ما المقصود بأمن الهوية؟

مع تبنّي المؤسسات للخدمات السحابية، ودعم العمل عن بُعد، وإدارة نقاط نهاية وتطبيقات متنوعة، تصبح حدود الشبكة أقل وضوحًا وتفقد الدفاعات القائمة على المحيط فاعليتها. أصبحت الهويات الرقمية -وهي الملفات التعريفية التي تمثِّل المستخدمين أو الأجهزة أو التطبيقات داخل النظام- عنصرًا أساسيًا في الحفاظ على أمن البيانات.

وفقًا تقرير IBM حول تكلفة اختراق أمن البيانات ، فإن بيانات الاعتماد المسروقة أو المخترقة هي ناقل هجوم شائع، مسؤول عن 10% من اختراقات أمن البيانات. عندما يحصل المتسللون على بيانات اعتماد المستخدمين، يستخدمونها للاستيلاء على الحسابات الشرعية وإساءة استخدام صلاحياتها. 

يساعد أمن الهوية في ضمان وصول المستخدمين المصرح لهم فقط إلى الموارد المحددة، مع تقليل مخاطر الهجمات القائمة على الهوية وبيانات الاعتماد.

من خلال أمان الهوية الفعَّال، يمكن للمؤسسات تقليل الثغرات، وتحسين الكفاءة التشغيلية، والحماية من التهديدات الإلكترونية مثل هجمات التصيد الاحتيالي واختراقات أمن البيانات.

تاريخيًا، كانت المؤسسات تحمي أنظمتها وبياناتها من خلال إنشاء حدود شبكة آمنة مدعومة بأدوات مثل جدران الحماية، والشبكات الخاصة الافتراضية (VPN)، وبرامج مكافحة الفيروسات. كان هذا "السياج الرقمي" يفترض أن كل ما هو داخل شبكة المؤسسة موثوق به، في حين يجب حظر كل ما هو خارجها.

لكن مع التحول الرقمي، اختفت تلك الحدود المنظمة. مع اعتماد المؤسسات للعمل عن بُعد، والبيئات الهجينة ومتعددة السُحب، وأدوات البرمجيات كخدمة (SaaS) من جهات خارجية، فقدت شبكة المؤسسة وضوح حدودها، بحيث لم تَعُد الحماية التقليدية القائمة على المحيط فعَّالة.

تغيَّرت استراتيجيات الأمن أيضًا، من حماية أصول الشبكة إلى حماية الوصول، ما جعل الهويات الرقمية محور الأمن الإلكتروني. لم يَعُد السؤال هو "ما الشبكة التي تتصل بها؟" بل أصبح "من أنت؟ وهل لديك الحق في الوصول إلى هذا المورد؟".

وقد تكيَّفت عناصر التهديد أيضًا مع ذلك. فبدلًا من اختراق جدران الحماية، بدأت باستهداف الهويات مباشرةً من خلال التصيد الاحتيالي، وسرقة بيانات الاعتماد، واختطاف الجلسات لانتحال شخصيات المستخدمين وتصعيد الامتيازات. وفقًا لمؤشر IBM® X-Force Threat Intelligence Index، تُعَد إساءة استخدام الحسابات الصالحة من أكثر الطرق شيوعًا التي يستخدمها المتسللون لاختراق شبكات المؤسسات، حيث تمثل 30% من الهجمات الإلكترونية.

في هذا السياق، برز أمن الهوية كفرع مستقل من الأمن الإلكتروني، يركِّز على حماية الهويات الرقمية، وما يرتبط بها من صلاحيات وصول، من السرقة وسوء الاستخدام والانتهاك. 

يستند أمن الهوية إلى إدارة الهوية والوصول (IAM)، وهي إطار عمل أمني لإدارة هويات المستخدمين والتحكم في الوصول إلى الأنظمة والبيانات. وهو يُضيف قدرات الحماية والكشف والاستجابة، مع تركيز خاص على تأمين الهويات الرقمية.

