روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ رمزعبورها دارند روز به روز بیشتر به چشم تعهدات امنیتی دیده می‌شوند و راه‌حل‌های مدیریت هویت[1] نیز دارند روز به روز بیشتر تلاش خود را می‌کنند. پیگیریِ نام‌های کاربری و رمزهای عبور به نظر آسان می‌آید؛ اما در اصل اینطور نیست. جهانی که در آن، منابع شبکه‌ایِ محافظت‌شده خیلی راحت توسط کارمندان روی دستگاه‌های موبایل، کنتراکتورهای خارجی، اپ‌های وبی و دستگاه‌های مبتنی بر فناوری اینترنت اشیاء قابل‌دسترسی‌ است دیگر استفاده از رمزعبورها کفایت نخواهد کرد.

سطح خطرات بالاست: بر اساس گزارشات، هشتاد و یک درصدِ داده‌های نقض‌شده‌ای که در سال 2018 مورد تأیید قرار گرفت شامل هویت‌های دستکاری‌شده می‌شده است. بر همین اساس، نقض‌ها، حملات و افزایش پیچیدگی‌ها پیرامون چنین مسائلی بابی برای بحث‌هایی حول محور استفاده از راه‌حل‌های «مدیریت هویت و دسترسی» (IAM)  باز کرده‌ است. برای مثال اوایل همین هفته بود که شرکت OMB اعلام کرد قرار است خط‌مشی‌های هویتی، اطلاعات محرمانه و مدیریت دسترسی خود را سفت و سخت‌تر بگیرد. این جنبش (درست مانند جنبش‌های دیگر در بخش خصوصی) یادآور این است که گرچه رویکردهای سنتی امنیت هنوز هم اهمیت دارد اما شکاف‌های امنیتی بزرگ، امروزه نشان‌دهنده‌ی ضعف مدیریت هویت‌های دیجیتال است. 

راسل ووت، مدیر اداره‌ی مدیریت و بودجه‌ی کاخ سفید روز سه‌شنبه اینطور نوشت: «گرچه سفت و سخت گرفتن محیط دیجیتال اهمیت دارد اما آژانس‌ها نیز باید رفته‌رفته از صرفِ مدیریت دسترسی خارج و داخلِ محیط گامی فراتر گذاشته و هویت‌های دیجیتال را رکن اصلی مدیریت بحران‌های دیجیتال بدانند؛ چیزی که مهاجمین برای دسترسی به آن‌ها تقلا می‌کنند».

حوزه‌ی امنیتیِ  IAM دارد روز به روز بیشتر گسترش پیدا می‌کند و برخی‌اوقات خیلی سخت می‌توان آن را تحت کنترل قرار داد- عاملین کلیدی از ترکیبی از تعاریف و اصطلاحات مختلف برای توصیف یک چیز واحد استفاده می‌کنند. برای مثال کاخ سفید به آن می‌گوید «مدیریت دسترسی، اطلاعات محرمانه و هویت» (ICAM)، مرکز تحقیقاتی فورستر آن را «نظارت و مدیریت هویت» (IMG) صدا می‌زند و همچنان سایرین به این حوزه IDaaS (هویت در قالب یک سرویس) می‌گویند.

واژه‌ای که همه‌ی تعاریف را دربرمی‌گیرد

IAM به فریم‌ورکی از خط‌مشی‌ها و فناوری‌هایی می‌گویند که تضمین می‌دهد افراد، اپلیکیشن‌ها و دستگاه‌های غیر انسانیِ مناسبی هم داخل سازمان و هم خارج از آن وجود دارد که دسترسی و حقوق دسترسی به منابع فناوری‌شان نیز دارد بدرستی انجام می‌شود. سیستم‌های IAM افرادی را که قرار است از منابع آی‌تی استفاده کنند شناسایی و تأیید می‌کنند. همچنین IAM به طور فزاینده‌ای به حوزه‌ی خدمات کلود، اپ‌های وبی و سیستم‌های مبتنی بر اینترنت اشیاء (که به همان منابع نیز وصل می‌شوند) نیز مربوط می‌شود.

