تُعَد حلول الكشف عن تهديدات الهوية والاستجابة لها (ITDR) أدوات أمن إلكتروني استباقية تراقِب الأنظمة لاكتشاف التهديدات والثغرات المرتبطة بالهوية ومعالجتها، مثل تصعيد الامتيازات وسوء إعداد الحسابات.
تُعَد هويات المستخدمين جزءًا مهمًا من سطح الهجوم في المؤسسات اليوم، إذ يفضِّل المجرمون الإلكترونيون بشكل متزايد تسجيل الدخول بدلًا من اختراق الأنظمة. يشير تقرير IBM® X-Force Threat Intelligence Index أن الهجمات المعتمدة على الهوية تشكِّل 30% من إجمالي عمليات الاختراق! تستخدِم عناصر التهديد هجمات التصيد الاحتيالي والبرمجيات الضارة المخصصة لسرقة المعلومات لجمع بيانات الاعتماد، والتي يستخدمونها بعد ذلك للسيطرة على الحسابات الصالحة.
يمكن أن تساعد أنظمة ITDR على التخفيف من هذه الهجمات الإلكترونية القائمة على الهوية من خلال مراقبة نشاط المستخدم وأنظمة الهوية عبر شبكة المؤسسة. يمكن لأدوات ITDR اكتشاف هجمات القوة الغاشمة، وحشو بيانات الاعتماد، وحالات تسجيل الدخول الشاذة، وغيرها من التهديدات الإلكترونية، كما يمكنها الاستجابة تلقائيًا لمنع المهاجمين من الوصول إلى البيانات والأنظمة الحساسة.
انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.
يراقِب نظام ITDR شبكة المؤسسة باستمرار لرصد أي نشاط غير معتاد أو مشبوه مرتبط بهويات المستخدمين. عندما تكتشف أداة ITDR سلوكًا من المحتمل أن يكون ضارًا، تعمل على تنبيه فريق الأمن وإطلاق استجابة مؤتمتة، مثل حظر الوصول إلى البيانات الحساسة فورًا.
يعمل نظام ITDR من خلال دمج عدة وظائف ضمن حل شامل. وتشمل وظائف ITDR الأساسية ما يلي:
كي يتعرف نظام ITDR على الأنشطة المشبوهة، يجب أن يكون على دراية أولًا بما يُعَد نشاطًا طبيعيًا ومصرحًا به.
تجمع أنظمة ITDR المعلومات من مصادر مثل:
يستخدِم نظام ITDR تحليلات السلوك ورسم العلاقات لمعالجة كل هذه البيانات وإنشاء نموذج أساسي للسلوك الطبيعي للمستخدمين، وحساباتهم، والأنظمة التي يصلون إليها.
يراقِب نظام ITDR نشاطات الهوية والبنية التحتية على مستوى الشبكة بالكامل لاكتشاف التهديدات ونقاط التعرض والثغرات. تتعقب أنظمة ITDR عمليات تسجيل الدخول، وعمليات المصادقة، ومزوّدي الهوية (IdPs)، وطلبات الوصول، والدلائل مثل Active Directory، وتُقارنها بالنموذج الأساسي. تُشير أدوات ITDR إلى الانحرافات المهمة عن النموذج الأساسي باعتبارها تهديدات محتملة.
قد تشمل الانحرافات أنشطة مثل محاولات تسجيل الدخول من مواقع غير معتادة، أو الحركة الجانبية للمستخدم بين مجموعات بيانات غير مرتبطة، أو طلبات غير مألوفة لتصعيد الامتيازات.
تستخدم بعض أنظمة ITDR التعلم الآلي (ML) لتحليل أنماط التهديد السابقة من سجلات الشركة، ومصادر استعلامات التهديدات، ومصادر أخرى، بهدف التعرُّف على أنواع مختلفة من الهجمات. وبهذه الطريقة، يمكن لنظام ITDR اكتشاف مخاطر الهوية الجديدة التي لم يسبق له مواجهتها بشكل مباشر بسهولة أكبر.
عندما يكتشف نظام ITDR محاولة اختراق محتملة، فإنه يُبلغ مركز عمليات الأمن (SOC) ويُطلق استجابة فورية تجاه الحالات الشاذة. قد تشمل قدرات الاستجابة عزل النظام المستهدف، وتعطيل الحسابات المخترقة، وطلب تحقق إضافي من المستخدم، ووسائل أخرى لوقف الأنشطة غير المصرح بها أو المشبوهة.
الهجمات القائمة على الهوية هي هجمات إلكترونية تستغل هويات المستخدمين للوصول غير المصرح به إلى الشبكة. غالبًا ما تتضمن الهجمات القائمة على الهوية الاستيلاء على حساب شرعي واستغلال صلاحياته لسرقة البيانات، أو زرع برمجيات الفدية، أو إحداث أضرار أخرى.
