ما المقصود بإدارة الوصول المميز (PAM)؟

في نظام الكمبيوتر، يشير مصطلح "الامتياز" إلى أذونات الوصول التي تفوق أذونات المستخدم العادي. وقد يكون لحساب المستخدم العادي صلاحية عرض الإدخالات في قاعدة البيانات، في حين أن المسؤول المتميز قد يكون قادرًا على تكوين الإدخالات وإضافتها وتغييرها وحذفها.

كما يمكن للمستخدمين غير البشر، مثل الأجهزة والتطبيقات وأحمال التشغيل، الحصول على امتيازات جرى الارتقاء بها. على سبيل المثال، قد يكون لعملية النسخ الاحتياطي التلقائي إمكانية الوصول إلى الملفات السرية وإعدادات النظام.

الحسابات المميزة هي أهداف عالية القيمة بالنسبة إلى المخترقين الذين يمكنهم إساءة استخدام حقوق الوصول الخاصة بهم لسرقة البيانات وإتلاف الأنظمة الحساسة مع التهرب من الكشف. في الواقع، يُعد اختطاف الحسابات الصالحة أحد أكثر متجهات الهجوم الإلكتروني شيوعًا اليوم، وفقًا لمؤشر IBM X-Force Threat Intelligence Index.

ويمكن أن يأتي الخطر من داخل المؤسسة أيضًا. توصلت دراسة أجراها معهد IBM لقيمة الأعمال إلى أن الموظفين ذوي النوايا الحسنة يمكنهم مشاركة بيانات خاصة بالمؤسسة مع منتجات الذكاء الاصطناعي التابعة لجهات خارجية دون معرفة ما إذا كانت الأدوات تلبي احتياجاتهم الأمنية أم لا. تشير الدراسة إلى أن 41% من الموظفين حصلوا على التقنية أو عدّلوها أو أنشأوها دون معرفة فريق تكنولوجيا المعلومات أو فريق الأمن الخاص بهم، مما أدى إلى حدوث ثغرة خطيرة في الأمن.

إن إدارة الوصول المميز وممارساتها تساعد المنظمات على حماية الحسابات المميزة من الهجمات القائمة على الهوية. على وجه التحديد، تعمل إستراتيجيات إدارة الوصول المميز على تعزيز الوضع الأمني للمنظمة من خلال تقليص عدد المستخدمين والحسابات المميزة وحماية بيانات الاعتماد المميزة وتطبيق مبدأ الامتيازات الأقل.

إدارة الهوية والوصول (IAM) هو مجال واسع يشمل كل جهود أمن الهوية في المنظمة لجميع المستخدمين وكل الموارد. أما إدارة الوصول المميز (PAM) فهي مجموعة فرعية من إدارة الهوية والوصول تركز على تأمين الحسابات المميزة والمستخدمين.

هناك تداخل كبير بين إدارة الهوية والوصول وإدارة الوصول المميز، فكلاهما يتضمن توفير الهويات الرقمية وتنفيذ سياسات التحكم في الوصول ونشر أنظمة المصادقة والتخويل.

ومع ذلك، تتجاوز إدارة الوصول المميز ما هو أبعد من تدابير إدارة الهوية والوصول القياسية لأن الحسابات المميزة تتطلب حماية أقوى من الحسابات القياسية. تستخدم برامج إدارة الوصول المميز تدابير أمنية متقدمة مثل خزائن بيانات الاعتماد وتسجيل الجلسات للتحكم الصارم في كيفية حصول المستخدمين على امتيازات جرى الارتقاء بها وما يفعلونه بتلك الامتيازات.

سيكون من غير العملي وغير الفعال تطبيق مثل هذه التدابير القوية على الحسابات غير المميزة، فهذه التدابير ستعطل وصول المستخدم العادي وتجعل من الصعب على الأشخاص أداء وظائفهم اليومية. هذا الاختلاف في متطلبات الأمان هو السبب في تطور إدارة الوصول المميز وإدارة الهوية والوصول إلى تخصصين منفصلين، ولكنهما مترابطان.

