תקציר פרק: בקרת גישה
חשיבותה של בקרת גישה נובעת מכך שרוב נכסי המידע והמערכות בארגונים רגישים ויקרי ערך, וחדירה אליהם או ניצולם בידי גורמים עוינים עלולים לגרום נזק משמעותי. בקרת גישה היא שכבת ההגנה הראשונה מפני פריצה או חבלה. היא מסייעת לארגונים להגן על נתונים רגישים, כגון מידע אישי, קניין רוחני, ומידע פיננסי.
בקרת גישה היא משימה מורכבת שדורשת ידע מעמיק, התמדה ועדכניות תדירה כדי להבטיח את אבטחת המידע.
ננסה לבטא את התשובה הארוכה הזו כך: כל-כך הרבה משתמשים שצריכים לקבל גישה לכל-כך הרבה מערכות שיושבות על כל-כך הרבה פלטפורמות שונות, הן מקומיות והן מרוחקות ואף ניידות או בענן, ושבכל אחת מהן יש כל-כך הרבה יישומים וכל-כך הרבה נתונים שחלקן כפופות להוראות רגולטיביות שדורשות כך או כך...
בקרת גישה מבוססת על מספר עקרונות יסוד:
-
אימות (Authentication): אימות זהות של המשתמשים (או המערכות) המבקשים לגשת למשאבים.
-
הרשאה (Authorization): מתן הרשאות גישה ברמות משתנות למשתמשים המאושרים.
-
חשבונות (Accounting): ניהול מסודר של חשבונות המשתמשים, כולל מעקב אחר פעילויות הגישה שלהם.
-
רישום וניטור פעילות
בקרת גישה היא מערכת של מדיניות ופרוצדורות שמטרתן להגביל את הגישה של משתמשים למידע ורשתות מחשב. בקרת גישה יעילה יכולה לעזור להגן על מידע מפני גניבה, שימוש לרעה או השמדה. היא יכולה גם לעזור להגן על רשתות מחשב מפני חדירה.
בקרת גישה מבוססת על עקרונות כמו: הפרדת תפקידים, ברירת מחדל שהיא "אין גישה", אישור גישה לפי המינימום הנדרש לתפקיד, הקצאת הרשאות אישיות, ומערכות ניטור ובקרה לכל אירועי הגישה.
קיימים סוגים רבים ושונים של בקרות גישה המבוססים על גישות שונות: לפי תפקידים, לפי מועד גישה, לפי כללים, לפי סיכונים, לפי מדיניות, לפי רשימה קבועה ועוד. כולן תוסברנה בפרק זה בהמשך. קיימים גם אמצעים ניהוליים שמנהלים בקשת גישה.
הרשאות JIT
הרשאות "Just-In-Time" באבטחת מידע, מתייחסות לגישה שבה הרשאות מוענקות למשתמשים רק כאשר הן באמת נחוצות, ולפרק זמן מוגבל. זה שונה מהרשאות קבועות, שבהן משתמשים מקבלים הרשאות לצורך תפקידם והן נשארות פעילות ללא תלות בצורך הספציפי או בזמן.
ההבדל העיקרי בין הרשאות JIT להרשאות רגילות הוא בגישה לניהול סיכונים ובאבטחת מידע. בעוד שבהרשאות רגילות משתמשים רבים יכולים לקבל גישה רחבה למשאבים לפרק זמן ארוך, בהרשאות JIT הגישה מוגבלת לפרק זמן קצר ורק כאשר היא נחוצה. זה מקטין את הסיכון שמידע רגיש ייחשף או ייפגע על ידי התקפות או שגיאות פנימיות.
בנוסף, הרשאות JIT מקלות על מעקב ובקרה על גישות ושימושים במשאבים, מכיוון שהן מאפשרות לראות בבירור מתי ולמה ניתנה הגישה. זה מסייע בזיהוי ומניעת פעולות חשודות או לא מורשות.
אמצעי בקרת גישה
ישנם מגוון אמצעי בקרת גישה המשמשים להגן על נכסים. אמצעי בקרת גישה נפוצים כוללים:
-
סיסמאות: סיסמאות הן אמצעי בקרת גישה פשוט אך יעיל. סיסמאות חייבות להיות חזקות וייחודיות כדי להגן מפני פריצה.
-
אימות דו גורמי: גורמים כפולים הם אמצעי בקרת גישה המשתמש בשני גורמים שונים כדי לאמת את זהות המשתמש. גורמים כפולים נחשבים לבטוחים יותר מסיסמאות בלבד.
-
זיהוי ביומטרי: זיהוי ביומטרי הוא אמצעי בקרת גישה המשתמש בתכונות פיזיות של המשתמש, כגון טביעת אצבע או זיהוי פנים, כדי לאמת את זהותו. זיהוי ביומטרי נחשב לבטוחים יותר מסיסמאות וגורמים כפולים.
-
מדיניות סיסמאות: מדיניות סיסמאות היא סט של כללים לגבי סיסמאות, כגון אורך הסיסמה, מורכבות הסיסמה, ותדירות החלפת הסיסמה. מדיניות סיסמאות טובה עוזרת להגן מפני פריצות סיסמאות.
-
בקרת גישה היא אמצעי חיוני להגנה על הנכסים שלך מפני גישה בלתי מורשית. היא יכולה לעזור להגן על הדברים הבאים:
-
נתונים: בקרת גישה יכולה לעזור להגן על נתונים רגישים, כגון מידע אישי, נתוני כספים, ונתוני עסקיים.
-
אפליקציות: בקרת גישה יכולה לעזור להגן על אפליקציות קריטיות, כגון מערכות ERP ו-CRM.
-
שירותים: בקרת גישה יכולה לעזור להגן על שירותים חיוניים, כגון שירותי אינטרנט ושירותי ענן.
למעשה, האלמנט של בקרת גישה מיושם בפועל בטכנולוגיות שונות כל העת. אלו הם מנגנוני אימות: בסיסמאות, בזיהוי פנים, בטביעות אצבע, בכרטיסי חכם, בתוכנות אנטי-וירוס, בחומות אש ועוד אין ספור כלים.
בלב האתגר של בקרת גישה, עומד נושא "ניהול זהות וגישה" (IAM). זוהי מסגרת השוזרת אימות זהות עם בקרות גישה כדי להגן על מידע ומשאבים. IAM היא מערכת כוללת המגדירה, מאמתת ומנהלת את זהויות המשתמש.
מערכות בקרת גישה משתמשות ב"פרוטוקולים" שונים כדי לזהות משתמשים ולאפשר או לאשר את כניסתם.
בנוסף לפרוטוקולים מבוססי כרטיס או זיהוי ביומטרי, קיימים גם פרוטוקולים מבוססי רשת המשמשים לצורך בקרת גישה. פרוטוקולים אלו מאפשרים למשתמשים לגשת למערכות או נכסים מרחוק, ללא צורך להיות פיזית במקום.