كيف تساعد أدوات إدارة كلمات المرور المؤسسات على منع الاختراقات

يواصل المهاجمون شن هجمات عنيفة على شبكات الشركات ، ويجمعون بين التقنيات لسرقة كلمات المرور وبيانات اعتماد الوصول المميزة. تأتي الاختلافات والتكرارات بمعدل يجعل من الصعب جدًا على المؤسسات التي تتعرض لضغوط شديدة التعامل معها. يمكن أن تساعدك إدارة كلمات المرور.

تعد بيانات الاعتماد وسرقة كلمات المرور المسروقة في صميم غالبية عمليات الاختراق التفاعلية ولا أحد محصن.

يكثف المهاجمون وعصابات مجرمي الإنترنت ومجموعات التهديد المستمر المتقدم (APT) جهودهم لسرقة كلمات المرور وبيانات اعتماد الوصول المميزة من خلال التركيز على المديرين التنفيذيين من المستوى C. وجد تقرير حالة التأهب الأمني ​​لعام 2023 الصادر عن Ivanti أن المديرين التنفيذيين من المستوى C هم على الأقل أربع مرات أكثر عرضة لوقوع ضحايا التصيد الاحتيالي مقارنة بالموظفين الآخرين.

وقع ما يقرب من واحد من كل ثلاثة رؤساء تنفيذيين وأعضاء من الإدارة العليا ضحية لهجمات صيد الحيتان ، إما عن طريق النقر على رابط أو إرسال الأموال.

مهاجمة أنظمة إدارة الوصول إلى الهوية (IAM) ومديري كلمات المرور على مستوى المؤسسات ، بما في ذلك الهجمات المتعددة على LastPass التي أدت إلى خرق 25 مليون هوية مستخدم ، تُظهر أن الهويات هي سطح التهديد الذي يختاره المهاجمون. كلمات المرور الضعيفة والمشتركة والتهيئة الخاطئة ونقاط الضعف هي مشكلات عصفت بالصناعة لسنوات ولا تزال قائمة حتى يومنا هذا. ما تغير هو السرعة والتعقيد اللذين يمكن لخصم اليوم استخدام نقاط الضعف هذه كسلاح ، “كتب مؤسس CrowdStrike والرئيس التنفيذي جورج كورتز.

تكتسب إدارة كلمات المرور الثقة في المؤسسات متوسطة الحجم

بالنسبة للمؤسسات التي يبلغ دخلها السنوي 50 مليون دولار أو أقل ، تميل إدارة كلمات المرور إلى العزلة اعتمادًا على حجم ميزانية الأمان الإجمالية. غالبًا ما تبدأ الشركات الصغيرة والمتوسطة (SMBs) بإدارة كلمات المرور والمصادقة متعددة العوامل (MFA). بمجرد زيادة محاولات الاقتحام والاختراق ، يصبح العثور على حل مُدار للكشف والاستجابة (MDR) أكثر أهمية.

تشير محادثاتنا إلى أن مديري كلمات المرور الأكثر ثقة في المؤسسات الصغيرة هم 1Password Business و Ivanti Password Director و NordPass و Keeper Enterprise Password Management و Specops Software Password Management و Bitwarden و Authlogics Password Security Management. هناك مديرين آخرين لكلمات المرور ، وهما ManageEngine ADSelfService Plus و ManageEngine Password Manager Pro ، شائعان أيضًا في المؤسسات الأصغر وقد تم استهدافهما من قبل مهاجمي APT. أصدرت CISA التنبيه ، APT Actors Exploating Newly Identified Vulnerability in ManageEngine ADSelfService Plus ، في عام 2021 ، محذرة من نقاط الضعف.

تواجه الشركات الصغيرة والمتوسطة ذات الإيرادات السنوية في نطاق 50 مليون دولار سلسلة فريدة من التحديات الأمنية التي لا تحلها إدارة كلمات المرور وحدها. نشرت CrowdStrike مؤخرًا نتائج دراسة استقصائية تحدد أهم تحديات الأمن السيبراني للشركات الصغيرة والمتوسطة. أكد الاستطلاع أن مجرمي الإنترنت يستهدفون بشكل متزايد الشركات الصغيرة والمتوسطة لأنها تمثل أهدافًا أكثر ليونة من الشركات الكبيرة. أخبر قادة تكنولوجيا المعلومات والأمن في الشركات متوسطة الحجم VentureBeat أنهم يعتمدون MDR للحصول على مزايا الذكاء الاصطناعي (AI) والتعلم الآلي (ML) والخبرة البشرية.