تشكل الحسابات المميزة مخاطر أمنية كبيرة، فأذوناتها عالية المستوى عرضة لإساءة الاستخدام، وتكافح العديد من المنظمات لتتبع النشاط المميز عبر الأنظمة المحلية وأنظمة السحابة. تساعد إدارة الوصول المميز المنظمات على اكتساب مزيد من التحكم في الحسابات المميزة لإيقاف المخترقين في أثناء ربط المستخدمين بالأذونات التي يحتاجونها.

تتزايد الهجمات القائمة على الهوية التي يستولي فيها المخترقون على حسابات المستخدمين ويسيئون استخدام امتيازاتهم الصالحة. وتشير تقارير شركة IBM X-Force إلى أن هذه الهجمات تشكل 30% من اختراقات الأمن. وغالبًا ما تستهدف هذه الهجمات الحسابات المميزة، إما مباشرةً أو من خلال الحركة الجانبية.

يمكن للجهات سيئة النية- التهديدات الداخلية أو المهاجمين الخارجيين- التي تضع أيديها على الحسابات المميزة أن تُلحق أضرارًا جسيمة. ويمكنها استخدام الأذونات التي جرى الارتقاء بها لنشر البرامج الضارة والوصول إلى الموارد الحساسة من دون قيود، كل ذلك مع خداع الحلول الأمنية للاعتقاد بأنهم مستخدمون شرعيون بحسابات صالحة.

وفقًا لتقرير تكلفة خرق البيانات الصادر عن شركة IBM، فإن الاختراقات التي يستخدم فيها المخترقون بيانات اعتماد مسروقة هي من بين أكثر الاختراقات تكلفة حيث تبلغ 4.67 ملايين دولار أمريكي في المتوسط. ويمكن أن تتسبب التهديدات الداخلية التي يسيء استخدام امتيازاتها الصالحة في أضرار أكبر، حيث تبلغ تكلفة تلك الاختراقات 4.92 ملايين دولار أمريكي في المتوسط.

وعلاوة على ذلك، أدى التحول الرقمي ونمو الذكاء الاصطناعي إلى زيادة عدد المستخدمين المميزين في الشبكة العادية. يجلب كل خدمة سحابية جديدة وتطبيق ذكاء اصطناعي ومحطة عمل وجهاز إنترنت الأشياء (IoT) حسابات مميزة جديدة. وتشمل هذه الحسابات كلاً من حسابات المسؤول التي يحتاجها المستخدمون البشريون لإدارة هذه الأصول والحسابات التي تستخدمها هذه الأصول للتفاعل مع البنية التحتية للشبكة.

وما يزيد الأمور تعقيدًا أن الأشخاص غالبًا ما يتشاركون الحسابات المميزة. على سبيل المثال، بدلاً من تعيين حساب خاص لكل مسؤول نظام، يعد العديد من فرق تقنية المعلومات حساب مسؤول واحدًا لكل نظام ويشاركون بيانات الاعتماد مع المستخدمين الذين يحتاجون إليها.

ونتيجة لذلك، يصعب على المنظمات تتبع الحسابات المميزة بينما تركز الجهات الخبيثة اهتمامها على تلك الحسابات بالذات.

تساعد تقنيات إدارة الوصول المميز وإستراتيجياتها المنظمات على اكتساب الرؤية أوسع والتحكم في الحسابات والأنشطة المميزة من دون تعطيل عمليات سير عمل المستخدم الشرعي. ويدرج مركز أمان الإنترنت أنشطة إدارة الوصول المميز الأساسية ضمن ضوابطه الأمنية "الحساسة".¹

يمكن لأدوات مثل خزائن بيانات الاعتماد والارتقاء بالامتيازات في الوقت المناسب تسهيل الوصول الآمن للمستخدمين الذين يحتاجون إليها مع إبعاد المخترقين والعاملين الداخليين غير المصرح لهم. تتيح أدوات مراقبة الجلسات المميزة للمنظمات إمكانية تتبع كل ما يفعله كل مستخدم بامتيازاته عبر الشبكة، ما يمكّن فرق تقنية المعلومات وفرق الأمن من اكتشاف الأنشطة المشبوهة.

