تواجه فرق الأمن صعوبة في الحفاظ على سيطرة متسقة مع تزايد التعقيد بسبب نمو السحابة المتعددة، وازدياد هويات الأجهزة، والتبني السريع للذكاء الاصطناعي. وتؤدي التكوينات المجزأة، والتطبيق غير المتساوي للسياسات، والوصول غير الخاضع للرقابة بين الأجهزة إلى توسيع الفجوة بين سرعة الأعمال والرقابة الأمنية.
في الوقت نفسه، تؤدي أنظمة الذكاء الاصطناعي المعتمدة والظلية إلى ظهور بيئات لصنع القرار تفتقر إلى الحوكمة السليمة. وتظل الضوابط الضعيفة أو المفقودة نقطة الفشل الرئيسية، ما يسلط الضوء على الحاجة إلى نهج موحد وآلي لتأمين الهويات وأحمال التشغيل والعمليات التي تعتمد على الذكاء الاصطناعي.
%36 من حالات خرق السحابة تعود إلى سبب أساسي واحد: التكوين الخاطئ.1
في بيئات السحابة المتعددة والبيئات الهجينة الحالية، سطح الهجوم هو البيئة نفسها. ومع توسع المؤسسات المالية، تعمل أربع قوى هيكلية باستمرار على إضعاف الوضع الأمني. وعندما تتحد هذه القوى، فإنها تُحدث ثغرات نظامية لم تُصمم الضوابط التقليدية القائمة على حدود الشبكة للتعامل معها.
تتجاوز هويات الأجهزة عدد البشر بكثير، وغالبًا ما تقع خارج نطاق نماذج الحوكمة، ما يحدث مخاطر مجهولة التبعية يصعب حصرها أو تدقيقها أو تبريرها أمام الجهات التنظيمية.
تطبق كل سحابة الضوابط بشكل مختلف، ما يؤدي إلى انحراف في التكوين وسياسات غير متساوية يصعب توحيدها وتنفيذها عبر البيئات.
جاي آر راو
زميل IBM والمدير التنفيذي للتكنولوجيا، قسم أبحاث الأمن، IBM
الهوية هي الحلقة الأضعف في السلسلة. بمجرد اختراقها، تنتهي اللعبة. ستحصل على كل الاستحقاقات والامتيازات وباب يتيح لك الدخول. “
في هذه المرحلة، من المنطقي أن نتساءل: هل لا تزال إستراتيجية الثقة الصفرية مناسبة للخدمات البنكية والمالية الحديثة؟
بالنسبة إلى IBM، فإن الإجابة واضحة: لقد تطورت إستراتيجية الثقة الصفرية من إطار عمل أمني إلى نموذج تشغيلي أساسي للمؤسسات الخاضعة للرقابة التي تعتمد على السحابة المتعددة.
لا تزال الركائز الأساسية كما هي: التطبيق المتسق، والتحقق المستمر، والرؤية الشاملة، لكن المؤسسات المالية لا تعاني من الإستراتيجية، بل من التنفيذ على نطاق واسع، وقابلية التدقيق، وإثبات السيطرة.
مع تولي البرامج والخدمات والوكلاء مزيدًا من المسؤولية، يجب أن تتطور إستراتيجية الثقة الصفرية. ويجب أن يمتد مبدأ الحد الأدنى من الصلاحيات ليشمل النماذج والوكلاء، بينما يجب أن يركز مبدأ افتراض الاختراق على التأمين المستمر، وليس عمليات التدقيق في نقطة زمنية محددة. تفشل العديد من الإستراتيجيات هنا لأن التقدم الحقيقي يعتمد على ضوابط يمكن إثباتها وتدقيقها والوثوق بها بشكل مستمر، وهي متطلبات تتوافق مباشرة مع التوقعات التنظيمية في قطاع الخدمات البنكية والمالية.
لكي تحقق إستراتيجية الثقة الصفرية وعدها، يجب تنفيذها من خلال نهج موحد قائم على الهوية يجعل السلوك الآمن قابلاً للقياس والإنفاذ والمراجعة بشكل افتراضي. وهنا يأتي دور IBM في مساعدة المؤسسات المالية على الانتقال من مفاهيم السياسات إلى الواقع التشغيلي.
