الخطوة التالية في الأمن السيبراني: "الثقة المعدومة"

ذات مرة، تجولنا في العالم الرقمي. كان لدى الشركات ضوابط أمنية محيطية (لحماية شبكتها وبياناتها، وبمجرد أن تمسح حركة المرور نقطة التفتيش الفردية أو "الجدار الحدودي\ border wall “، يمكنها الاتصال بحرية داخل الشبكة دون مزيد من عمليات الفحص. هذا عمل بشكل جيد لبعض الوقت. ولكن نظرًا لأن الإنترنت والشبكات أصبحت أكثر تعقيدًا، وتوزيعًا، ويوجد مخاطر بطبيعتها -خاصة مع الترحيل إلى السحابة -لم يعد بإمكان الشركات الاعتماد على حارس البوابة وعمليات التحقق لمرة واحدة بعد الآن. يتطلب انفجارنا الحديث للأجهزة وعملنا المعقد على الويب للشبكات المترابطة ضوابط أمنية أكثر ذكاءً وموثوقية -عندما أصبح عالمًا تنعدم فيه الثقة، اعتمدنا فلسفة انعدام الثقة.

الثقة المعدومة هي مفهوم وإطار عمل للأمان قدمته Forrester Research منذ سنوات: "لا تثق أبدًا، تحقق دائمًا." لتحقيق أمان الثقة الصفري، هناك ثلاثة مبادئ توجيهية، كما حددتها شركة البرمجيات Varonis:

  1. طلب وصول آمن وموثق إلى جميع الموارد: مصادقة وتحقق من جميع محاولات الوصول إلى الشبكة، بافتراض أنها تشكل تهديدات حتى يثبت العكس).
  2. اعتماد نموذج أقل امتيازًا وفرض التحكم في الوصول: تقييد وصول المستخدم إلى الوصول الذي يحتاجه كل شخص للقيام بعمله، وبالتالي الحد من نطاق الانتهاك المحتمل.
  3. قم بفحص وتسجيل جميع الأنشطة باستخدام تحليلات أمان البيانات: تقديم خطوط أساسية فردية مناسبة لكل حساب مستخدم والتي ستكتشف السلوكيات غير الطبيعية بناءً على القياس عن بُعد والوصول إلى البيانات وسلوك حساب المستخدم).

باختصار، انعدام الثقة يتطلب من جميع المستخدمين، داخل وخارج الشبكة (سواء كانت محلية، أو في السحابة، أو مختلطة)، أن تتم مصادقتهم وترخيصهم والتحقق من صحتهم بشكل مستمر لتكوين الأمان ووضعيته قبل منحهم الوصول إلى التطبيقات والبيانات. للتحقق من هوية المستخدم ودعم أمان الشبكة، يعتمد هذا الإطار على التقنيات المتقدمة -مثل المصادقة متعددة العوامل، وحماية الهوية، وتكنولوجيا أمان نقطة النهاية، وما إلى ذلك -لتحقيق رؤية في الوقت الفعلي لبيانات اعتماد المستخدم وسماته. تصبح هذه الطبقة الإضافية من الحماية أكثر أهمية مع زيادة الشركات لنقاط نهاية الشبكة الخاصة بها، وتوسيع بنيتها التحتية، وتتعرض لهجمات متزايدة التعقيد من قبل بيانات الاعتماد المارقة (من الداخل أو المخترقة).

 

أمان أكبر وتدقيق أفضل

يعتمد التأسيس الناجح لعدم الثقة على مدى سرعة وفعالية كل مؤسسة في تنفيذ حلول أمان شاملة ومتعددة السحابة ودعم المنهجيات المطلوبة. نظرًا للمخاطر الإضافية عند التعامل مع أي عمليات نشر سحابية، يجب أن يظل أمان نقطة النهاية في مقدمة اهتماماتك أثناء عمليات الترحيل هذه لتلبية نماذج الامتثال مثل GDPR وNIST Cybersecurity Framework.

