تهديدات أمن الشركات تتصاعد، وحماية الثقة الصفرية من Akamai هي الحل
كما هو الحال دائماً، لطالما كانت المنظمات والشركات تعاني من الهجمات والاستهدافات الأمنية متعددة المحاور. ومع تزايد اعتمادنا على التقنية اليوم في مختلف نواحي العمل، أتيح للمخترقين سطح هجوم هائل وفرصاً عديدة لتحقيق الاختراق. يقول السيد سباستيان جوغجيشون (Sebastien Gourguechon)، مدير الحلول الهندسية في شركة أكاماي المتخصصة بالخدمات السحابية والأمنية معلقاً على خطورة الوضع الأمني اليوم: “لم يعد السؤال متركزاً على احتمالية تعرضك للاختراق من طرف منظمة ما، بل أن السؤال هو متى سيحصل ذلك”.
يقدر تقرير تكلفة اختراق البيانات 2022 من شركة IBM أن متوسط تكلفة سرقة كل سجل من المنظمات هو حوالي 164 دولاراً. حيث استمرت التكلفة المتوسطة لاختراق البيانات بالارتفاع لتصل إلى 4.35 مليون دولار في عام 2022، وفي الشرق الأوسط كانت التكلفة أعلى قيمة، حيث تزيد التكلفة المتوسطة لاختراق بيانات المنظمات عن 7.46 مليون دولار أمريكي. وبالنظر إلى أن 83% من الشركات والمنظمات قد تعرضت لأكثر من اختراق بيانات في السابق، فقد بات التلكؤ بتطبيق الحماية الإلكترونية مغامرة عالية التكلفة للشركات.
لم يعد السؤال متركزاً على احتمالية تعرضك للاختراق من طرف منظمة ما، بل أن السؤال هو متى سيحصل ذلك
-سباستيان جوغجيشون، مدير الحلول الهندسية في أكاماي
في عالم الوصول البعيد، لم يعد الطوق الأمني مجدياً
قبل أن ينمو استخدام المنظمات للإنترنت والشبكات الواسعة بشدة ويتحول من خيار إلى ضرورة، كانت العديد من الشركات تستخدم مبدأ حماية الطوق الأمني في عملياتها. ويقوم هذا المبدأ على محاولة منع المخترقين أو المتسللين من الوصول إلى الشبكات الداخلية للشركات. إذ تم استخدام الشبكات الخاصة الافتراضية (VPNs) والخوادم لضمان بقاء الوصول إلى أصول الشركة وبياناتها محصوراً بالموظفين والأجهزة المخصصة لهم.
حتى مطلع الألفية، كانت مقاربة الطوق الأمني عالية الفعالية للشركات والمنظمات. حيث أتاحت منع المتسللين من الوصول إلى الشبكات من أجهزة بعيدة. لكنها وبالمقابل تركت الباب مفتوحاً للوصول غير المشروع من حواسيب الشركة نفسها، كما أنها منعت الوصول البعيد للموظفين العاملين من المنزل. لكن وفي عالم اليوم المستند على الخدمات السحابية والوصول البعيد من أي مكان في العالم، لم يعد تأمين الطوق الأمني كافياً للحماية.
تركز حماية الطوق الأمني على اعتماد موقع المستخدم ومكانه كالمعيار الأهم في مدى موثوقيته. لكن ومع القدرة على الاختراق البعيد لأجهزة الموظفين والحاجة للعمل البعيد لم يعد ذلك ممكناً أو عملياً اليوم. يقول السيد جوغجيشون: “بات علينا أن نلغي اعتماد الموقع كعامل تحديد للثقة الممنوحة للمستخدمين في عالم الشركات. وجودك في المكتب لن يمنحك أي ثقة إضافية بالمقارنة مع وجودك في المنزل أو عملك من فندق أثناء رحلة عمل”.
