کارشناسان امنیتی برای انجام فعالیتهای روزمره خود به ابزارهای تخصصی نیاز دارند. کارشناسان شاغل در سازمانهای بزرگ نه تنها به ابزارهای امنیتی رایج برای انجام هرچه بهتر وظایف خود نیاز دارند، بلکه به ابزارهایی برای مدیریت و دسترسی به حسابهای کاربری نیاز دارند. همین مسئله باعث شده تا ابزارهای مدیریت دسترسی و هویت ( IAM ) سرنام Identity and access management به یکی از ابزارهای کلیدی موردنیاز مدیران امنیت سایبری تبدیل شوند. ابزارهایی که اجازه میدهند تصمیمات مهم و کلیدی در ارتباط با تشخیص هویت اتخاذ شود. یکی از نکات مهم احراز هویت و تعیین سطح دسترسی، نحوه ورود به برنامههای کاربردی، سیستمها و ادغام آنها با یکدیگر بر مبنای پستهای سازمانی است. بهطور معمول، کارشناسان امنیت سایبری باید میان امنیت و کاربردپذیری تعادل دسترسی برقرار کنند تا رخنههای امنیتی ناخواسته بهوجود نیایند.
متاسفانه ضعف در کنترلهای IAM و عدم هماهنگی آنها با سازوکارهای احراز هویت سازمانی باعث شده تا شکاف بزرگی در این زمینه ایجاد شود. هکرها میتوانند از این شکاف برای حمله به زیرساختها، تصاحب حسابهای کاربری و دور زدن مکانیزمهای امنیتی استفاده کنند. در سویی دیگر، سختگیری بیش از اندازه نیز باعث ایجاد اختلال در جریان فعالیتهای تجاری میشود.
بازاری بزرگ و گیجکننده از ابزارهای IAM
فناوریهای IAM در چند سال گذشته پیشرفتهای خیرهکنندهای داشتهاند. مدیریت هویت در محیطهای چند ابری و ترکیبی، کنترل حسابهای کاربری مدیران ارشد، امکان نظارت بر الگوهای ورود به حسابهای کاربری، احراز هویت بر مبنای معیارهای خطرآفرین و مدیریت بخشهای مختلف چرخه حیات کاربر به لطف پیشرفتهای چشمگیر در این زمینه سادهتر از قبل شده است.
نارش پرسود (Naresh Persaud) از شرکت مشاوره Deloitte در این ارتباط گفته است: «مشاهده میکنیم که بخشبندی جالب توجهی در ارتباط با راهحلهای IAM صورت گرفته است. علاوه بر این، امکانات زیادی مثل روانسازی تجربیات کاربری از طریق یادگیری ماشین، ادغام با سرویسهای ارائهدهندگان سرویسهای ابری برای مدیریت هر چه بهتر جریان کاری یا ارائه اطلاعات بیشتر درباره عملیات IAM از طریق تحلیلهای پیشرفته به منظور ساخت طرحهای امنیتی قوی در دسترس شرکتها قرار دارد».
با توجه به اینکه، قابلیتهای جدیدی به این ابزارها افزوده شده، انواع بیشماری بازار فرعی پیرامون این محصولات شکل گرفته که شامل محصولات مستقل یا ابزارهایی میشود که خود زیرمجموعهای از یک پلتفرم جامع هستند. همین مسئله باعث شده تا مصرفکنندگان به گزینههای زیادی دسترسی داشته باشند که گاهی اوقات سردرگمی کارشناسان در ارتباط با انتخاب بهترین IAM را بههمراه دارد.
جیآر کانینگهام (JR Cunningham) مدیر ارشد عملیات شرکت ارائهدهنده سرویسهای امنیتی مدیریت شده Nuspire میگوید: «بیشتر شرکتهای تولیدی متکی به منظور اعمال خطمشیهای امنیتی کارآمد به ابزارهای مدیریت و حاکمیت هویت (IGA) سرنام identity Governance And Administration و برخی دیگر به ابزارهای مدیریت هویت ممتاز (PAM) Privileged Access Management و برخی دیگر به ترکیب هر دو ابزار وابسته است. بهطوری که بتوانند یک یک طرح هویتی کارآمد را پیادهسازی کنند. همین مسئله باعث شده تا پراکندگی محصولات در حوزه احراز هویت بیش از اندازه زیاد شود. علاوه بر این، بیشتر شرکتهای این حوزه فناوریهای احراز هویت چند مرحلهای را ارائه میدهند. واقعیت این است که سازمانها باید قابلیتها و الزامات جاری خود را به درستی تعریف کنند تا اطمینان حاصل کنند محصولی متناسب با نیازهای خود را خریداری خواهند کرد».