من أمثلة الهجمات الشائعة القائمة على الهوية ما يلي:
في هجوم القوة الغاشمة، يحاول المتسللون الوصول إلى حساب من خلال التجربة والخطأ، عبر تجربة العديد من بيانات تسجيل الدخول حتى يعثروا على البيانات الصحيحة.
تصعيد الامتيازات هو تقنية هجوم إلكتروني يقوم فيها الفاعل التهديدي بتعديل أو رفع صلاحياته في النظام، مثل الانتقال من حساب مستخدم منخفض الصلاحيات إلى حساب مسؤول عالي الصلاحيات.
الحركة الجانبية هي الأسلوب الذي يستخدمه مجرم إلكتروني للتعمق في شبكة مؤسسة بعد الحصول على وصول غير مصرح به. بشكل عام، تنقسم هجمات الحركة الجانبية إلى جزئين: اختراق أولي تتبعه حركة داخلية.
التصيد الاحتيالي هو نوع من الهندسة الاجتماعية يستخدِم رسائل بريد إلكتروني أو نصوصًا أو مكالمات هاتفية أو مواقع مزيفة لخداع الأشخاص ومطالبتهم بمشاركة بيانات حساسة أو تحميل برمجيات ضارة.
يمكن للمتسللين استخدام التصيد الاحتيالي للسيطرة على حسابات المستخدمين بعدة طرق مختلفة. قد يخدع المتسلل المستخدم من خلال إيهامه بأنه جهة موثوق بها، وتوجيهه إلى موقع مزيف للحصول على بيانات اعتماده. أو قد يستخدم رسائل التصيد الاحتيالي لنشر برنامج ضار مخصص لسرقة المعلومات لتسجيل كلمة مرور المستخدم سرًا.
لا تنشأ مخاطر وتهديدات الهوية دائمًا من جهات ضارة. إذ يمكن أن تؤدي أخطاء الإعداد، والسهو البسيط، والخطأ البشري، وسوء استخدام المستخدمين المصرح لهم لصلاحياتهم، إلى الإضرار بأمن الهوية. تشمل المخاطر ما يلي:
مع تزايد الهجمات القائمة على الهوية وتعقُّد أنظمة الهوية، يمكن لأدوات ITDR مساعدة المؤسسات على تعزيز وضعها الأمني والسيطرة بشكل أكبر على البنية التحتية للهوية.
بالنسبة إلى العديد من المؤسسات، تُعَد حلول البرمجيات كخدمة (SaaS)، والهياكل السحابية الهجينة متعددة السحب، والعمل عن بُعد هي الوضع الطبيعي. تحتوي شبكاتها على مزيج متعدد البائعين من التطبيقات والموارد السحابية والمحلية التي تخدم مستخدمين متنوعين في مواقع مختلفة. غالبًا ما تمتلك هذه التطبيقات أنظمة هوية خاصة بها، وقد لا تتكامل بسهولة مع بعضها.
نتيجةً لذلك، يواجه العديد من المؤسسات بيئات هوية مجزأة تحتوي على ثغرات تستغلها عناصر التهديد لتحقيق أغراض ضارة.
من خلال مراقبة الهويات بدلًا من الأجهزة أو الأصول، يمكن لأنظمة ITDR توفير رؤية محسَّنة لنشاط المستخدم عبر بيئات السحابة، وأدوات SaaS، والأنظمة المحلية. ورغم أن التطبيقات والأصول المختلفة قد تمتلك أنظمة هوية مختلفة، تُتيح ITDR للمؤسسات مراقبتها جميعًا من مكان واحد.
يمكن لأنظمة ITDR الكشف عن الهجمات النشطة، وكذلك الكشف أيضًا عن التكوينات الخطأ والثغرات الأمنية المحتملة. على سبيل المثال، يمكن لبعض أدوات ITDR اكتشاف آليات المصادقة الضعيفة، والحسابات غير النشطة، وكذلك استخدام بعض أصول تكنولوجيا المعلومات الظلية.
من خلال المراقبة المستمرة للبنية التحتية للهوية، تستطيع أدوات ITDR اكتشاف الهجمات الإلكترونية قبل أن يتمكن المتسللون من إحداث أضرار حقيقية.
بالإضافة إلى تنبيه فرق الأمن بهذه الهجمات، يمكن لأنظمة ITDR الاستجابة تلقائيًا في الوقت الفعلي، لمنع المتسللين ومنفِّذي الهجمات الداخلية الخبيثة من الاستمرار في الهجوم. ونتيجةً لذلك، تُتيح ITDR تسريع التخفيف من التهديدات وإصلاح الثغرات قبل استغلالها.