تريد الشركات الصغيرة والمتوسطة تجاوز إدارة كلمات المرور والحصول على مراقبة واستجابة ومعالجة للأمن السيبراني على مدار الساعة طوال أيام الأسبوع ، وإمكانية الوصول إلى محللين خبراء لتحديد الخرق وإيقافه بسرعة.

في المؤسسات الكبيرة التي تزيد إيراداتها عن مليار دولار ، تعد إدارة كلمات المرور جزءًا لا يتجزأ من خطط وخطط إدارة الوصول المتميزة (PAM) التابعة لـ CISO. غالبًا ما توفر أنظمة إدارة كلمات المرور الأكثر موثوقية تكاملًا على مستوى واجهة برمجة التطبيقات مع أنظمة IAM و PAM. يريد CISO بيانات القياس عن بُعد في الوقت الفعلي لتحديد مخاطر التطفل أو الخرق المحتملة.

تجد الشركات أدوات إدارة كلمات مرور جديرة بالثقة بين موردي إدارة كلمات المرور التالية استنادًا إلى المحادثات مع CISO في مجالات التأمين والخدمات المالية وتكنولوجيا المعلومات والتصنيع والخدمات المهنية.

1 كلمة المرور

يعد 1Password Business اختيارًا مألوفًا في خدمات تكنولوجيا المعلومات والخدمات المالية ، ويحصل على درجات عالية من CISOs الذين يقدرون كيفية دعمه ومزامنته تلقائيًا عبر أجهزة متعددة ، بغض النظر عن نظام التشغيل. بالنسبة للقوى العاملة الافتراضية التي تعمل على العديد من أجهزة Android و Windows و Apple iOS ، فإن 1Password يحفظ مكاتب خدمات تكنولوجيا المعلومات مئات الساعات سنويًا في مكالمات التكوين والجلسات عبر الإنترنت ، وفقًا لمقابلة حديثة أجراها VentureBeat مع CISO في الخدمات المالية.

تقول الشركات التي تستخدم 1Password Business إن ميزات MFA بديهية ، مما يساعد على زيادة استخدامها عبر قاعدة موظفي الشركة في جميع أنحاء العالم. تُعد عمليات تشفير Vault و URL من العوامل الإضافية التي تدفع المؤسسات إلى الوثوق بـ 1Password Business على أنظمة إدارة كلمات المرور الأخرى. يعتبر أحد أكثر مديري كلمات المرور تصميمًا بديهيًا والذي يمكنه توسيع نطاق المؤسسات اليوم.

بتواردن

وجدت Bitwarden استخدامًا مكثفًا لفرق مطوري المؤسسات في مجالات التأمين وتكنولوجيا المعلومات والخدمات المالية وصناعات الخدمات المهنية. يتضمن المكون الإضافي لـ Bitwarden Chrome منشئًا ومديرًا لكلمات المرور مصممًا بشكل حدسي ، والذي يتطور بشكل جيد في بيئات devops دون التأثير على إنتاجية المهندسين. يقول CISO إنهم اختاروا Bitwarden لتقليل الوقت المستغرق في السوق لإطلاق حل إدارة كلمات المرور داخليًا ، مع وجود خيارات إنشاء كلمات المرور التي تفي بمتطلبات الامتثال الداخلية والتنظيمية. اكتسبت Bitwarden سمعة طيبة في المؤسسات من حيث جودة عملها عبر العديد من الأجهزة وأنظمة التشغيل ، مما يقلل من عبء العمل على مكاتب وفرق دعم تكنولوجيا المعلومات. إصدار Bitwarden المجاني للاستخدام الشخصي يستحق التفكير إذا لم تكن تستخدم مدير كلمات المرور بالفعل.

برافورا

يُعد Bravura Security Pass أحد أكثر مديري كلمات مرور قوة المؤسسة قابلية للتوسعة والتخصيص ، ويمنحون Bravura Security Pass علامات عالية لسهولة التخصيص. تتيح Bravura أيضًا لغة التطوير الخاصة بها ، مما يسمح للعملاء بتخصيص Security Pass لمتطلباتهم الفريدة. يقدر قادة تكنولوجيا المعلومات مدى انخفاض صيانة مدير كلمات المرور بمجرد تكوينها ومدى موثوقية التوزيع العشوائي لكلمات المرور. جميع مدراء تكنولوجيا المعلومات وقادة تكنولوجيا المعلومات الذين تحدثت إليهم VentureBeat باستخدام Bravura Pass يستخدمون أيضًا أسلوب MFA ووجدوا أن عملية دمج الاثنين موثقة جيدًا ومدعومة من Bravura.