الكثير من الاختراقات تأتي من الخطأ البشري، والتدريب هو جزء من الحل
مع تطور الأنظمة الأمنية اليوم، بات المزيد من المخترقين يرون في الموظفين الحلقة الأضعف من سلسلة أمن المعلومات. حيث تستخدم الهندسة الاجتماعية وطرق اختراق أخرى لاستهداف الأفراد وسرقة حساباتهم لاستخدامها في أغراض خبيثة. ومع إدراك الشركات لهذه المشكلة، فهي تصرف الكثير من الأموال على تدريب موظفيها ليكونوا أكثر إدراكاً للتهديدات والفخاخ التي ينصبها المخترقون.
يعلق السيد جوغجيشون من أكاماي على الأمر: “لا شك بأن تدريب الموظفين هام للشركات لحماية محيطهم الأمني وبنيتهم التحتية، لكن ساعة تدريب وحيدة كل ستة أشهر لن تكون كافية لتحريك مؤشر اكتشاف النشاطات الخبيثة. كما أن تدريب الأطباء والمحامين والممرضين وسواهم في مجال أمن وتكنولوجيا المعلومات محدود الفائدة، حيث أن هذه التقنية ليست محورية في مجالات أعمالهم”.
يبقى تدريب وتأهيل الموظفين في المجال الرقمي لبنة أساسية في استراتيجيات الشركات الأمنية اليوم. لكن وحتى مع تدريبهم، يبقى 88% من رؤساء أمن المعلومات في الشركات غير واثقين من قدرة موظفيهم على حسن التقدير في قضايا الأمن السيبراني وفق تقرير أخير من Gartner. لذا من الواجب اعتماد مقاربة تحييد الخطأ البشري من المعادلة قدر الإمكان، وهذه المقاربة هي حماية الثقة الصفرية.
حماية الثقة الصفرية هي الجواب
تقوم فكرة حماية الثقة الصفرية على التعامل مع كل مستخدم وكل جهاز أو تطبيق على أنه مصدر محتمل للاختراقات. حيث لا يكفي الموقع الجغرافي أو عنوان بروتوكول الإنترنت (IP address) للثقة، بل لا بد من إعادة التوثيق والتأكيد في كل فرصة، بالإضافة إلى الحد من الحركة العرضية والرأسية ضمن شبكات الشركات لكل مستخدم، وجعل الأصول الأكثر حساسية محصورة أكثر ومتاحة بأذون مؤقتة للموظفين الذين يحتاجونها فقط.
للتعامل مع هذا النوع من الثغرات، ترى شركة أكاماي (Akamai) الرائدة في مجال شبكات توصيل المحتوى والأمن السيبراني حاجة لتعاون كبير بين المنظمات ومزودي الخدمات الأمنية. حيث تشرح الشركة في تقرير “مخطط لمعمارية الثقة الصفرية” الطرق الأفضل لتعامل الشركات مع التهديدات الأمنية وطريقة تطبيق حماية الثقة الصفرية بالشكل الأمثل. كما تحدد الشركة أسس حماية الثقة الصفرية كما يلي:
- الافتراض هو أن الشبكة عدوانية دائماً.
- هناك تهديدات خارجية وداخلية على الشبكة في كل وقت.
- لا يجب الاكتفاء بموقع الشبكة للثقة بها تلقائياً.
- يجب توثيق وترخيص كل أداة ومستخدم وتدفق عبر الشبكة.
- يجب أن تكون السياسات فعالة ومحسوبة من أكبر عدد ممكن من المصادر.
يضيف السيد جوغجيشون معلقاً على طريقة تطبيق حماية الثقة الصفرية: “لن تستبدل الثقة الصفرية أساليب الحماية والأمان الموجودة اليوم، بل ستضيف حلول الثقة الصفرية طبقة من الحماية والمعايير الأمنية المطبقة على الأنظمة مع استمرار اعتماد أفضل الإجراءات الأمنية”. وبينما لا يمكن للخدمات الأمنية أن تقدم حماية كاملة دون تعاون وثيق مع المنظمات وجهود أمنية داخلية، تعد أدوات أكاماي رائدة في المجال ووسيلة أساسية لحماية شبكات الشركات وأصولها من مختلف أنواع ومصادر الهجمات الإلكترونية.