لا تصبح إستراتيجية الثقة الصفرية عائقًا إلا عند تطبيقها بشكل قسري. أما عند دمجها في قرارات الهوية والوصول، يمكن أن تساعد على تسريع الأعمال مع تعزيز قابلية التدقيق والرقابة التنفيذية. وبالنسبة إلى البنوك والمؤسسات المالية، يعني هذا تقديم خدمات رقمية أسرع من دون زيادة المخاطر الإشرافية.
يتطلب تحويل مبادئ الثقة الصفرية من كونها نظرية لإدخالها في العمليات اليومية مجموعة من القدرات التي تعمل بصورة مشتركة، وليس بمعزل عن بعضها.
المصادقة والتفويض
الهويات البشرية
يتنقل المستخدمون باستمرار عبر منصات البرمجيات كخدمة والأنظمة الداخلية والبنية التحتية السحابية ومسارات التطوير، ما يؤدي إلى إعاقة العمل وبروز مخاطر غير مدارة عند غياب طبقة هوية موحدة. من دون أساس متسق للهوية، يصبح كل انتقال قرار وصول جديدًا وسياسة جديدة وفرصة جديدة لإعاقة العمل أو حدوث مخاطر.
تعالج إستراتيجية الثقة الصفرية هذه المشكلة من خلال ربط وصول المستخدمين بمصدر هوية موحد. ومن خلال التكامل مع مزودي الهوية الحاليين، مثل Active Directory أو Okta أو Ping أو LDAP، يمكن للبنوك والمؤسسات المالية فرض المصادقة متعددة العوامل (MFA) المقاومة للتصيد الاحتيالي، وإصدار رموز مميزة قصيرة الأجل، واتخاذ قرارات وصول تتكيف مع المخاطر، مع دمج الإشارات السلوكية وحالة الجهاز في الوقت الفعلي.
مع انتقال المستخدمين بين البيئات المختلفة، تنتقل السياسات معهم. وبدلاً من إعادة المصادقة عبر ضوابط منفصلة، يُقيم الوصول بشكل متسق، ما يغلق مسارات الحركة الجانبية الشائعة، ويحد من تشتت الحسابات، ويمنح فرق الأمن السيطرة من دون إعاقة عمل المطورين.
ومع وجود هذا الأساس، تُدار الهويات في مكان واحد، وتُفرض المصادقة متعددة العوامل بشكل افتراضي، ويُحكم الوصول إلى البيئات والمسارات من خلال أدوار واضحة، وتحدث عمليات العزل والموافقات تلقائيًا في الخلفية — ومن ثَم يتحرك الموظفون بشكل أسرع، بينما تقلل المؤسسة من التعرض للمخاطر.
هويات الأجهزة
تفوق هويات الأجهزة الآن الهويات البشرية بفارق كبير، ما ينتج عنه مخاطر خفية تزداد سوءًا عندما تفتقر للحوكمة السليمة. تشكل الأسرار طويلة الأمد، ومفاتيح واجهة برمجة التطبيقات غير المدارة، والثقة الضمنية بين الأنظمة، مخاطر خفية لكنها واسعة النطاق.
تتعامل إستراتيجية الثقة الصفرية مع هوية الجهاز كطبقة تحكم من الدرجة الأولى، وتفرض بيانات اعتماد قصيرة الأجل، وتدويرًا آليًا، وسياسة قائمة على البرمجة بشكل افتراضي. ويُطلب من أحمال التشغيل والمنصات ومراحل التكامل المستمر والنشر المستمر ووكلاء الذكاء الاصطناعي المصادقة قبل الوصول إلى الموارد، باستخدام بيانات اعتماد قصيرة الأجل ومحددة النطاق بدلاً من الأسرار الثابتة.
