ضوابط الوصول هي السياسات والأدوات والعمليات التي تتحكم في وصول المستخدمين إلى البيانات الحساسة وأنظمة الكمبيوتر والمواقع وغيرها من الموارد.
تتحكم ضوابط الوصول المادية -مثل البوابات والأبواب المقفلة- في الوصول إلى المواقع الفعلية. أما ضوابط الوصول المنطقية -مثل أنظمة اكتشاف التسلل ومنعه- فتتحكم في الوصول إلى أنظمة الكمبيوتر. ويركِّز هذا المقال بشكل أساسي على ضوابط الوصول المنطقية.
في سياق إدارة الوصول، تُعرَف الكيانات التي تحتاج إلى الوصول باسم "الكيانات (Subjects)". وتشمل هذه الكيانات المستخدمين البشريين والهويات غير البشرية، مثل الروبوتات والتطبيقات وأعباء العمل المؤتمتة ووكلاء الذكاء الاصطناعي.
في الواقع، ومع التوسع الهائل في هذه الفئة الأخيرة -مدفوعًا بالانتشار المتزايد للبنية التحتية السحابية، وصعود عمليات التطوير، واعتماد أدوات الذكاء الاصطناعي المتقدمة- أصبحت الهويات غير البشرية محورًا رئيسيًا في ضوابط الوصول.
أما العناصر التي تحتاج الكيانات إلى الوصول إليها -مثل واجهات برمجة التطبيقات (APIs)، وإعدادات أنظمة التشغيل، والمعلومات الحساسة داخل قاعدة بيانات سحابية- فتُعرَف باسم "الكائنات (Objects)".
وعادةً ما يتم تطبيق ضوابط الوصول داخل شبكات المؤسسات من خلال إنشاء سياسات وصول وفرضها، وهي السياسات التي تحدِّد حقوق الوصول الخاصة بكل كيان داخل النظام. وتحدِّد سياسات الوصول إذا ما كان بإمكان الكيان الوصول إلى عنصر معين (مثل مستند)، وما الصلاحيات الممنوحة له تجاه هذا العنصر (على سبيل المثال: القراءة فقط، أو القراءة والكتابة، أو التحكم الإداري الكامل).
وتُعَد ضوابط الوصول أحد الركائز الأساسية لأمن الهوية.فعلى سبيل المثال، تعتمد بنى الشبكات القائمة على الثقة الصفرية على ضوابط وصول قوية لمنع الوصول غير المصرَّح به، مع تسهيل الوصول للمستخدمين المصرَّح لهم.وفي البيئات السحابية الحديثة، حيث أصبحت الهوية هي خط الدفاع الجديد، تؤدي ضوابط الوصول دورًا محوريًا في جهود الأمن الإلكتروني بشكل عام.
وفي المقابل، تمثِّل ضوابط الوصول أيضًا نقطة ضعف في العديد من الأنظمة. فقد جاءت ضوابط الوصول المعطلة في المرتبة الأولى ضمن قائمة OWASP Top 10 لأخطر مخاطر أمن تطبيقات الويب. ووفقًا لمؤشر IBM X-Force Threat Intelligence Index، فإن الهجمات القائمة على الهوية -التي يستولي فيها المهاجمون على حسابات مستخدمين شرعية لاستغلال امتيازات الوصول الخاصة بها- تمثِّل ما يقرب من ثلث حوادث الاختراق.
ولهذا، فعلى الرغم من أن إدارة الوصول تؤدي دورًا محوريًا في تعزيز الوضع الأمني للمؤسسات، تُشير البيانات المتاحة إلى أن هناك مجالًا واضحًا للتحسين.
انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.
تعتمد ضوابط الوصول عادةً على السياسات. حيث يقوم مسؤولو الأنظمة- بالتعاون مع الأطراف المعنية الآخرين عند الحاجة- بوضع سياسات وصول تحدِّد صلاحيات الكيانات المختلفة. ثم تقوم أنظمة ضوابط الوصول، مثل منصات إدارة الهوية والوصول (IAM) ومنصات إدارة الوصول المميز (PAM)، بفرض هذه السياسات الأمنية تلقائيًا.