 

لحماية البيانات -وخاصة البيانات السحابية -تسرد قائمة مراجعة تدقيق الأمان المكونة من 10 نقاط لشركة البرمجيات MobileIron أفضل الممارسات لتصميم إطار عمل لأمن البيانات والتحكم في الوصول على كل نقطة نهاية عبر المؤسسات التي لا حدود لها: منهم:

  • فرض تشفير الجهاز والحماية بكلمة مرور.
  • منع تطبيقات الأعمال من مشاركة البيانات مع التطبيقات الشخصية.
  • حذف بيانات الأعمال تلقائيًا من الأجهزة المعرضة للخطر.
  • منع الأجهزة غير المصرح بها من الوصول إلى الخدمات السحابية للأعمال.
  • توفير عناصر تحكم أمنية غنية عبر مجموعة متنوعة من أنظمة التشغيل المختلفة (على سبيل المثال، تدعم أنظمة Android و iOS و macOS و Windows 10 الآن حلول الأمان الموحدة عبر الأنظمة الأساسية).
  • شهادة لأمان السحابة (على سبيل المثال، SOC 2 Type 2 وFedRAMP).
  • شهادة لأمان الجهاز (على سبيل المثال، ملف تعريف حماية المعايير العامة لإدارة الأجهزة المحمولة).

بالفعل هي نعمة للأمن الداخلي، فإن تنفيذ الشركة للثقة الصفرية يتوقع أيضًا بشكل إيجابي عندما يتعلق الأمر بالتدقيق. تقضي الثقة الصفرية على كوابيس تنفيذ أدوات الأمان التقليدية، ولكنها توفر ضوابط دقيقة يبحث عنها ممارسو الأمن، ويحتاج مدققو التدقيق، ومرونة الشبكة التي يريدها مشغلو تكنولوجيا المعلومات.

من خلال توفير الرؤية والأتمتة بطبيعتها، تعمل الثقة الصفرية على تبسيط الامتثال من خلال التقييم أولاً ثم تسجيل كل طلب وصول (بالتفصيل). أدوات التنظيم التي تعمل بالفعل للكشف عن سلوك المستخدم المشبوه أو التهديدات الإلكترونية المحتملة تخلق أيضًا سلسلة من الأدلة السهلة التي تمهد مسار تدقيق سلس.

نظرًا لأن كل أصل في مثل هذه الشبكة يتم "أخذ بصماته" قبل السماح به في النظام (وأن كل عنصر يتم إعادة التحقق منه باستمرار)، فإن شبكات الثقة الصفرية تمكن المؤسسات من إظهار كيفية الوصول إلى بياناتها وجمعها واستخدامها بسهولة. كما أنه يشجع على عنصر حاسم آخر لتدقيق البيانات وأمن الأنظمة: تخطيط تدفق البيانات، أو فهم مكان وجود بيانات المؤسسة، وكيف وماذا تتواصل.

تدعم هذه الرؤية الفائقة التي توفرها شبكة عدم الثقة مبادرات الامتثال وتمكن المدققين من تحقيق رؤية أفضل حول كيفية ومكان تدفق البيانات، وكيفية حماية المستخدمين وأعباء العمل، وكيفية تأمين النظام بشكل عام.

تم تحديد فوائد هذا النهج بوضوح -يساعد مقدار الشفافية والتحكم الدقيق الذي يسمح به انعدام الثقة في التخفيف من مخاطر الانتهاكات الأمنية والاستغلال، فضلاً عن نتائج التدقيق السلبية. من المنطقي أنه مع استمرار تطور الإنترنت، مع تحول المزيد والمزيد من العمليات إلى البدائل الرقمية، فإن التركيز على حماية البيانات سيزداد فقط ويجب مناقشة منهجية انعدام الثقة على الإطلاق كخيار لكل مؤسسة.

 

قراءة 498 مرات آخر تعديل في الإثنين, 11 أكتوبر 2021 19:51

الموضوعات ذات الصلة

سجل الدخول لتتمكن من التعليق

 

في المحاسبين العرب، نتجاوز الأرقام لتقديم آخر الأخبار والتحليلات والمواد العلمية وفرص العمل للمحاسبين في الوطن العربي، وتعزيز مجتمع مستنير ومشارك في قطاع المحاسبة والمراجعة والضرائب.

النشرة البريدية

إشترك في قوائمنا البريدية ليصلك كل جديد و لتكون على إطلاع بكل جديد في عالم المحاسبة

X

محظور

جميع النصوص و الصور محمية بحقوق الملكية الفكرية و لا نسمح بالنسخ الغير مرخص

We use cookies to improve our website. By continuing to use this website, you are giving consent to cookies being used. More details…