تجمع إدارة الوصول المميز بين العمليات والأدوات التقنية للتحكم في كيفية تعيين الامتيازات والوصول إليها واستخدامها. وتركز العديد من إستراتيجيات إدارة الوصول المميز على ثلاث ركائز:

• إدارة الحسابات المميزة: إنشاء الحسابات، ذات الأذونات التي جرى الارتقاء بها، وتوفيرها والتخلص الآمن منها.

• إدارة الامتيازات: إدارة كيفية حصول المستخدمين على الامتيازات وتوقيته، بالإضافة إلى ما يمكن للمستخدمين فعله باستخدام امتيازاتهم.

• إدارة الجلسات المميزة: مراقبة النشاط المميز لاكتشاف السلوك المشبوه وضمان الامتثال.

تشرف إدارة الحسابات المميزة على دورة الحياة الكاملة للحسابات ذات الأذونات التي جرى الارتقاء بها، بدءًا من إنشائها حتى إلغائها.

الحساب المميز هو أي حساب يتمتع بحقوق وصول أكثر من المتوسط في النظام. ويمكن لمستخدمي الحسابات المميزة فعل أشياء مثل تغيير إعدادات النظام وتثبيت برامج جديدة وإضافة مستخدمين آخرين أو إزالتهم.

في بيئات تقنية المعلومات الحديثة، تأخذ الحسابات المميزة أشكالاً عديدة. يمكن أن يكون لكل من المستخدمين البشر والمستخدمين غير البشر، مثل أجهزة إنترنت الأشياء ومهام سير العمل الآلية، حسابات مميزة. تشمل الأمثلة ما يلي:

• تمنح الحسابات الإدارية المحلية المستخدمين التحكم في كمبيوتر محمول أو خادم أو نقطة نهاية واحدة أخرى.

• تمنح الحسابات الإدارية للمجال المستخدمين التحكم في مجال كامل، مثل جميع المستخدمين ومحطات العمل في مجال Microsoft Active Directory.

• تمنح حسابات مستخدمي الأعمال المميزين للمستخدمين إمكانية وصول عالية المستوى لأغراض غير متعلقة بتقنية المعلومات، مثل الحساب الذي يستخدمه موظف الشؤون المالية للوصول إلى أموال الشركة.

• تمنح حسابات المستخدم المتميز امتيازات غير مقيدة في نظام معين. في أنظمة التشغيل Unix وLinux، تسمى حسابات المستخدمين المتميزين حسابات "الجذر". في نظام التشغيل Microsoft Windows، تسمى حسابات "المسؤول".

• تسمح حسابات الخدمة للتطبيقات ومهام سير العمل التلقائية بالتفاعل مع أنظمة التشغيل.

• تمكّن حسابات التطبيقات التطبيقات من التفاعل مع بعضها وإجراء مكالمات إلى واجهات برمجة التطبيقات (APIs) وأداء وظائف مهمة أخرى.

تتعامل إدارة الحسابات المميزة مع دورة الحياة الكاملة لهذه الحسابات المميزة، بما في ذلك:

• الاكتشاف: جرد كل الحسابات المميزة الموجودة في الشبكة.

• التزويد: إنشاء حسابات مميزة جديدة وتعيين الأذونات بناءً على مبدأ الامتيازات الأقل.

• الوصول: إدارة من يمكنه الوصول إلى الحسابات المميزة وكيفية الوصول إليها.

• التخلص: الحذف الآمن للحسابات المميزة التي لم تعد ضرورية.

يتمثل أحد الأهداف الرئيسية لإدارة الحسابات المميزة في تقليل عدد الحسابات المميزة في النظام وتقييد الوصول إلى تلك الحسابات. وتُعد إدارة بيانات الاعتماد أداة رئيسية لتحقيق هذا الهدف.