وتستخدم أنظمة ضوابط الوصول عملية مكوَّنة من خطوتين: المصادقة والتفويض، للمساعدة على ضمان أن الكيانات التي تم التحقق منها فقط هي التي تستطيع الوصول إلى العناصر، وأن هذه الكيانات لا يمكنها تنفيذ سوى الإجراءات المصرَّح بها.
تحدِّد سياسات الوصول العناصر التي يمكن لكيان معين الوصول إليها: مثل حاويات S3 التي يستطيع المطور رؤيتها، أو واجهات برمجة التطبيقات التي يمكن للتطبيق استدعاؤها، أو مجموعات البيانات التي يمكن للنموذج اللغوي الكبير (LLM) استيعابها.كما تحدِّد هذه السياسات -وهو الأهم- ما الذي يمكن لكل مستخدم فعله داخل العنصر نفسه. فهل يمكن للنموذج اللغوي الكبير الكتابة داخل مجموعة البيانات؟ وهل يمكن للمطور تعديل إعدادات حاوية S3؟ تحدِّد سياسات الوصول الإجابة عن هذه الأسئلة.
ورغم أن هذه السياسات تختلف بطبيعة الحال من نظام إلى آخر -ومن مورد إلى آخر- فإن معظم المؤسسات تعتمد نموذجًا معروفًا لضوابط الوصول، مثل التحكم في الوصول القائم على الأدوار (RBAC) أو التحكم في الوصول القائم على السمات (ABAC). (للمزيد من المعلومات، راجِع "أنواع ضوابط الوصول").
وبغض النظر عن النموذج المستخدم، تتَّبع العديد من المؤسسات مبدأ الحد الأدنى من الامتيازات (Principle of Least Privilege)، وهو مبدأ ينص على منح المستخدمين الحد الأدنى فقط من الصلاحيات اللازمة لأداء مهامهم، مع سحب هذه الصلاحيات بمجرد انتهاء المهمة.
ويمكن "تخزين" سياسات الوصول داخل النظام بعدة طرق.
وعندما يرغب كيان ما في الوصول إلى مورد محميّ بواسطة نظام ضوابط وصول، فإنه يبدأ أولًا بالتحقق من هويته عبر عملية مصادقة.
وبالنسبة إلى المستخدمين البشريين، تتضمن المصادقة عادةً تقديم مجموعة من بيانات الاعتماد، مثل اسم المستخدم وكلمة المرور. ومع ذلك، تُعَد كلمات المرور من أضعف وسائل الاعتماد؛ لأن عناصر التهديد تستطيع بسهولة تخمينها أو سرقتها.
تعتمد معظم الأنظمة اليوم على وسائل أكثر قوة، مثل القياسات الحيوية والمصادقة متعددة العوامل (MFA). وتتطلب المصادقة متعددة العوامل تقديم دليلين أو أكثر لإثبات هوية المستخدم (مثل بصمة الإصبع ورمز لمرة واحدة يتم إنشاؤه عبر تطبيق مصادقة).
أما الأجهزة وأعباء العمل ووكلاء الذكاء الاصطناعي وغيرها من الهويات غير البشرية، فعادةً ما تستخدم بيانات اعتماد مثل الشهادات ومفاتيح التشفير للتحقق من هويتها. ورغم أن الكيانات غير البشرية لا يمكنها استخدام المصادقة متعددة العوامل، فإن حلول إدارة الأسرار تساعد على حماية بيانات اعتمادها من خلال التخزين الآمن داخل الخزائن الرقمية، والتدوير التلقائي، وغير ذلك من الإجراءات الأمنية.
أما التفويض (Authorization)، فهو عملية منح الكيان الذي تم التحقق منه المستوى المناسب من الوصول.
وتختلف آلية التفويض بحسب نظام ضوابط الوصول المستخدَم.
فعلى سبيل المثال، إذا كان النظام يعتمد على قائمة ضوابط وصول (ACL)، فإنه يتحقق من القائمة ثم يمنح الكيان الصلاحيات المحددة فيها.
