار می‌دهد. یک ابزار کارآمد که امکان شخصی‌سازی آن وجود دارد. این پلتفرم جامع به تحلیل‌گران امنیت سایبری اجازه می‌دهد به شکل دقیقی وظایف روزانه خود را انجام دهند.

BeyondTrust

BeyondTrust  یکی دیگر از شرکت‌های موفق در زمینه ارائه راه‌حل‌های PAM است که بر مبنای ابتکارات داخلی، موفق به طراحی یک ابزار کارآمد قدرتمند برای مدیریت حساب‌های کاربری و مجوزهای دسترسی به محیط ابر‌های شده است. علاوه بر این، ابزار PAM این شرکت امکان مدیریت متمرکز دسترسی از راه دور، مدیریت نقاط پایانی ماشین‌های مبتنی بر سیستم عامل‌های ویندوز، مک، یونیکس و لینوکس را از طریق فناوری Directory Bridge ارائه می‌کند. این شرکت فناوری Cloud Privilege Broker را به عنوان یکی از ابزارهای قدرتمند در زمینه مدیریت مجوزهای دسترسی به زیرساخت‌های ابری و ماشین‌های مجازی توسعه دهد. این محصول که در گروه ابزارهای مدیریت حقوق زیرساخت‌های ابر (CIEM) سرنام cloud infrastructure entitlement management قرار می‌گیرد به کارشناسان شبکه و امنیت کمک می‌کند تا حقوق مربوط به محیط‌های چند ابری را به شکل ساده‌ای مدیریت کنند. BeyondTrust یک مکانیزم ارتباطی در ارتباط با تدوین الزامات قانونی و خط‌مشی‌ها توسعه داده است. همین مسئله باعث شده تا موسسه گارتنر، آن‌را یکی از مهم‌ترین ابزارهای پیشرفته در زمینه مدیریت حساب‌‌های کاربری توصیف کند. ابزاری که قابلیت‌های مصورسازی و تولید گزارش را دارد. مشتریان می‌توانند از طریق بسته تحلیلی BeyondInsight این شرکت از تحلیل‌های پیشرفته استفاده کنند.

CyberArk

CyberArk  یکی از بزرگ‌ترین شرکت‌های فعال در زمینه عرضه ابزارهای مدیریت مجوزهای دسترسی به حساب‌های کاربری است که طیف گسترده‌ای از راه‌حل‌های PAM را ارائه می‌کند. علاوه بر این ابزار فوق با مدل ارایه هویت و به شکل احراز هویت در قالب سرویس (IDaas) سرنام identity-as-a-service قابل استفاده است. این شرکت در سال 2020 میلادی با تصاحب شرکت  Idaptiveموفق شد، محصولات و سرویس‌های نرم‌افزاری خود را توسعه دهد. به‌طوری که ابزار نهایی تولید شده توسط این شرکت قابلیت‌های مختلفی مثل راه‌حل‌های احراز هویت چند مرحله‌ای برای نقاط پایانی، احراز هویت یکپارچه کارمندان، مدیریت هویت مشتریان، راه‌حل‌های احراز هویت بدون نیاز به گذرواژه و قابلیت‌های خود سرویس‌دهی برای مدیریت حساب‌های کاربری را دارد. محصولات این شرکت قابلیت‌های تحلیلی قدرتمندی ارائه می‌دهند و امکان استفاده از آن‌ها برای تکامل هر چه بیشتر طرح‌های ارزیابی امنیت وجود دارد. علاوه بر این، شرکت مذکور قابلیت‌های احراز هویت مبتنی بر ریسک RBA  سرنام risk-based authentication را دارد که امکان سفارشی‌سازی سطوح مدیریت ریسک را ارائه می‌کند.

علاوه بر این، CyberArk مجموعه‌ای غنی از ابزارهای مدیریت حساب‌های کاربری ابرمحور که CIEM  نام دارد را عرضه کرده است. این قابلیت‌ها رتبه‌بندی ریسک‌ها را که مناسب محیط‌های چند ابری و بزرگ است، شامل می‌شود. موسسه تحقیقاتی فورستر در این ارتباط  گفته است: « CyberAr در حوزه  IDaaSیکی از انتخاب‌های مهم برای سازمان‌هایی است که به دنبال رویکردی مبتنی بر ریسک برای IDaaS هستند. پلتفرم این شرکت توانایی همگام‌شدن با ابزارهای مدیریت هویت را دارد».

ForgeRock

شرکت ForgeRock پلتفرم جامعی در ارتباط با مدیریت دسترسی‌های کارمندان، مشتریان و شناسه‌های دستگاه‌های اینترنت اشیا را آماده کرده که امکان استفاده از آن‌ها در قالب یک بسته کامل یا مجزا وجود دارد. ابزار ارائه شده توسط این شرکت شامل مولفه‌های مدیریت هویت قوی برای سازمان‌هایی است که به دنبال امکانات IGA مثل مدیریت چرخه حیات هویت هستند. محصولات ForgeRock به دلیل امکان استفاده از آن‌ها با ابر و چارچوب‌های قدرتمند REST API  این شرکت، محبوبیت زیادی نزد توسعه‌دهندگان و مهندسان دو‌آپس دارد. البته، نکته منفی که در ارتباط با محصولات این شرکت وجود دارد، امکانات تحلیلی محدود آن‌ها نسبت به دیگر شرکت‌ها است، به‌طوری‌که قابلیت‌های تحلیل رفتار کلاینت‌ها و کاربران را ندارد.

Microsoft Azure Active Directory

مایکروسافت با ارائه محصول اکتیودایرکتوری مایکروسافت آژور که بیش از 300 هزار مشتری دارد، به سرعت تبدیل به یکی از بازیگران اصلی حوزه IAM تبدیل شده است. گارتنر، رشد سریع Azure AD را ناشی از ادغام مایکروسافت 365 و پلتفرم EMS سرنام Enterprise Mobility and Security  می‌داند. این ادغام قدرتمند باعث افزایش افزایش دو برابری تعداد دفعات نصب این محصول از سوی کاربران شده است. همچنین، این محصول به سرعت و از طریق نوآوری‌های مایکروسافت مجهز از هر دو فناوری IGA، PAM پشتیبانی می‌کند. لازم به توضیح است که پشتیبانی از فناوری CIEM  پس از تصاحب شرکت CloudKnox Security به مجموعه محصولات این شرکت افزوده شده است. یکی از نقطه ضعف‌های این محصول در ارتباط با ابزار IAM ویژه کاربران شخصی است. امکانات Azure AD برای این محصول، نسبت به محصولات پیشگامان در عرصه مدیریت سطح دسترسی محدودتر است.