فبدلاً من تعيين حسابات مميزة لمستخدمين فرديين، تجعل العديد من أنظمة إدارة الحسابات المميزة هذه الحسابات مركزية وتخزن بيانات اعتمادها في خزائن كلمات المرور. ويضم المخزن بشكل آمن كلمات المرور والرموز المميزة ومفاتيح Secure Shell (SSH) وبيانات الاعتماد الأخرى في شكل مشفر.

عندما يحتاج مستخدم - بشري أو غير بشري - إلى إجراء نشاط مميز، يجب عليه التحقق من بيانات اعتماد الحساب المناسبة من المخزن.

على سبيل المثال، لنفترض أنه يجب على أحد أعضاء فريق تقنية المعلومات إجراء تغييرات على كمبيوتر محمول تابع للشركة. لفعل ذلك، يحتاج إلى استخدام حساب المسؤول المحلي لهذا الحاسوب المحمول. وتكون بيانات الاعتماد الخاصة بالحساب موجودة في خزنة كلمات المرور، لذلك يبدأ عضو فريق تقنية المعلومات بطلب كلمة مرور الحساب.

يجب أن يجتاز عضو الفريق أولًا اختبار مصادقة صعبًا، مثل المصادقة متعددة العوامل (MFA)، لإثبات هويته. بعد ذلك، تستخدم الخزنة عناصر التحكم في الوصول القائمة على الأدوار (RBAC) أو سياسات مشابهة لتحديد إذا ما كان مسموحًا لهذا المستخدم بالوصول إلى بيانات اعتماد هذا الحساب.

يُسمح لعضو فريق تقنية المعلومات هذا باستخدام حساب المسؤول المحلي ذلك، ومن ثَمَّ فإن خزنة بيانات الاعتماد تمنح حق الوصول. ويمكن لعضو فريق تقنية المعلومات الآن استخدام حساب المسؤول المحلي لإجراء التغييرات اللازمة على الكمبيوتر المحمول التابع للشركة.

لمزيد من الأمان، لا تشارك العديد من خزائن بيانات الاعتماد بيانات الاعتماد مباشرة مع المستخدمين. وبدلاً من ذلك، فإنها تستخدم تسجيل الدخول الموحد (SSO) ووساطة الجلسات لبدء اتصالات آمنة من دون أن يرى المستخدم كلمة المرور.

تنتهي صلاحية وصول حساب المستخدم عادةً بعد فترة زمنية محددة أو بعد اكتمال مهمته. ويمكن للعديد من خزائن بيانات الاعتماد تغيير بيانات الاعتماد تلقائيًا وفقًا لجدول زمني أو بعد كل استخدام، ما يجعل من الصعب على الجهات الخبيثة سرقة بيانات الاعتماد هذه وإساءة استخدامها.

تستبدل إدارة الوصول المميز نماذج الامتيازات الدائمة، التي يتمتع فيها المستخدم دائمًا بالمستوى الثابت نفسه من الأذونات، بنماذج الوصول في الوقت المناسب حيث يحصل المستخدمون على امتيازات جرى الارتقاء بها عندما يحتاجون إلى أداء مهام محددة. إدارة الامتيازات هي طريقة تنفيذ المنظمات لنماذج الوصول الديناميكية الأقل امتيازًا.

تُعد خزائن بيانات الاعتماد إحدى الطرق التي تلغي بها المنظمات الامتيازات الدائمة، حيث يمكن للمستخدمين الوصول إلى الحسابات ذات الامتيازات فقط لفترة محدودة ولأغراض محدودة. ولكن الخزائن ليست الطريقة الوحيدة للتحكم في امتيازات المستخدم.

تستخدم بعض أنظمة إدارة الوصول المميز نموذجًا يسمى الارتقاء بالامتيازات في الوقت المناسب (JIT). فبدلاً من تسجيل الدخول إلى حسابات مميزة منفصلة، ترتقي أذونات المستخدمين بشكل مؤقت عندما يحتاجون إلى تنفيذ أنشطة مميزة.