أما إذا كان النظام يستخدم محرك سياسات، فإن المحرك يمنح المستخدم الامتيازات بناءً على سياق طلب الوصول.
وفي الأنظمة التي تعتمد على بروتوكول OAuth -وهو إطار تفويض مفتوح المعايير يمنح التطبيقات وصولًا آمنًا إلى الموارد المحمية الخاصة بالمستخدم النهائي- يتم منح التفويض عبر الرموز المميزة (Tokens).
ورغم أن كل عنصر داخل الشبكة يمكن أن يمتلك نظام ضوابط وصول خاصًا به، فإن هذا النهج لا يُعَد عادةً من أفضل الممارسات. إذ يمكن أن تؤدي الفجوات والاختلافات بين هذه الأنظمة إلى إنشاء ثغرات يستغلها المهاجمون - كما قد تمنع المستخدمين المصرَّح لهم من أداء مهامهم بالشكل المطلوب.
ولهذا، توصي جهات مثل National Institute of Standards and Technology (NIST) وOWASP بتطبيق نظام مركزي لضوابط الوصول، وغالبًا ما يكون جزءًا من نسيج الهوية الشامل.
وتعتمد هذه الأنظمة المركزية على تقنيات وأدوات مثل:
تساعد حلول إدارة الهوية والوصول (IAM) على تبسيط وأتمتة المهام الأساسية المتعلقة بضوابط الوصول. ورغم اختلاف القدرات من منصة إلى أخرى، فإن الميزات الشائعة تشمل خدمات الدليل ومهام سير عمل المصادقة والتفويض وإدارة بيانات الاعتماد وحوكمة الهوية.
أما أدوات إدارة الوصول المميز (PAM)، فتساعد على توفير وصول آمن للحسابات ذات الامتيازات العالية، مثل حسابات مسؤولي الأنظمة. وتستخدم أدوات PAM ميزات مثل خزائن بيانات الاعتماد وبروتوكولات الوصول الفوري لحماية هذه الحسابات المميزة من سوء الاستخدام غير المقصود والتهديدات الداخلية الخبيثة وعناصر التهديد الخارجية.
تسجيل الدخول الموحَّد (SSO) هو آلية مصادقة تُتيح للمستخدم تسجيل الدخول مرة واحدة باستخدام مجموعة واحدة من بيانات الاعتماد، ثم الوصول إلى عدة تطبيقات خلال الجلسة نفسها. ويُسهم تسجيل الدخول الموحَّد في تبسيط المصادقة، وتحسين تجربة المستخدم، وتعزيز الأمان عند تطبيقه بالشكل الصحيح.
وتشترط بعض المؤسسات على المستخدمين تسجيل الدخول إلى شبكة VPN الخاصة بالشركة للوصول إلى بيانات المؤسسة وبرامجها وغيرها من الموارد.وفي هذه الحالة، تعمل شبكة VPN كضابط وصول، حيث لا يمكن للمستخدمين الوصول إلى موارد المؤسسة إلا عبر هذه الشبكة المحددة، وليس عبر الإنترنت العام.
يمكن اعتبار ZTNA، إلى حد ما، النسخة القائمة على الثقة الصفرية من شبكات VPN. فهي توفِّر وصولًا عن بُعد إلى التطبيقات والخدمات، لكنها تربط المستخدم فقط بالموارد التي يمتلك صلاحية الوصول إليها، بدلًا من منحه اتصالًا بالشبكة بالكامل.
كما هو الحال في مجالات أخرى، بدأت المؤسسات بدمج أدوات الذكاء الاصطناعي التوليدي والوكيل ضمن أنظمة ضوابط الوصول الخاصة بها.
فعلى سبيل المثال، يمكن استخدام روبوتات المحادثة المعتمدة على الذكاء الاصطناعي التوليدي لتبسيط عمليات إدارة الهوية مثل توفير الوصول.ومن خلال تدريب روبوت محادثة قائم على نموذج لغوي كبير (LLM) على سياسات ضوابط الوصول الخاصة بالمؤسسة، وربطه بالمستندات والموارد المناسبة، يمكن للمؤسسة إنشاء أداة IAM آمنة للخدمة الذاتية. وعندما يحتاج مستخدمون جُدُد إلى الوصول إلى نظام معين، أو يحتاج المستخدمون الحاليون إلى تحديث صلاحياتهم، يمكنهم تقديم الطلب عبر روبوت المحادثة.