بعبارة أخرى، لا يُعَد أمن الهوية بديلًا عن إدارة الهوية والوصول (IAM)، بل يوسِّع نطاقها بقدرات مثل المراقبة المستمرة، وتطبيق الوصول بحسب السياق، والاستجابة التلقائية للأنشطة المشبوهة. فبينما تحدِّد إدارة الهوية والوصول (IAM) من يملك حق الوصول، يضمن أمن الهوية بقاء هذا الوصول آمنًا.

يشكِّل كلٌّ من أمن الهوية وإدارة الهوية والوصول (IAM) معًا الأساس لحلول أمان الهوية الحديثة، ما يساعد المؤسسات على تأمين الهويات الرقمية، وإدارة صلاحيات المستخدمين، والتصدي للتهديدات الإلكترونية القائمة على الهوية.

يُعَد أمن الهوية مجالًا يدمج عدة أدوات وممارسات متخصصة في برنامج موحَّد لحماية الهويات الرقمية طوال دورة حياتها. يُتيح إطار العمل الأمني الشامل هذا للمؤسسات تبسيط إدارة الوصول مع الحفاظ على حماية قوية للبيانات.

تتضمن العناصر الرئيسية لأمن الهوية ما يلي:

• الهويات الرقمية
• آليات المصادقة
• التحكم في الوصول
• حوكمة الهوية وإدارتها (IGA)
• الكشف عن تهديدات الهوية والاستجابة لها (ITDR)

تُعَد الهويات الرقمية حجر الأساس في أمن الهوية. فهي تمثِّل المستخدمين والأجهزة والتطبيقات داخل أنظمة المؤسسات.

يحمي أمن الهوية هذه الكيانات الرقمية من الوصول غير المصرَّح به، حتى لا تتمكن الجهات الخبيثة من استغلال صلاحياتها لسرقة البيانات أو الإضرار بالأصول أو التسبب في أضرار أخرى. 

تشمل الأنواع الشائعة من الهويات ما يلي:

• هويات المستخدمين: تمثيلات رقمية للمستخدمين البشر، تتضمن سمات مثل الاسم، والدور، والقسم، وصلاحيات الوصول.

• هويات الأجهزة: الهويات المرتبطة بالكيانات مثل التطبيقات والخدمات وأجهزة إنترنت الأشياء.

• حسابات الخدمات: حسابات مخصصة تُستخدَم من قِبَل التطبيقات للتفاعل مع الأنظمة والخدمات الأخرى. على سبيل المثال، قد يستخدِم أحد حلول التعافي من الكوارث حساب خدمة لسحب النسخ الاحتياطية من قاعدة البيانات كل ليلة. 

مع توسُّع المؤسسات في اعتماد الخدمات السحابية وتعزيز جهود الأتمتة، أصبحت هويات الأجهزة وحسابات الخدمات تفوق في عددها حسابات المستخدمين البشر في العديد من الشبكات. تُقدِّر إحدى الدراسات أن نسبة الهويات غير البشرية إلى الهويات البشرية في المؤسسة النموذجية تصل إلى 10:¹. وقد يؤدي نمو الذكاء الاصطناعي التوليدي ووكلاء الذكاء الاصطناعي إلى تسريع هذا التوجه بشكل أكبر. 

يُسهم أمن الهوية في الحفاظ على الرؤية والتحكم ضمن مشهد الهويات المتسع، ما يسهِّل الوصول الآمن للمستخدمين المصرح لهم ويقلل من سطح الهجوم في المؤسسة.

تُعَد المصادقة خطوة أساسية في أمن الهوية، فهي تتحقق من هويات المستخدمين. تُعَد المصادقة القوية ضرورية لتقليل مخاطر الوصول غير المصرح به إلى حسابات المستخدمين والبيانات الحساسة.