ابزارهای IAM چه تغییری کردهاند؟
کانینگهام در این ارتباط میگوید: «آمادهسازی یک استراتژی احراز هویت و انتخاب پلتفرم مناسب برای آن، باید بر مبنای رعایت برخی نکات انجام شود تا پلتفرمی هماهنگ با خطمشیهای تجاری سازمان انتخاب شود. بهطور مثال، کسبوکارهایی که قابلیتهای احراز هویت پایه قوی مثل احراز هویت چند مرحلهای و ورود یکپارچه را نداشته باشند، برای مدیریت ابزارهای PAM با مشکل روبرو میشوند. سازمانی که این دو بخش و فرایندهای مدیریت هویت مناسب برای کارمندان را نداشته باشد، این توانایی را ندارد تا از تمامی قابلیتهایی که پلتفرمهای مدیریت و حاکمیت هویت ارائه میکنند به بهترین شکل استفاده کند. بهطور معمول، سازمانهای موفق بر مبنای مسیر احراز هویت،PAM/PIM و IGA گام بر میدارند».
نارش پرسود به سازمانها پیشنهاد میکند، هنگام ارزیابی فناوریهای احراز هویت به سادگی از کنار مقیاسپذیری نصب و سازگاری فناوری با تمامی برنامههای کاربردی مورد استفاده در محیط کاری، کاربران و خطوط کسبوکارشان غافل شوند. او میگوید: «ابزارهای IAM که توانایی صورت ادغام و اتصال به نرمافزارهای مختلف را دارند، به سازمان اجازه میدهند به شکل آزادنهتری فعالیتهای روزمره خود را انجام دهد. البته، دستیابی به چنین ارزشی کار سادهای نیست. از اینرو، یکی از چالشهای اصلی پیادهسازی یک پلتفرم IAM هماهنگسازی آن با راهحلهای رایج است. علاوه بر این، سازمانها میتوانند یک رویکرد پیشبینی کننده و تکثیرپذیر برای افزایش مقیاس عملیات خود انتخاب کنند. بهکارگیری یک مدل عملیاتی سرویسگرا نه تنها برای مقیاسبندی با پلتفرم IAM مفید است، بلکه به کارشناسان بخش امنیت و فناوری اطلاعات سازمان اجازه میدهد، مدیران کسبوکار و تمامی افرادی که در راستای تنظیم مقیاس IAM و تحقق ارزش این فناوری باید مشارکت داشته باشند را در جریان تمامی امور قرار دهند».
آشنایی با بهترین ابزارهای IAM
اکنون که تاحدودی با مفهوم IAM و ضرورت استفاده از آن در ارتباط با مدیریت احراز هویت کاربران و حسابهای آنها در سازمانها آشنا شدیم، وقت آن رسیده تا به معرفی ابزارهای IAM بپردازیم که مدیران ارشد عملیات امنیتی برای ارتقای قابلیتهای احراز هویت در سازمان به آنها نیاز دارند.
Avatier
Avatier از شرکتهای قدیمی فعال در زمینه مدیریت و ارائه سرویسهای فناوری اطلاعات و هلپدسک است. این شرکت بر مبنای سالها تجربه در زمینه ارائه ابزارهای مدیریت گذرواژهها و حسابهای کاربری، یک پلتفرم IGA جامع طراحی کرده و در اختیار سازمانها قرار داده است. این شرکت سرمایهگذاری قابل توجهی در زمینه خودکارسازی محصولاتش انجام داده و پلتفرم Identity Anywhere را به عنوان یک راهحل جامع احراز هویت که قابلیت استقرار در محیطهای ابری دارد را توسعه داده است. جدیدترین نسخه از این محصول قابلیت پشتیبانی از احراز هویت یکپارچه بدون نیاز به گذرواژه و یکپارچهسازی تجربیات کاربری در پلتفرمهای همکاری (مخصوص شرکتهایی که شرکای تجاری دارند)، ابر و موبایل از جمله اسلک، تیمز و ServiceNow را دارد. این ابزار امکان اتصال بیش از 90 سازمان و 5 هزار پلتفرم و نرمافزار تحت ابر را ارائه میکند و یک کانال ارتباطی ایمن و پر سرعت بدون نیاز به کدنویسی را در اختیار سازمانها قرار میدهد. یک ابزار کارآمد که امکان شخصیسازی آن وجود دارد. این پلتفرم جامع به تحلیلگران امنیت سایبری اجازه میدهد به شکل دقیقی وظایف روزانه خود را انجام دهند.
BeyondTrust
BeyondTrust یکی دیگر از شرکتهای موفق در زمینه ارائه راهحلهای PAM است که بر مبنای ابتکارات داخلی، موفق به طراحی یک ابزار کارآمد قدرتمند برای مدیریت حسابهای کاربری و مجوزهای دسترسی به محیط ابرهای شده است. علاوه بر این، ابزار PAM این شرکت امکان مدیریت متمرکز دسترسی از راه دور، مدیریت نقاط پایانی ماشینهای مبتنی بر سیستم عاملهای ویندوز، مک، یونیکس و لینوکس را از طریق فناوری Directory Bridge ارائه میکند. این شرکت فناوری Cloud Privilege Broker را به عنوان یکی از ابزارهای قدرتمند در زمینه مدیریت مجوزهای دسترسی به زیرساختهای ابری و ماشینهای مجازی توسعه دهد. این محصول که در گروه ابزارهای مدیریت حقوق زیرساختهای ابر (CIEM) سرنام cloud infrastructure entitlement management قرار میگیرد به کارشناسان شبکه و امنیت کمک میکند تا حقوق مربوط به محیطهای چند ابری را به شکل سادهای مدیریت کنند. BeyondTrust یک مکانیزم ارتباطی در ارتباط با تدوین الزامات قانونی و خطمشیها توسعه داده است. همین مسئله باعث شده تا موسسه گارتنر، آنرا یکی از مهمترین ابزارهای پیشرفته در زمینه مدیریت حسابهای کاربری توصیف کند. ابزاری که قابلیتهای مصورسازی و تولید گزارش را دارد. مشتریان میتوانند از طریق بسته تحلیلی BeyondInsight این شرکت از تحلیلهای پیشرفته استفاده کنند.