لنفترض أن إحدى المؤسسات تحتاج إلى إنشاء ضوابط وصول وفرضها على قاعدة بيانات سرية تحتوي على بيانات العملاء.
في البداية، سيحدد مسؤول النظام والأطراف المعنية الكيانات -سواء أكانت أشخاصًا أم تطبيقات أم وكلاء ذكاء اصطناعي- التي ينبغي أن تمتلك حق الوصول إلى قاعدة البيانات. فقد يقررون، على سبيل المثال، أن أي شخص يشغل دورًا في المبيعات أو التسويق يجب أن يكون قادرًا على الوصول إلى البيانات، إلى جانب برامج إدارة علاقات العملاء (CRM) وبرامج التسويق. كما يمكن أيضًا لوكلاء الذكاء الاصطناعي المملوكين لمستخدمين بشريين مصرَّح لهم الحصول على حق الوصول.
بعد ذلك، تحدِّد الأطراف المعنية الإجراءات التي يُسمح لكل مستخدم مصرَّح له بتنفيذها داخل قاعدة البيانات. فعلى سبيل المثال، قد يحتاج موظفو المبيعات إلى صلاحيات القراءة والكتابة؛ لأنهم يبنون علاقات طويلة الأمد مع العملاء ويتولون إدارتها. أما فِرق التسويق، فقد يُسمح لها بالقراءة فقط؛ لأنها تستخدم البيانات الديموغرافية للعملاء لدعم الحملات التسويقية.وقد تقرر المؤسسة أيضًا أن جميع وكلاء الذكاء الاصطناعي -بغض النظر عن الجهة المالكة لهم- يحصلون على صلاحية القراءة فقط، لضمان بقاء العنصر البشري ضمن دورة اتخاذ القرار عند تحديث قاعدة البيانات.
ولفرض سياسة الوصول هذه، تستخدم المؤسسة محرك سياسات مركزيًا يعتمد على منطق تفصيلي لضوابط الوصول. وبالإضافة إلى هوية المستخدم، يأخذ المحرك في الاعتبار عوامل سياقية عند تحديد إذا ما كان ينبغي الموافقة على طلب الوصول.
فعلى سبيل المثال، لنفترض أن أحد موظفي المبيعات يريد الوصول إلى قاعدة البيانات لتحديث عنوان البريد الإلكتروني لأحد العملاء. في البداية، يُثبت موظف المبيعات هويته من خلال تقديم عوامل المصادقة الصحيحة. بعد ذلك، يتم تقييم طلبه بواسطة محرك السياسات، الذي يأخذ في الاعتبار ما يلي:
وبناءً على هذه العوامل، تتم الموافقة على طلب الوصول الخاص بمندوب المبيعات.
ويمكن للمؤسسات تطبيق أنواع مختلفة من نماذج ضوابط الوصول بحسب احتياجاتها. تشمل الأنواع الشائعة ما يلي:
تُتيح أنظمة ضوابط الوصول التقديري (DAC) لمالكي الموارد تحديد قواعد الوصول الخاصة بهذه الموارد. بل ويمكن لمالكي الكائنات منح امتيازات إدارية لمستخدمين آخرين ضمن نموذج DAC. فإذا منح مالك أحد الكائنات مستخدمًا آخر صلاحيات إدارية، يصبح بإمكان هذا المستخدم أيضًا تحديد قواعد الوصول الخاصة بذلك العنصر.
تفرض أنظمة ضوابط الوصول الإلزامي (MAC) سياسات وصول يتم تحديدها مركزيًا على جميع المستخدمين.
وغالبًا ما تعمل هذه الأنظمة من خلال مستويات التصريح الأمني، كما هو الحال في الجهات الحكومية أو العسكرية. إذ يحصل كل كيان على مستوى تصريح معين، بينما يمتلك كل عنصر مستوى تصنيف أو درجة تصريح مقابلة. ويمكن للكيانات الوصول إلى أي عناصر تقع ضمن مستوى التصريح الخاص بها أو أدنى منه.