تواجه المؤسسات مجموعة كبيرة ومتداخلة من تقنيات الكشف عن التهديدات والاستجابة لها، وكأنها خليط متنوع من الحروف الأبجدية. رغم تشابه ميزات هذه الأدوات، إلا أنها توفر حماية مختلفة لأوجه متنوعة من شبكة المؤسسة. غالبًا ما يتم استخدام هذه الأدوات بشكل تكاملي ضمن استراتيجية أمن إلكتروني متعددة الطبقات تعتمد على مبدأ الدفاع المتعمق.
تُدير أدوات إدارة الهوية والوصول (IAM) دورة حياة هوية المستخدم، بدءًا من إنشاء الحساب وحتى إلغائه. بينما تهدف ITDR إلى كشف الأنشطة الضارة للمستخدمين غير المصرح لهم وإحباطها، تركِّز IAM على ضمان حصول المستخدمين المصرح لهم على الصلاحيات المناسبة واستخدامها بالشكل الصحيح.
تتضمن الوظائف الأساسية لإدارة الهوية والوصول (IAM) إنشاء هويات المستخدمين، وتحديد الامتيازات، وتطبيق سياسات الوصول، وإيقاف الهويات القديمة. غالبًا ما تعمل أنظمة IAM وITDR معًا بشكل متكامل. تمكِّن IAM المستخدمين المصرح لهم من الوصول، بينما تراقب أدوات ITDR نشاط المستخدم لاكتشاف التهديدات مثل اختراق الحساب أو إساءة استخدام الصلاحيات.
تعمل أنظمة إدارة الوصول المميز (PAM) على تنظيم وتأمين حسابات وأنشطة المستخدمين ذوي الصلاحيات العالية، مثل مسؤولي الأنظمة. وبينما تراقِب أدوات ITDR جميع الهويات، تركِّز أدوات PAM على الهويات ذات الصلاحيات المميزة.
تعمل أدوات PAM على توفير الحسابات ذات الامتيازات، وإدارة كيفية وتوقيت حصول المستخدمين على الصلاحيات المرتفعة، ومراقبة الأنشطة المميزة لاكتشاف السلوك المشبوه وعدم الالتزام بالسياسات.
تُعَد PAM أقدم من ITDR كممارسة محددة رسميًا في مجال الأمن الإلكتروني، وغالبًا ما تُصنَّف أدوات PAM كفئة مستقلة بحد ذاتها. ومع ذلك، يمكن اعتبار PAM في بعض الجوانب نسخة موجَّهة من ITDR. تراقِب ITDR التهديدات القائمة على الهوية لجميع المستخدمين، بينما تركِّز PAM على حماية الحسابات ذات الصلاحيات المميزة فقط. ويمكن لكلٍّ من ITDR وPAM العمل معًا لتوفير ضوابط أمنية متقدمة للشبكة.
يكمن الفرق الأساسي بين كشف نقطة النهاية والاستجابة لها (EDR) وITDR في أن أدوات EDR تحمي الأجهزة، بينما أدوات ITDR تحمي الهويات.
تراقِب أدوات EDR نقاط النهاية مثل الخوادم وأجهزة الكمبيوتر لاكتشاف الأنشطة الضارة التي تحدث على الجهاز. وتركِّز ITDR على التهديدات القائمة على الهوية، من خلال اكتشاف الأنشطة الضارة على مستوى المستخدمين والحسابات.
تُعَد أنظمة ITDR وEDR عناصر متكاملة في بنية الأمن الإلكتروني للمؤسسة. على سبيل المثال، عندما تكتشف EDR نشاطًا مريبًا في نقطة نهاية، يمكن لأنظمة ITDR ربط هذا النشاط بهوية محددة.
بينما تركِّز ITDR على الهويات الفردية للمستخدمين، تجمع حلول الكشف والاستجابة الموسَّعة (XDR) أدوات وعمليات الأمن عبر جميع طبقات الحماية: المستخدمين، ونقاط النهاية، والتطبيقات، والشبكات، وأعباء العمل السحابية، والبيانات.
تتيح أدوات XDR إمكانية التشغيل البيني بين الحلول الأمنية المختلفة، حتى وإن لم تكن مصممة للعمل معًا، لتحقيق الوقاية والكشف والاستجابة للتهديدات بشكل سلس. وإلى جانب الأدوات الأخرى، تتكامل ITDR مع XDR، لتزويدها ببيانات حول الهويات والأنظمة القائمة على الهوية ضمن بنية أمنية موحدة.
يمنح التكامل بين ITDR وXDR المؤسسات رؤية أشمل لشبكاتها، ما يُتيح تطبيق تدابير أمنية أكثر فاعلية ونماذج أقوى لحوكمة الهوية.