في نموذج الارتقاء بالامتيازات في الوقت المناسب، يكون لكل مستخدم حساب قياسي مع أذونات قياسية. وعندما يحتاج المستخدم إلى فعل شيء ما يتطلب أذونات جرى الارتقاء بها- مثل تغيير أحد أعضاء فريق تقنية المعلومات لإعدادات مهمة على كمبيوتر محمول تابع للشركة- فإنه يرسل طلبًا إلى أداة إدارة الوصول المميز. قد يتضمن الطلب نوعًا من التبرير يوضح ما يحتاج المستخدم إلى فعله ولماذا.

تقيم أداة إدارة الوصول المميز الطلب مقابل مجموعة من القواعد المحددة مسبقًا. وإذا كان هذا المستخدم مصرحًا له بأداء هذه المهمة على هذا النظام، تقوم أداة إدارة الوصول المميز بالارتقاء بامتيازاته. هذه الامتيازات عالية المستوى صالحة فقط لفترة زمنية قصيرة، وتسمح للمستخدم بأداء المهام المحددة التي يحتاج إلى أدائها فقط.

تستخدم معظم المنظمات كلاً من الارتقاء بالامتيازات وتخزين بيانات الاعتماد لإدارة الامتيازات. وتتطلب بعض الأنظمة حسابات مميزة مخصصة- مثل الحسابات الإدارية الافتراضية المضمنة في بعض الأجهزة- وبعضها الآخر لا يتطلب ذلك.

إدارة الجلسات المميزة (PSM) هي جانب من جوانب إدارة الوصول المميز التي تشرف على الأنشطة المميزة. عندما يدخل المستخدم إلى حساب مميز أو عند الارتقاء بامتيازات أحد التطبيقات، تتتبع أدوات إدارة الوصول المميز ما يفعله المستخدم بهذه الامتيازات.

يمكن لأدوات إدارة الوصول المميز تسجيل نشاط الجلسة المميزة من خلال تسجيل الأحداث وضغطات المفاتيح. كما تسجل بعض أدوات إدارة الوصول المميز أيضًا تسجيلات فيديو لجلسات العمل المميزة. وتساعد سجلات إدارة الوصول المميز المنظمات على اكتشاف الأنشطة المشبوهة وإسناد النشاط المميز للمستخدمين الأفراد وإنشاء مسارات تدقيق لأغراض الامتثال.

تُعد إدارة الهويات المميزة (PIM) وإدارة المستخدمين المميزين (PUM) حقلين فرعيين متداخلين لإدارة الوصول المميز. تركز عمليات إدارة الهويات المميزة على تعيين امتيازات الهويات الفردية في النظام والحفاظ عليها. بينما تركز عمليات إدارة المستخدمين المميزين على صيانة حسابات المستخدمين المميزين.

ومع ذلك، لا يُتفق عالميًا على الفروق بين إدارة الهويات المميزة وإدارة المستخدمين المميزين والجوانب الأخرى لإدارة الوصول المميز. حتى إن بعض الممارسين يستخدمون المصطلحات بالتبادل. في النهاية، الشيء المهم هو أن كل ذلك يندرج تحت مظلة إدارة الوصول المميز. قد تتصور المنظمات المختلفة مهام إدارة الوصول المميز بشكل مختلف، ولكن كل إستراتيجيات إدارة الوصول المميز تشترك في هدف منع إساءة استخدام الوصول المميز.

من غير الفعال، وغالبًا ما يكون من المستحيل، إجراء مهام إدارة الوصول المميز يدويًا، مثل الارتقاء بالامتيازات والتغيير المنتظم لكلمات المرور. تستخدم معظم المنظمات حلول إدارة الوصول المميز لتبسيط الكثير من العمليات وجعلها آلية.

يمكن تثبيت أدوات إدارة الوصول المميز محليًا كبرامج أو أجهزة. كما تُقدم بشكل متزايد كتطبيقات برمجيات كخدمة (SaaS) قائمة على السحابة.