مع تحديد السياسة كبرمجية وفرضها تلقائيًا، تكتسب الفرق إمكانية التتبع الشامل من دون بذل جهد يدوي. وتصبح سجلات التدقيق مقاومة للتلاعب، ويمكن إثبات الامتثال باستمرار من خلال كيفية منح الوصول، ما يمنح البنوك والمؤسسات المالية الخاضعة للرقابة الأخرى سجلاً قابلاً للدفاع عنه شاملاً لقرارات الوصول.
في الممارسة العملية، تُصدر بيانات الاعتماد وتُدار تلقائيًا، ولا تُستدعى الأسرار إلا عند الحاجة، وتُدار شهادات أمن طبقة النقل بشكل شامل. وتمنح هذه الأنماط مجتمعة الأنظمة طريقة متسقة لإثبات هويتها والحد مما يمكنها الوصول إليه.
الوصول
التفاعل البشري
بنيت عمليات الوصول التقليدية إلى البنية التحتية حول الثقة الثابتة في الشبكة — الشبكات الخاصة الافتراضية، والخوادم الوسيطة المحصّنة، وبيانات الاعتماد الدائمة التي تبقى لفترة طويلة بعد انتهاء الحاجة إليها. تتسبب هذه النماذج في عوائق للمهندسين ونقاط عمياء لفرق الأمن.
تستبدل إستراتيجية الثقة الصفرية هذا النموذج بنظام ترخيص قائم على الجلسات. فبدلاً من منح وصول دائم، يصادق المهندسون على هويتهم، ويطلبون هدفًا محددًا، ويحصلون على رمز ترخيص مميز للاستخدام مرة واحدة. وتُمنح بيانات الاعتماد لكل جلسة وتُلغى تلقائيًا عند انتهاء تلك الجلسة.
ينتج عن ذلك تقليل الأذونات الدائمة ومشاركة كلمات المرور والأنفاق غير المدار. ويمكن للمهندسين الحصول على وصول سريع وجدير بالثقة من دون تأخير في إصدار التذاكر، بينما تحصل فرق الأمن على سجلات تدقيق شاملة وتسجيلات للجلسات عند الحاجة، ما يلبي توقعات التدقيق والمخاطر والإشراف من دون إحداث أي عوائق في سير العمل.
التفاعل بين الأجهزة
مع تزايد توزيع التطبيقات، يتحول الاتصال بين الخدمات إلى أحد أصعب المجالات التي يمكن تأمينها. لا تتوسع قوائم عناوين IP المسموح بها وحدود الشبكة عبر بيئات السحابة والبيئات الأخرى، كما أنها هشة بطبيعتها.
تطبق إستراتيجية الثقة الصفرية ضوابط قائمة على الهوية على كل اتصال بين الخدمات بشكل افتراضي. وبمجرد أن تصبح للخدمات هويات، تُفرض المصادقة والترخيص على كل مكالمة، ما يسمح بتطبيق قواعد الوصول بأدنى الصلاحيات بشكل متسق بغض النظر عن مكان تشغيل الخدمة.
يتيح هذا النهج ما يلي:
- استخدام بروتوكول أمن طبقة النقل المتبادل (mTLS) لتوفير دليل تشفيري على هوية الخدمة.
- سياسات حركة بيانات قائمة على الهوية تحدد مركزيًا الخدمات التي يجوز لها التواصل، والشروط المطلوبة، ما يلغي الاستثناءات الخاصة بكل بيئة التي تتسبب في انحراف معايير الثقة الصفرية.
- إصدار شهادات وتجديدها تلقائيًا، ما يحافظ على تحديث الأنظمة من دون الحاجة إلى عمليات تدخل يدوي، بينما يفرض التوجيه المعتمد على الهوية الوصول بأدنى الصلاحيات من البداية إلى النهاية.
حماية البيانات والتأمين المستمر
تفترض إستراتيجية الثقة الصفرية حدوث خرق — وهو مبدأ يتوافق مباشرة مع إدارة المخاطر البنكية والمالية الحديثة. خط الدفاع الأخير هو البيانات نفسها.
من خلال توسيع نطاق مبادئ الثقة الصفرية لتشمل طبقة البيانات، تتجاوز المؤسسات عمليات التدقيق الدورية لتصل إلى التأمين المستمر، وتفرض حماية البيانات باستمرار للحد من نطاق التأثير حتى في حال تعرض الهويات للخطر.