ورغم أن جميع ضوابط الوصول إلزامية بمعنى أن كل كيان يجب أن يلتزم بها، فإن مصطلح "الإلزامي" في MAC يُشير إلى أن المستخدمين الأفراد لا يمكنهم تعديل الصلاحيات أو منحها. وتتم مقارنة MAC عادةً بنموذج DAC التقديري، حيث يمتلك مالكو الكائنات القدرة على التحكم في قواعد الوصول الخاصة بعناصرهم.
في ضوابط الوصول القائم على الأدوار (RBAC)، تعتمد امتيازات المستخدمين على أدوارهم داخل المؤسسة.
ولا تُعَد الأدوار في نظام RBAC مطابقة بالضرورة للمسميات الوظيفية، رغم أنه قد يكون هناك تطابق مباشر بينهما في بعض التطبيقات. لكن المقصود بكلمة "دور" هنا هو ما يقوم به الشخص داخل المؤسسة - والصلاحيات التي يحتاج إليها لتنفيذ هذه المهام. ويتم تحديد أدوار RBAC بناءً على عدة معايير، تشمل المسميات الوظيفية ومستويات المهارة والمسؤوليات وغير ذلك.
فعلى سبيل المثال، لنفترض أن مسؤولي الأنظمة يقومون بتحديد الصلاحيات الخاصة بجدار حماية الشبكة. في هذه الحالة، لن يمتلك موظف المبيعات أي صلاحية وصول إليه. أما محلل الأمن المبتدئ، فقد يُسمح له بعرض إعدادات جدار الحماية دون تعديلها، بينما قد يمتلك المحلل الأعلى مستوى صلاحيات إدارية كاملة. وقد يُسمح لواجهة برمجة التطبيقات الخاصة بنظام إدارة المعلومات والأحداث الأمنية (SIEM) المتكامل بقراءة سجلات نشاط جدار الحماية.
ويُعَد RBAC أحد نموذجَي ضوابط الوصول اللذين توصي بهما OWASP.
أما النموذج الثاني من نماذج ضوابط الوصول الذي توصي به OWASP، فهو التحكم في الوصول القائم على السمات (ABAC)، والذي يستخدم محرك سياسات لتحليل سمات كل طلب وصول في الوقت الفعلي. ولا تتم الموافقة إلا على الطلبات التي تستوفي المعايير المحددة.
وبشكل عام، تُشير "السمات" إلى الخصائص المرتبطة بالكيانات والكائنات والإجراءات المشاركة في طلب الوصول. وقد تشمل السمات أمورًا مثل اسم المستخدم ودوره، ونوع المورد، ومستوى خطورة الإجراء المطلوب، ووقت تقديم الطلب.
فعلى سبيل المثال، في نظام ABAC، قد يُسمح للمستخدمين بالوصول إلى البيانات الحساسة فقط خلال ساعات العمل، وفقط إذا كانوا يمتلكون مستوى معينًا من الأقدمية الوظيفية.
ويكمن الفرق بين RBAC وABAC في أن ABAC يحدد صلاحيات الوصول بشكل ديناميكي عند وقت كل طلب، استنادًا إلى عدة عوامل وسياقات مختلفة. أما RBAC، فيمنح الصلاحيات بشكل صارم وفق أدوار مستخدمين محددة مسبقًا.
ضوابط الوصول القائم على القواعد (RuBAC) هو نظام يعتمد فيه الوصول على قواعد شرطية وسياقية. فعلى سبيل المثال: إذا تم تقديم طلب من الكيان X في الوقت Y، تتم الموافقة عليه.
ويُعَد مصطلح "ضوابط الوصول القائم على القواعد" مصطلحًا غير دقيق وقديمًا إلى حد ما. ففي كثير من الأحيان، يُستخدم كمترادف لمصطلح ABAC، أو للإشارة إلى أشكال أقدم وأقل تطورًا من ABAC. وفي بعض الحالات، يُستخدم لوصف أنظمة RBAC التي تمرر طلبات الوصول عبر طبقة إضافية من المنطق (الأدوار + القواعد).