تصنِّف شركة التحليل Gartner أدوات إدارة الوصول المميز إلى أربع فئات:

• أدوات إدارة الحسابات والجلسات المميزة (PASM) التي تتعامل مع إدارة دورة حياة الحساب وإدارة كلمات المرور وتخزين بيانات الاعتماد ومراقبة الجلسات المميزة في الوقت الفعلي.

• تتيح أدوات إدارة الارتقاء بالامتيازات والتفويض (PEDM) الارتقاء بالامتيازات في الوقت المناسب من خلال تقييم طلبات الوصول إلى الامتيازات والموافقة عليها ورفضها تلقائيًا. 

• تركز أدوات إدارة الأسرار على حماية بيانات الاعتماد وإدارة الامتيازات للمستخدمين غير البشر، مثل التطبيقات وأحمال التشغيل والخوادم.

• صُممت أدوات إدارة استحقاقات البنية الأساسية السحابية (CIEM) لإدارة الهوية والوصول في البيئات السحابية، حيث يكون المستخدمون والأنشطة أكثر انتشارًا ويتطلبون ضوابط مختلفة عن نظرائهم محليًا.

في حين أن بعض أدوات إدارة الوصول المميز هي حلول نقاط تغطي فئة واحدة من الأنشطة، فإن العديد من المنظمات تتبنى منصات شاملة تجمع بين وظائف إدارة الحسابات والجلسات المميزة وإدارة الارتقاء بالامتيازات والتفويض وإدارة الأسرار وإدارة استحقاقات البنية الأساسية السحابية. وقد تدعم هذه الأدوات أيضًا عمليات التكامل مع أدوات الأمان الأخرى، مثل إرسال سجلات الجلسات المميزة إلى حل إدارة المعلومات الأمنية والأحداث (SIEM).

تحتوي بعض منصات إدارة الوصول المميز الشاملة على وظائف إضافية، مثل:

• القدرة على الاكتشاف التلقائي للحسابات المميزة غير المعروفة سابقًا

• القدرة على فرض المصادقة متعددة العوامل (MFA) على المستخدمين الذين يطلبون الوصول المميز

• الوصول الآمن عن بُعد للأنشطة المميزة والمستخدمين المميزين

• قدرات إدارة الوصول المميز للموردين (VPAM) للمقاولين والشركاء الخارجيين

يتوقع المحللون أن أدوات إدارة الوصول المميز، مثلها مثل أدوات التحكم الأمنية الأخرى، ستتضمن بشكل متزايد الذكاء الاصطناعي والتعلم الآلي (ML). في الواقع، تستخدم بعض أدوات إدارة الوصول المميز بالفعل الذكاء الاصطناعي والتعلم الآلي في أنظمة المصادقة القائمة على المخاطر.

تقيم المصادقة القائمة على المخاطر سلوك المستخدم باستمرار، وتحسب مستوى مخاطر هذا السلوك وتغير متطلبات المصادقة ديناميكيًا بناءً على هذه المخاطر. على سبيل المثال، قد يحتاج المستخدم الذي يطلب امتيازات لتهيئة جهاز كمبيوتر محمول واحد إلى اجتياز مصادقة ثنائية. وقد يحتاج المستخدم الذي يرغب في تغيير الإعدادات لكل محطات العمل في المجال إلى تقديم المزيد من الأدلة للتحقق من هويته.

تتوقع الأبحاث الصادرة عن ²OMDIA أن أدوات إدارة الوصول المميز قد تستخدم الذكاء الاصطناعي التوليدي لتحليل طلبات الوصول وأتمتة الارتقاء بالامتيازات وإنشاء سياسات الوصول وتنقيحها واكتشاف النشاط المشبوه في سجلات الجلسات المميزة.

في حين أن أدوات إدارة الوصول المميز وأساليبها تتحكم في نشاط الامتيازات عبر المنظمة، يمكن أن تساعد أيضًا في معالجة تحديات أمنية محددة تتعلق بالهوية والوصول.

• تقليص الثغرات القابلة للاستغلال من الخارج المرتبطة بالهوية
• إدارة انتشار الهويات
• الامتثال التنظيمي
• إدارة أسرار عمليات التطوير