تتضمن طرق المصادقة الرئيسية ما يلي:

• المصادقة متعددة العوامل (MFA): تتطلب من المستخدمين تقديم عاملَين أو أكثر للتحقق من هويتهم، ما يجعل من الصعب على المتسللين انتحال شخصياتهم؛ نظرًا لحاجتهم إلى سرقة أو تزوير عدة عوامل للوصول إلى الحساب.

• المصادقة البيومترية: تستخدِم السمات الجسدية الفريدة مثل بصمات الأصابع أو التعرُّف على الوجه للتحقق من هوية المستخدمين. تُعَد سرقة العوامل البيومترية أصعب من سرقة كلمات المرور. 

• المصادقة دون كلمات مرور: تُلغي نقاط ضعف كلمات المرور التقليدية وتستبدلها بعوامل أكثر أمانًا، مثل المفاتيح التشفيرية أو العوامل البيومترية.

• تسجيل الدخول الموحد (SSO): يُتيح للمستخدمين التحقق من هويتهم مرة واحدة والوصول إلى عدة تطبيقات. لا يساعد SSO على تحسين تجربة المستخدم فحسب، بل يدعم أيضًا أمن الهوية من خلال تقليل إرهاق كلمات المرور، وخفض خطر استخدام كلمات مرور ضعيفة أو مُعاد استخدامها، وتوحيد تطبيق سياسات التحكم في الوصول. 

• المصادقة التكيفية: تعدِّل متطلبات المصادقة ديناميكيًا استنادًا إلى عوامل المخاطر السياقية مثل الموقع، والوضع الأمني للجهاز، وأنماط سلوك المستخدم. على سبيل المثال، قد يُطلب من المستخدم الذي يسجِّل الدخول من نفس الجهاز الذي يستخدمه دائمًا إدخال كلمة المرور فقط. وإذا سجَّل المستخدم نفسه الدخول من جهاز جديد كليًا، فقد يُطلب منه إدخال كلمة المرور بالإضافة إلى مسح بصمة الإصبع لإثبات هويته.

يحدِّد التحكم في الوصول ما يمكن للمستخدمين المصادق عليهم الوصول إليه وما يُسمح لهم بتنفيذه داخل النظام.

تفضِّل أطر عمل أمن الهوية تطبيق سياسات وصول صارمة تستند إلى مبدأ الحد الأدنى من الامتيازات. أي أن المستخدمين يمتلكون فقط الصلاحيات اللازمة لأداء مهامهم الوظيفية، لا أكثر ولا أقل.

تشمل أساليب التحكم في الوصول الشائعة ما يلي: 

• التحكم في الوصول بناءً على الدور (RBAC): يمنح الصلاحيات للمستخدمين استنادًا إلى أدوارهم الوظيفية في المؤسسة. على سبيل المثال، قد يمنح الدور المالي للمستخدم صلاحية تنفيذ عمليات الشراء، في حين يمنح دور الموارد البشرية صلاحية الاطِّلاع على ملفات الموظفين.

• التحكم في الوصول القائم على السمات (ABAC): يمنح الصلاحيات بناءً على سمات المستخدم والمورد والإجراء والبيئة. على سبيل المثال، إذا أراد المدير المالي (المستخدم) الوصول إلى نظام الدفع (المورد) للموافقة على عملية دفع (الإجراء)، فإن ABAC سيحلل هذه العوامل معًا ويمنح الإذن. 

• التحكم في الوصول القائم على السياسات (PBAC): يفرض قرارات الوصول للمستخدمين استنادًا إلى سياسات مركزية ديناميكية تأخذ السياق في الاعتبار. على سبيل المثال، قد يُسمح للمستخدم بالوصول إلى قاعدة بيانات العملاء فقط إذا كانت حالته الأمنية تتوافق مع معايير حماية نقاط النهاية الخاصة بالشركة وكان متواجدًا في منطقة جغرافية محددة. 

