2025 يجب أن تكون السنة التي تلتزم فيها مزودو الهوية بتحسين كل جانب من جوانب جودة البرمجيات والأمان، بما في ذلك فرق الاختراق، مع جعل تطبيقاتهم أكثر شفافية والحصول على نتائج موضوعية تتجاوز المعايير.
لقد أخذت شركات الذكاء الاصطناعي الرائدة مثل Anthropic وOpenAI فرق الاختراق إلى مستوى جديد، مما أحدث ثورة في عمليات إصدارها للأفضل. يحتاج مزودو الهوية، بما في ذلك Okta، إلى اتباع نهجهم والقيام بالمثل.
بينما تُعتبر Okta واحدة من أولى بائعي إدارة الهوية الذين وقعوا على تعهد CISA الخاص بـ Secure by Design، إلا أنهم لا يزالون يواجهون صعوبة في تحقيق المصادقة بشكل صحيح. وقد أخبرت التوجيهات الأخيرة لـ Okta العملاء أن أسماء المستخدمين التي تتكون من 52 حرفًا يمكن دمجها مع مفاتيح التخزين المؤقت المخزنة، مما يتجاوز الحاجة لتقديم كلمة مرور لتسجيل الدخول. توصي Okta العملاء الذين يستوفون الشروط المسبقة بالتحقق من سجل نظام Okta الخاص بهم بحثًا عن مصادقات غير متوقعة من أسماء مستخدمين تزيد عن 52 حرفًا بين الفترة من 23 يوليو 2024 إلى 30 أكتوبر 2024.
تشير Okta إلى سجلها الأفضل في فئته فيما يتعلق بتبني المصادقة متعددة العوامل (MFA) بين المستخدمين والمديرين لنظام Workforce Identity Cloud. هذا هو الحد الأدنى لحماية العملاء اليوم وهو أمر ضروري للتنافس في هذا السوق.
أعلنت Google Cloud عن فرض المصادقة متعددة العوامل (MFA) لجميع المستخدمين بحلول عام 2025. كما جعلت Microsoft MFA إلزاميًا لـ Azure بدءًا من أكتوبر هذا العام. “بدءًا من أوائل عام 2025، ستبدأ عملية تنفيذ تدريجي لمصادقة MFA عند تسجيل الدخول لأدوات Azure CLI وAzure PowerShell وتطبيق Azure المحمول وأدوات البنية التحتية كرمز (IaC)” وفقًا لمدونة حديثة.
Okta تحقق نتائج مع CISA’s Secure by Design
من المشجع أن العديد من بائعي إدارة الهوية قد وقعوا على تعهد CISA Secure by Design. وقعت Okta عليه في مايو هذا العام، ملتزمة بأهداف الأمان السبعة للمبادرة. بينما تواصل Okta إحراز تقدم، لا تزال التحديات قائمة.
السعي وراء المعايير أثناء محاولة شحن تطبيقات جديدة ومكونات المنصة يمثل تحديًا كبيرًا. وما هو أكثر إشكالية هو الحفاظ على سلسلة متنوعة وسريعة الحركة تضم DevOps وهندسة البرمجيات وضمان الجودة وفرق الاختراق وإدارة المنتجات والمسوقين جميعهم متناسقين ومركزين على الإطلاق.
- عدم المطالبة بما فيه الكفاية عندما يتعلق الأمر بـ MFA: أفادت Okta بزيادة كبيرة في استخدام MFA حيث استخدمه 91% من المديرين و66% من المستخدمين اعتباراً من يناير 2024. وفي الوقت نفسه، تقوم المزيد والمزيد الشركات بجعل MFA إلزاميًا دون الاعتماد على معيار لذلك.
- إدارة الثغرات بحاجة للتحسين: تحتاج سياسة مكافآت الأخطاء والإفصاح عن الثغرات الخاصة بـ Okta إلى تحسين كبير؛ حيث إن نهجهم لإدارة الثغرات لا يزال رد فعل ويعتمد بشكل أساسي على التقارير الخارجية.
- تعزيز التسجيل والمراقبة بحاجة للتسريع: تعمل Okta حاليًا على تعزيز قدراتها المتعلقة بالتسجيل والمراقبة لتحسين رؤية الأمان ولكن حتى أكتوبر 2024 لا تزال العديد التحسينات غير مكتملة.
أخطاء أمان أوكتا تظهر الحاجة لإدارة ثغرات أكثر قوة
بينما واجه كل مزود لإدارة الهوية نصيبه الخاص من الهجمات والانتهاكات للتعامل معها ، فإنه لمن المثير للاهتمام رؤية كيف تستخدم أوكتا هذه الحوادث كوقود لإعادة اختراع نفسها باستخدام إطار عمل CISA’s Secure by Design.
تشمل الحوادث الأخيرة التي تعرضت لها أوكتا:
- مارس 2021 – خرق كاميرات Verkada
- يناير 2022 – اختراق مجموعة LAPSUS$
- ديسمبر 2022 – سرقة الشيفرة المصدرية
- أكتوبر 2023 – خرق دعم العملاء
- أكتوبر 2024 – تجاوز مصادقة اسم المستخدم
استراتيجيات فرق الاختراق لضمان أمان الهوية مستقبلاً
يجب أن تفكر أوكتا وغيرها ممن يقدمون خدمات إدارة الهوية كيف يمكنهم تحسين فرق الاختراق بعيداً عن أي معيار محدد؛ إذ ينبغي لشركة برمجيات مؤسسية ألا تحتاج لمعيار لتتفوق في مجال فرق الاختراق وإدارة الثغرات وتكامل الأمان عبر دورات حياة تطوير النظام الخاصة بها (SDLCs).
يمكن لأوكـتا وبائعي إدارة الهويات الآخرين تحسين وضعهم الأمني من خلال أخذ دروس فريق الاحتيال المستفادة أدناه وتعزيز موقفهم الأمني في هذه العملية:
- خلق تعاون مستمر بين الإنسان والآلة عند إجراء الفحوصات.
- الالتزام بالتفوق في اختبار الهويات المتكيف.
3 . تحديد مجالات معينة لفريق الاحتيال للحفاظ على تركيز الفحص.
4 . الحاجة لمحاكاة هجمات آلية أكثر للضغط واختبار منصات إدارة الهوية.
5 . الالتزام بمزيدٍ مــن تكامل معلومات التهديد الفورية .
لماذا ستشكل سنة الـ2050 تحدياً لأمن الهويات كما لم يحدث سابقاً؟
إن الخصوم بلا رحمة يسعون جاهدين لإضافة أسلحة جديدة وآلية إلى ترسانتهم ، وكل مؤسسة تكافح للحاق بالركب.
مع كون الهويات الهدف الرئيسي لمعظم الانتهاكات ، يجب أن تواجه مزودي خدمات إدارة الهويات هذه التحديات مباشرة وأن تزيد مستوى الأمان عبر كل جانبٍ منتجاتها .
ملاحظة الكاتب: شكر خاص لـ Taryn Plumb لتعاونها ومساهماتها لجمع الأفكار والبيانات.