تُعَد ضوابط الوصول جوهر أمن المؤسسات بأكثر من طريقة. فقد صنّفتها OWASP باعتبارها أكبر المخاطر عند تعطلها، وفي الوقت نفسه أهم ضابط أمني استباقي عند تطبيقها بشكل صحيح.
ويمكن لضوابط الوصول الفعَّالة أن تساعد على حماية أصول المؤسسة، وإطلاق القيمة الكاملة لبيانات المؤسسة، وتأمين وتمكين تقنيات وكلاء الذكاء الاصطناعي الناشئة. أما ضوابط الوصول الضعيفة، فقد تقوِّض جميع هذه الجهود وتفتح الباب على مصراعيه أمام المخترقين.
تُعَد ضوابط الوصول عنصرًا أساسيًا في الأمن الإلكتروني نفسه؛ لأن الهوية أصبحت اليوم محور جهود الأمن الحديثة.
فمتوسط الشبكات المؤسسية يستضيف عددًا متزايدًا من المستخدمين البشريين وغير البشريين، الموزعين عبر مواقع مختلفة، والذين يحتاجون إلى وصول آمن إلى التطبيقات والموارد المحلية والسحابية على حد سواء.
ولم تَعُد التدابير الأمنية المعتمدة على حدود الشبكة فعَّالة في هذه البيئات. وبدلًا من ذلك، تركِّز المؤسسات ضوابطها الأمنية على المستخدمين والموارد بشكل فردي - أو وفق مصطلحات إدارة الوصول، على الكيانات والكائنات.
فعلى سبيل المثال، لنأخذ نهج الثقة الصفرية في أمن الشبكات. فبدلًا من مصادقة المستخدم مرة واحدة فقط، يعمل نموذج الثقة الصفرية على مصادقة كل طلب وصول يصدر من كل مستخدم. وبمعنى آخر: يمر كل طلب عبر طبقة ضوابط الوصول.
فكّر أيضًا في كيفية دعم ضوابط الوصول لـمربع CIA الثلاثي في أمن المعلومات:
يمكن أيضًا لضوابط الوصول أن تساعد المؤسسات على تحقيق قيمة أكبر من البيانات المملوكة لها مع الحفاظ على أمان البيانات.
وفقًا لدراسة كبار مسؤولي البيانات (CDO) لعام 2025 الصادرة عن IBM Institute for Business Value، فإن 78% من كبار مسؤولي البيانات (CDOs) يقولون إن الاستفادة من البيانات المملوكة تُعَد هدفًا استراتيجيًا لتمييز مؤسساتهم عن غيرها. كما يرى 82% من كبار مسؤولي البيانات أن البيانات "تذهب هدرًا" إذا لم يتمكن الموظفون من استخدامها بسهولة في اتخاذ قرارات تعتمد على البيانات.
وتزداد أهمية الوصول الآمن إلى البيانات مع انضمام وكلاء الذكاء الاصطناعي إلى القوى العاملة الرقمية. فالوكلاء يحتاجون إلى بيانات المؤسسة للعمل بكفاءة وفاعلية.
وتساعد ضوابط الوصول الفعَّالة كلًا من المستخدمين البشر ووكلاء الذكاء الاصطناعي على الوصول الآمن إلى بيانات المؤسسة لاستخدامات مصرَّح بها. وبحسب دراسة CDO، فإن كبار مسؤولي البيانات في المؤسسات التي تحقق عائدًا أعلى على استثمارات الذكاء الاصطناعي والبيانات يستخدمون عادةً آليات أمان مثل RBAC لإدارة وصول المستخدمين إلى بيانات المؤسسة.
في إحدى حلقات بودكاست Security Intelligence من IBM، وصف Dave McGinnis، الشريك العالمي ضمن مجموعة إدارة التهديدات الإلكترونية في IBM، وكلاء الذكاء الاصطناعي بأنهم "أكثر التهديدات الداخلية فائدة". وكان يقصد بذلك قدرة الوكلاء على تحقيق فوائد كبيرة وفي الوقت نفسه التسبب في مخاطر كبيرة.