CyberArk
CyberArk یکی از بزرگترین شرکتهای فعال در زمینه عرضه ابزارهای مدیریت مجوزهای دسترسی به حسابهای کاربری است که طیف گستردهای از راهحلهای PAM را ارائه میکند. علاوه بر این ابزار فوق با مدل ارایه هویت و به شکل احراز هویت در قالب سرویس (IDaas) سرنام identity-as-a-service قابل استفاده است. این شرکت در سال 2020 میلادی با تصاحب شرکت Idaptiveموفق شد، محصولات و سرویسهای نرمافزاری خود را توسعه دهد. بهطوری که ابزار نهایی تولید شده توسط این شرکت قابلیتهای مختلفی مثل راهحلهای احراز هویت چند مرحلهای برای نقاط پایانی، احراز هویت یکپارچه کارمندان، مدیریت هویت مشتریان، راهحلهای احراز هویت بدون نیاز به گذرواژه و قابلیتهای خود سرویسدهی برای مدیریت حسابهای کاربری را دارد. محصولات این شرکت قابلیتهای تحلیلی قدرتمندی ارائه میدهند و امکان استفاده از آنها برای تکامل هر چه بیشتر طرحهای ارزیابی امنیت وجود دارد. علاوه بر این، شرکت مذکور قابلیتهای احراز هویت مبتنی بر ریسک RBA سرنام risk-based authentication را دارد که امکان سفارشیسازی سطوح مدیریت ریسک را ارائه میکند.
علاوه بر این، CyberArk مجموعهای غنی از ابزارهای مدیریت حسابهای کاربری ابرمحور که CIEM نام دارد را عرضه کرده است. این قابلیتها رتبهبندی ریسکها را که مناسب محیطهای چند ابری و بزرگ است، شامل میشود. موسسه تحقیقاتی فورستر در این ارتباط گفته است: « CyberAr در حوزه IDaaSیکی از انتخابهای مهم برای سازمانهایی است که به دنبال رویکردی مبتنی بر ریسک برای IDaaS هستند. پلتفرم این شرکت توانایی همگامشدن با ابزارهای مدیریت هویت را دارد».
ForgeRock
شرکت ForgeRock پلتفرم جامعی در ارتباط با مدیریت دسترسیهای کارمندان، مشتریان و شناسههای دستگاههای اینترنت اشیا را آماده کرده که امکان استفاده از آنها در قالب یک بسته کامل یا مجزا وجود دارد. ابزار ارائه شده توسط این شرکت شامل مولفههای مدیریت هویت قوی برای سازمانهایی است که به دنبال امکانات IGA مثل مدیریت چرخه حیات هویت هستند. محصولات ForgeRock به دلیل امکان استفاده از آنها با ابر و چارچوبهای قدرتمند REST API این شرکت، محبوبیت زیادی نزد توسعهدهندگان و مهندسان دوآپس دارد. البته، نکته منفی که در ارتباط با محصولات این شرکت وجود دارد، امکانات تحلیلی محدود آنها نسبت به دیگر شرکتها است، بهطوریکه قابلیتهای تحلیل رفتار کلاینتها و کاربران را ندارد.
Microsoft Azure Active Directory
مایکروسافت با ارائه محصول اکتیودایرکتوری مایکروسافت آژور که بیش از 300 هزار مشتری دارد، به سرعت تبدیل به یکی از بازیگران اصلی حوزه IAM تبدیل شده است. گارتنر، رشد سریع Azure AD را ناشی از ادغام مایکروسافت 365 و پلتفرم EMS سرنام Enterprise Mobility and Security میداند. این ادغام قدرتمند باعث افزایش افزایش دو برابری تعداد دفعات نصب این محصول از سوی کاربران شده است. همچنین، این محصول به سرعت و از طریق نوآوریهای مایکروسافت مجهز از هر دو فناوری IGA، PAM پشتیبانی میکند. لازم به توضیح است که پشتیبانی از فناوری CIEM پس از تصاحب شرکت CloudKnox Security به مجموعه محصولات این شرکت افزوده شده است. یکی از نقطه ضعفهای این محصول در ارتباط با ابزار IAM ویژه کاربران شخصی است. امکانات Azure AD برای این محصول، نسبت به محصولات پیشگامان در عرصه مدیریت سطح دسترسی محدودتر است.
منبع : techtarget