• التزويد عند الطلب (JIT): يمنح المستخدمين صلاحيات مرتفعة فقط عند الحاجة ولفترات محدودة، ما يقلل من المخاطر المرتبطة بمنح صلاحيات دائمة. على سبيل المثال، إذا احتاج أحد المستخدمين إلى تنفيذ صيانة مجدولة على خادم الإنتاج، يمكن للتزويد عند الطلب منحه وصولًا إداريًا مؤقتًا وسحبه فور انتهاء فترة الصيانة.

• إدارة الوصول المميز (PAM): تركِّز أدوات PAM تحديدًا على حماية الحسابات ذات الامتيازات (مثل حسابات المسؤولين) والأنشطة الحساسة (مثل التعامل مع البيانات الحساسة). تشمل القدرات الشائعة في PAM تخزين بيانات الاعتماد بأمان، ومراقبة الجلسات، وتوفير الوصول عند الطلب، وتدوير بيانات الاعتماد تلقائيًا.

تساعد حوكمة الهوية وإدارتها (IGA) على التأكد من أن الهويات الرقمية تمتلك مستويات الوصول المناسبة، وأنه يتم تتبُّع هذا الوصول لتلبية المتطلبات الداخلية والتنظيمية. 

في حين تتحكم حلول إدارة الهوية والوصول (IAM) في من يُمنح حق الوصول إلى الأنظمة والبيانات، تركِّز حوكمة الهوية وإدارتها على إذا ما كان هذا الوصول مناسبًا ومبررًا وتتم مراقبته بفاعلية. توفِّر حوكمة الهوية وإداراتها (IGA) إطار عمل تشغيليًا لإدارة دورات حياة الهوية وحقوق الوصول، ما يقلل من مخاطر الوصول ويعزِّز تطبيق السياسات الأمنية.

تُعَد إدارة الهوية والحوكمة (IGA) أيضًا عنصرًا أساسيًا في الامتثال للمعايير التنظيمية مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA)، وقانون ساربينز أوكسلي (SOX)، واللائحة العامة لحماية البيانات (GDPR). وهي تساعد المؤسسات على إثبات أن الوصول إلى الأنظمة والبيانات الحساسة مُخصَّص بشكل صحيح ويتم تقييمه بانتظام. كما تعمل على إنشاء سجلات تدقيق لدعم التقييمات الداخلية والتدقيقات الخارجية.

تشمل الوظائف الأساسية لحوكمة الهوية وإدارتها (IGA) ما يلي:

• توفير الهويات الرقمية وإلغاء توفيرها: إدارة حقوق الوصول طوال دورة حياة الهوية لتسهيل الانضمام وتقليل مخاطر إنهاء الوصول. على سبيل المثال، إذا غيَّر الموظف دوره الوظيفي، يمكن لأدوات IGA إلغاء الصلاحيات القديمة تلقائيًا أو منح صلاحيات جديدة تتناسب مع مسؤولياته المحدَّثة. 

• مراجعة صلاحيات الوصول: إجراء تدقيقات دورية على أذونات المستخدمين لاكتشاف الصلاحيات المفرطة أو غير المناسبة ومعالجتها. تساعد عمليات التدقيق المنتظمة المؤسسات على فرض مبدأ الامتياز الأقل وتقليل مخاطر إساءة استخدام الامتيازات. 

• تطبيق السياسات الأمنية وإعداد التقارير: تنفيذ السياسات الأمنية بشكل ثابت -مثل مبدأ فصل المهام (SoD) ومبدأ الامتياز الأقل- واكتشاف أي انتهاكات. على سبيل المثال، إذا حاول أحد المستخدمين الوصول إلى كلٍّ من نظام الدفع ونظام الموافقة -ما يُعَد انتهاكًا لقواعد فصل المهام (SoD)- فيمكن لأدوات حوكمة الهوية اكتشاف هذه المحاولة أو حظر العملية. 