وهذا يشمل:
- التشفير كخدمة مع ضوابط وصول دقيقة.
- تشفير البيانات الشفاف المدعوم بمفاتيح مُدارة.
- الاكتشاف المستمر للأسرار المسربة أو غير المُدارة وعلاجها عبر المستودعات والصور والمسارات.
- فحص الامتثال المستمر باستخدام السياسة كبرمجية للكشف عن الانحراف مبكرًا وتفعيل المعالجة في حلقة مغلقة.
والنتيجة هي وضع أمني لم يعد فيه الامتثال مبادرة منفصلة، بل نتيجة قابلة للقياس لكيفية فرض الوصول وحماية البيانات يوميًا.
تسجل البنوك والمؤسسات المالية التي تنتقل من نموذج الثقة الصفرية القائم على حدود الشبكة إلى نهج حديث قائم على الهوية للأفراد والأجهزة وأحمال تشغيل الذكاء الاصطناعي عبر كل البيئات تحسنات تشغيلية ملموسة بالإضافة إلى تعزيز مستوى الأمن:
- تخفض المؤسسات التي تستخدم ضوابط مدعومة بالذكاء الاصطناعي والأتمتة تكاليف الاختراقات بمعدل 1.9 مليون دولار أمريكي في المتوسط.2
- كما يقلل الذكاء الاصطناعي والأتمتة من مدة الاحتواء بمقدار 80 يومًا مقارنة بالمؤسسات التي لا تستخدمهما.2
- تكتشف فرق الأمن الداخلية الآن 50% من الاختراقات (بزيادة عن 42% مقارنة بالعام الماضي).2
- يؤدي الكشف المبكر إلى خفض التكلفة مقارنة بالكشف عن الاختراق من قِبل أفعال المهاجمين.2
هذه النتائج ليست وليدة الصدفة. إنها نتيجة التعامل مع إستراتيجية الثقة الصفرية كنموذج تشغيلي. تزيل الأتمتة العوائق اليدوية لإدارة بيانات الاعتماد. وتحل السياسة الموحدة محل الضوابط الهشة وغير المترابطة عبر بيئات السحابة. كما أن الوضع الأمني القائم على الهوية والمتوافق مع متطلبات التنظيم والتدقيق الداخلي وحوكمة الذكاء الاصطناعي يمكّن الأمن من التحرك بسرعة الأعمال، لا إبطائها.
تعرف على كيفية تحديث البنك التجاري الدولي لإجراءاته الأمنية من خلال أتمتة ضوابط الهوية والوصول والبنية التحتية.
يتفق خبراء القطاع على أن إستراتيجية الثقة الصفرية هي الإستراتيجية الصحيحة، وقد أصبحت الآن المعيار السائد3 . تتعامل المؤسسات الرائدة مع هذه الإستراتيجية بصفتها نظامًا تشغيليًا، وليس غاية في حد ذاتها. فعندما يكون الأمن مدمجًا بشكل تلقائي في طريقة منح الوصول والتحقق منه ومراجعته، تتحرك الفرق بسرعة أكبر، وتصبح عمليات التدقيق أبسط، ويصبح الوضع الأمني الجدير بالثقة قابلاً للإثبات.
كوس لودفيكس
المدير التنفيذي لأمن المعلومات، IBM
توفر إستراتيجية الثقة الصفرية طريقة أفضل لمعالجة تعقيدات الأمن التي تواجه الشركات اليوم. “
الحواشي
1 CrowdStrike. تقرير التهديدات العالمي لعام 2024: أهم 5 تحديات لأمن السحابة في عام 2024 وكيفية التخفيف من حدتها.
2 IBM. تقرير تكلفة خرق البيانات لعام 2025.
3 وقد صاغ المعهد الوطني الأمريكي للمعايير والتقنية (NIST) هذا المفهوم رسميًا عندما نشر دليله الشهير " SP 800-207: بنية الثقة الصفرية" في عام 2020.