ولإنجاز مهام حقيقية، يحتاج الوكلاء إلى وصول ذي صلاحيات عالية إلى أنظمة وبيانات المؤسسة. لكن هؤلاء الوكلاء أيضًا غير حتميين، ودون ضوابط مناسبة يمكنهم استخدام صلاحياتهم بطرق جديدة وغير مضمونة بالكامل.
وكما أوضح Seth Glasgow، المستشار التنفيذي في Cyber Range التابعة لشركة IBM، في بودكاست Security Intelligence، فإن الاستخدام المدروس لضوابط الوصول يُعَد عنصرًا أساسيًا لتمكين وكلاء الذكاء الاصطناعي مع تقليل مخاطر إساءة استخدام الصلاحيات:
الإعداد الافتراضي لنشر [وكيل ذكاء اصطناعي] هو أنه يمكنه رؤية كل شيء، أليس كذلك؟ إنه وكيل واحد يتحكم في كل شيء، إن صح التعبير. ...لكن بهذا الشكل، أكون قد أنشأت أصلًا عالي القيمة جدًا. هذا التطبيق يصبح قادرًا على الوصول إلى كمية كبيرة من البيانات الحساسة.
لذلك أول خطوة يجب أن نفعلها من منظور إدارة الهوية والوصول (IAM) هي البدء بتقسيم هذا الوصول.لا نحتاج إلى وكيل واحد يفعل كل ذلك. يجب أن يكون الأمر مرتبطًا بشكل أفضل بحالة الاستخدام المحددة، وأن تكون الصلاحيات مرتبطة مباشرةً بما يجب أن يفعله هذا الوكيل.
تعود أسباب شيوع ضوابط الوصول المعطّلة إلى ثلاثة عوامل رئيسية: الإفراط في منح الصلاحيات، وغياب المركزية، وعيوب التصميم.
من الشائع أن تمنح المؤسسات الكيانات مستويات صلاحيات أعلى مما تحتاجه فعليًا، وذلك لضمان عدم حدوث أي عوائق أثناء العمل. ويكون الإفراط في منح الصلاحيات شائعًا بشكل خاص مع الهويات غير البشرية المستخدمة في أتمتة مهام سير العمل؛ لأن المؤسسات عادةً ما تسعى إلى جعلها تعمل بأقل قدر ممكن من التدخل.
ويمكن لضوابط الوصول الفعَّالة -مثل RBAC وABAC- أن تساعد على مواءمة تجربة المستخدم مع العمليات التشغيلية واحتياجات الأمن. وبدلًا من الإفراط في منح الصلاحيات، تعمل المؤسسات على تحديد مستويات الوصول بدقة وفق ما يحتاجه كل كيان - لا أكثر ولا أقل.
في الأنظمة التي تفتقر إلى ضوابط وصول مركزية، قد يمتلك كل كائن أنظمة تحكم مختلفة. وقد تؤدي الفجوات بين هذه الأنظمة إلى منع الكيانات من الوصول إلى الموارد التي يحتاجون إليها، كما أن وجود نقطة ضعف واحدة قد يعرِّض الشبكة بالكامل للخطر.
ومن خلال تنفيذ نسيج هوية شامل واستخدام أدوات تنسيق الهوية لدمج الأنظمة المختلفة، يمكن للمؤسسات سد الثغرات الأمنية مع تبسيط الوصول للمستخدمين المصرَّح لهم.
وأخيرًا، وكما تُشير OWASP، فإن التطبيقات غالبًا ما تحتوي على عيوب تصميمية في أنظمة ضوابط الوصول الخاصة بها. وقد تشمل هذه العيوب مشكلات مثل إمكانية تجاوز الضوابط عبر تعديل رابط URL، أو غياب ضوابط واجهات برمجة التطبيقات، أو رموز JSON Web Tokens غير المؤمَّنة والمعرَّضة للتلاعب.
ويمكن لإجراءات مثل تدريب المطورين وفرض متطلبات صارمة لضوابط الوصول وممارسات DevSecOps أن تساعد المؤسسات على بناء أمن الهوية مباشرةً داخل التطبيقات.