تعزز تقنية الكشف عن تهديدات الهوية والاستجابة لها (ITDR (ITDR) أمن الهوية من خلال قدرات متقدمة لحماية البنية التحتية للهوية والتصدي للهجمات المرتبطة بالهوية. رغم أنها لا تندرج دائمًا ضمن حلول أمن الهوية التقليدية، إلا أن ITDR أصبحت أكثر شيوعًا مع سعي المؤسسات إلى تدابير أمنية أقوى لمواجهة التهديدات المتزايدة القائمة على الهوية.

تشمل القدرات الرئيسية لتقنية ITDR ما يلي:

• المراقبة المستمرة: رصد أنشطة الهوية في الوقت الفعلي -بما في ذلك محاولات المصادقة وطلبات الوصول وتصعيد الامتيازات- لاكتشاف الأنشطة المشبوهة. على سبيل المثال، يمكن لتقنية ITDR أن ترصد مستخدمًا يسجِّل الدخول من موقع جديد أو يحاول الوصول إلى معلومات حساسة لا يستخدمها عادةً.

• التحليلات السلوكية: خوارزميات متقدمة تضع أنماطًا مرجعية للسلوك الطبيعي للمستخدمين وتكشف الانحرافات التي قد تشير إلى تهديدات أمنية محتملة، مثل استيلاء مخترق على حساب شرعي.

• الاستجابة المؤتمتة: ضوابط أمنية ذكية تتخذ إجراءات فورية عند اكتشاف تهديد لتقليل الأضرار المحتملة. على سبيل المثال، إذا ظهرت على أحد المستخدمين مؤشرات إساءة استخدام بيانات الاعتماد، تستطيع ITDR إلغاء جلسته، أو فرض إعادة التحقق من الهوية، أو حظر الوصول إلى البيانات الحساسة مؤقتًا.
  

يعزز أمن الهوية الضوابط الأساسية لإدارة الهوية والوصول (IAM) لتقديم فوائد محورية:

• تحسين الوضع الأمني

• الامتثال التنظيمي

• الكفاءة التشغيلية

يمكن أن يساعد أمن الهوية على تقليل احتمالية وتأثير اختراق الحسابات، وسرقة بيانات الاعتماد، والوصول غير المصرح به، وغيرها من الهجمات القائمة على الهوية.

يمكن لأدوات أمن الهوية أن تساعد المؤسسات في الحفاظ على الامتثال للقواعد التنظيمية وإثبات ذلك.

يمكن أن تساعد أنظمة أمن الهوية على تبسيط العمليات التنظيمية اليومية.

تؤثِّر تطورات الذكاء الاصطناعي في أمن الهوية باعتبارها تمثِّل تهديدًا وفرصة في آن واحد.

يشكِّل الذكاء الاصطناعي التوليدي تهديدًا من خلال مساعدته للمهاجمين على تنفيذ هجمات معتمدة على الهوية بسرعة وبكميات أكبر. وفقًا لتقرير X-Force Threat Intelligence Index، رصد محللو X-Force استخدام المتسللين للذكاء الاصطناعي التوليدي في إنشاء أصوات وفيديوهات مزيفة (ديب فيك)، وصياغة رسائل تصيُّد إلكتروني مقنعة، وكتابة أكواد خبيثة كذلك.

باعتبارها فرصة، أصبحت أدوات كشف ومنع تهديدات الهوية المدعومة بالذكاء الاصطناعي أكثر انتشارًا، ما يمكِّن المؤسسات من اكتشاف الهجمات وإيقافها بسرعة أكبر. على سبيل المثال، باستخدام التعلم الآلي، يمكن لحلول ITDR إنشاء نماذج أساسية لسلوك المستخدم الطبيعي، والتي تُستخدم للكشف عن الانحرافات المشبوهة التي قد تشكِّل تهديدات.