علائم هشدار

گزارشات هویتیِ اخیر SailPoint اینطور تخمین می‌زند که برنامه‌ی هویتی‌ 54 درصد از سازمان‌ها درون‌سازمانی است. با این حال همین مطالعات این را هم نشان داده است که 88 درصد شرکت‌ها دسترسی به داده‌های پسِ فایروال‌های سازمانی را بدرستی مدیریت نمی‌کنند (مانند فایل‌های مربوط به اداره). در حقیقت، از هر 10 سازمان فقط یکی به SailPoint اظهار داشته دسترسی کاربر به آن فایل‌ها را تحت نظارت قرار می‌داده است؛ این یعنی بقیه سازمان‌ها به طرز غریبی این مسئله را نادیده می‌گرفته‌اند.

روند شکل‌گیری مدیریت هویت

محرک بازار  IAM چیست؟

مرکز تحقیقاتی فورستر در گزارش اخیر خود در خصوص محرک‌های این فناوری چنین می‌نویسد: «نظارت و مدیریت هویت (IMG) برای کسب و کارهای دیجیتال امروز چیزی بیش از صرفاً تأمین و وادار کردن کارمندان به دسترسی داده‌ها و اپ‌های سازمانی است. جوانب امنیتی اکنون دیگر باید دسترسی به ترکیبی از محیط‌های اپلیکیشن و انواعی از دستگاه‌های اینترنت اشیاء آن هم برای جماعت مختلفی از کارمندان، شرکا و مشتریان را تحت نظارت قرار داد و امنیتش را تأمین کند».

رمزعبورها کفاف نمی‌دهند

رویکرد IAM در تلاش است مدیریت دسترسی را از طریق ورود به سیستم یک کاربر و بر پایه‌ی نقش‌های از پیش‌تعریف‌شده‌ی او آسان سازد. یک فریم‌ورک IAM به کاربر تنها مجوز دسترسی به منابعی را می‌دهد که نیاز دارد. این مدیریت یا درون‌سازمانی است و یا خارج از سازمان. ماهیت متمرکز چنین فرآیندی پذیرش سازمانی و البته حذف هویت بعد از ترک شرکت توسط کارمند را سرعت می بخشد.

ساز و کار درونی کلود

همینطور که پلت‌فرم‌ها و زیرساخت‌ها بیشتر به کلود روی می‌آورند، سرویس‌های IAM نیز بیشتر طرفدار کلود می‌شوند. گوگل و آمازون ابزارهایی از پیش ادغام‌شده ارائه داده و کلی شرکت نیز هم‌اکنون دارند در بخش مدیریت هویت و دسترسی IDaaS عرضه می‌کنند. همچنین پشتیبانی از مبادلات توکن و تأیید اعتبار آن نیز بیشتر شده است.

هویت‌های غیرانسانی

بر اساس گزارشات اخیر شرکت اریکسون، اینطور تخمین زده می‌شود که تا سال 2020 29 میلیارد دستگاه کانکتد خواهیم داشت که 18 میلیاردش مربوط به بخش اینترنت اشیاء است. بسیاری از این دستگاه‌های کانکتد و همچنین اپ‌های موبایل و فرآیند‌های خودکار که حکم پیشرانه برای آن‌ها را دارند به راه‌حل‌های جدید IAM نیاز پیدا خواهند کرد. نوام لیران، مدیر بخش موفقیت در مشتری‌مداری شرکت CyberArk چنین می‌گوید: «مدیریت هویت و دسترسی می‌تواند به خیلی چیزها بستگی داشته باشد. اوایل تنها حول محول این سوال می‌چرخید: آیا این هویت رمزعبور دارد؟ اما اکنون، شرکت‌ها باید هویت‌های خرده سرویس‌ها، کانتینرهای کلود و اپ‌های موبایل (که به دنبال دسترسی به داده‌های خاص در کلود هستند) را نیز مدیریت نمایند». لیران در ادامه چنین می‌گوید که حتی وبسایتی با سیستم چت ساده نیاز به مدیریت دسترسی دارد. «یک چت‌بات خدمات مشتری می‌تواند نوع دیگری از مدیریت هویت باشد.

همچنین شاید بد نباشد بدانید کسب و کارها دارند به این مسئله رفته‌رفته توجه خاصی نشان می‌دهند: بازار جهانی برای سیستم‌های IAM از 4.5 میلیارد دلار در سال 2012 به 7.1 میلیارد دلار در سال 2018 رسید. بر اساس تخمین‌های  MarketsAndMarkets احتمال می‌رود این رقم تا سال 2021 به 14.82 میلیارد دلار خواهد رسید.

[1]  Identity Management