“مجوزهای کاربر می توانند بسیار ساده به نظر برسند، مانند یک جست و خیز با لیست مهمان – واقعا چقدر می تواند پیچیده باشد؟” گرین می گوید. اما وقتی با سیستمهای تجاری متعدد، ذخیرهسازی فایلها، محیطهای همکاری و پروژههای همپوشانی سر و کار دارید، تخصیص مجوزها و از دست دادن مسیر اینکه چه کسی میتواند چه کاری را انجام دهد بسیار آسان است.
“بهترین راه برای مدیریت حسابهای کاربر، خودکار کردن آنها از طریق دادههای منابع انسانی است. اگر شخصی ارتقا یابد، به طور خودکار مجوزهای خاصی را به دست میآورد و از دست میدهد. اگر شخصی شرکت را ترک کند، دسترسی او به طور خودکار لغو میشود. قوانین موقت میتواند پروژه یا گروههای کاربری خاصی را پوشش دهد. گرین میگوید: اگر مدیریت هویت خودکار، سیاستهای دسترسی و ممیزی امتیازات را با هم ترکیب کنید، خزش مجوز را کاهش داده و از آن جلوگیری میکنید.
حالا، تصور کنید که کسی دستش را به آن حساب دارای مجوز میبرد – چه کاری میتوانست انجام دهد؟ اگر یک جنایتکار باشد، آنها می توانند یک حمله باج افزار بسیار موثر و گسترده انجام دهند. اگر این کارمند باشد، ممکن است مرتکب کلاهبرداری، سرقت اطلاعات تجاری رقابتی یا ایجاد آسیب در خشم خودپسندانه باشد. هر سناریویی که باشد، حسابهای کاربری بهترین راه برای به خطر انداختن فناوریهای تجاری هستند.
شرکت ها حداقل در ابتدا به مجوزهای کاربر توجه زیادی دارند. داشتن قوانین و خط مشی های مجوز سفت و سخت هنگام ایجاد یک حساب کاربری معمولی است. اما با افزایش دوره تصدی کارمند، چنین نظم و انضباط سست می شود. مدیرانی که بیش از حد کار می کنند، به احتمال زیاد وقتی از آنها خواسته می شود، مجوزها را اعطا می کنند، زیرا آنها اولویت های رقابتی دارند و نمی خواهند دیگران را از انجام کارهایشان منع کنند.
“این حتی ادعایی نیست که دیگر نیاز به صلاحیت داشته باشد. چه به گزارشهای گارتنر، مایکروسافت یا منابع دیگر نگاه کنید، حسابهای کاربری به خطر افتاده تقریباً همیشه ریشه نقضهای موفق هستند. این الهام بخش امنیت مبتنی بر هویت است، مانند پل گرین، رئیس Microsoft Identity and Access در شرکت امنیت سایبری Performanta میگوید، اگر به منبع مشکل نگاه کنیم، معمولاً به این دلیل است که حسابهای کاربری حقوق دسترسی بسیار زیادی به دست میآورند.
پیشرفتهای جدیدتر مانند سرویسهای ابری و کار از راه دور، خزش مجوزها را رایجتر و پیچیدهتر کرده است. اکثر سازمان ها هنوز باید به این موضوع رسیدگی کنند.
با این حال، سیاست، ممیزی و آگاهی کافی نیست. آنها زمان می برند و مستعد خطاهای انسانی هستند. شرکتها باید سیستمهای مدیریت کاربر و منابع انسانی خود را با استفاده از قوانین تجاری برای تعیین دسترسی به یکدیگر پیوند دهند. ادغام دادههای منابع انسانی با یک سیستم مدیریت دسترسی مانند Active Directory و یک پلت فرم مدیریت هویت قوی که در آن قوانین، انتخابهای مجوز را خودکار میکنند، در حال تبدیل شدن به بهترین روش است.
رفع خزش مجوز
قابل توجه است که فیشینگ (یک حمله مکاتبات جعلی که سعی در سرقت اطلاعات کاربری کاربر دارد) و نیزه فیشینگ (همان فیشینگ، اما هدف قرار دادن گروه ها یا افراد خاص) در سال های اخیر به شدت افزایش یافته است.
منبع اجازه خزش
همپوشانی بین بخشهای مختلف کسبوکار نیز مجوزهای مفصلی را ایجاد میکند – حقوقی و منابع انسانی که روی قراردادهای کاری کار میکنند ممکن است به هر دو گروه نیاز داشته باشد که به منابعی که معمولاً به آنها نیاز ندارند دسترسی داشته باشند. سپس مسئله نفس وجود دارد: مردم وضعیت امتیازات دسترسی را دوست دارند و کارمندان رده بالاتر – به ویژه مدیران اجرایی – می توانند فقط به این دلیل که احساس می کنند مستحق آن هستند، انتظار یا تقاضای دسترسی را داشته باشند.
آیا سناریوی زیر درست است؟ یک کارمند از پایین شروع میکند و از طریق سازمان به سمت بالا حرکت میکند. همانطور که آنها تبلیغ می شوند، نیاز به دسترسی به برنامه ها و فایل های مختلف دارند. در عرض چند سال، آنها تعداد قابل توجهی از مجوزها را در حساب کاربری خود به دست آورده اند، حتی اگر به بسیاری از این امتیازات نیاز نداشته باشند.
راههای زیادی برای نفوذ به سیستمهای تجاری وجود دارد، اما دستیابی به حسابی مملو از حقوق دسترسی مختلف سادهترین و رایجترین روش است. اگر سازمان شما به خزش مجوز رسیدگی نکند، مجرمان و افراد خودی خطرات بسیار بیشتری دارند. برعکس، یک محیط مدیریت دسترسی قوی، امنیت و بهره وری را تقویت می کند.