أفاتير

تم تصميم Avatier’s Identity Anywhere Password Management للتشغيل في البيئات المستضافة على السحابة وغير المستضافة ، والتي تعتبرها المؤسسات ميزة للحصول على نفس تصنيف الأمان عبر مكدس التكنولوجيا الخاصة بهم. حصلت Avatier على درجات عالية من قادة تكنولوجيا المعلومات والأمن لخيارات التكامل والاختيارات لأفضل طريقة لمصادقة المستخدمين ، بالنظر إلى مكدس الأمان الحالي للمؤسسة ومهام سير العمل. ما يجعل هذا أحد أكثر مديري كلمات المرور جدارة بالثقة هو مدى قدرته على مزامنة كلمات المرور بعد دمجها عبر الأنظمة المحلية. أخبر CISO VentureBeat أن Identity Anywhere تقلل أيضًا من تذاكر مكتب مساعدة تكنولوجيا المعلومات من خلال توفير إعادة تعيين كلمات المرور ودعم المصادقة بشكل ممتاز.

حارس

تعتبر إدارة كلمة مرور المؤسسة من Keeper أحد أكثر مديري كلمات مرور المؤسسات الموثوق بهم لأنها أثبتت نفسها بمرور الوقت في التكوينات المعقدة التي تختبر نطاق وسرعة النظام. على سبيل المثال ، قال مسؤول أمن المعلومات CISO من شركة تأمين رائدة لـ VentureBeat أن التكامل مع SSO لحماية تطبيقات الإنتاجية الشخصية المستندة إلى مجموعة النظراء باستخدام Keeper ساعد في حماية أكثر من 5000 من مستخدمي Office365 على الفور.

ويحصل Keeper أيضًا على درجات عالية لدعمه للتنبيهات ومراقبة الجلسات وإعداد التقارير. يقدر قادة تكنولوجيا المعلومات كيف توفر خارطة الطريق المزيد من ميزات IAM و PAM. يقول قادة تكنولوجيا المعلومات إن ميزة تدقيق الأمان التي تسجل قوة كلمة المرور تساعد في تدريب الموظفين على إنشاء كلمات مرور أكثر فاعلية مع اكتشاف أي كلمات مرور ضعيفة على مستوى البنية التحتية.

نقطة الإبحار

تشتهر SailPoint Password Management بنظام التنفيذ السحابي المبسط ، وفقًا للعملاء الذين تمت مقابلتهم بواسطة VentureBeat ، وتعتبر واحدة من أكثر مديري كلمات المرور الموثوق بهم من قبل قادة تكنولوجيا المعلومات في المؤسسة الذين غالبًا ما يدمجونها مع SSO وأنظمة المصادقة الأخرى المستندة إلى الهوية. تتمتع SailPoint بسمعة طيبة في العمل بشكل موثوق وامتلاك لوحات معلومات بديهية كافية لتكوينها دون تدريب مكثف أو تعيين خبير. يقوم النظام بمزامنة كلمات المرور بشكل موثوق ويساعد على تقليل مكالمات مكتب مساعدة تكنولوجيا المعلومات من خلال ميزة إعادة تعيين كلمة المرور التي لا تتطلب مشاركة المسؤول.

المواصفات

يقول CISO في خدمات تكنولوجيا المعلومات إن Specops Software Password Management هي واحدة من أكثر أنظمة إدارة كلمات المرور الموثوقة على مستوى المؤسسة لأنها تضع السياسات بشكل موثوق حسب نوع حساب المستخدم والمجموعة ، مما يضمن الامتثال. يتحقق Specops من كلمات المرور مقابل قواعد بيانات كلمات المرور المخترقة ، مما يضمن عدم استخدام أي منها على مستوى المؤسسة. يعد هذا مصدر ارتياح كبير لقادة تكنولوجيا المعلومات وفرق الأمن السيبراني المهتمين بنشر كلمات المرور المخترقة عبر شبكاتهم. يقول قادة تكنولوجيا المعلومات أيضًا إن قدرة النظام على التعامل مع عمليات إعادة التعيين تجعله واحدًا من أكثر الأنظمة موثوقية التي رأوها ، إلى جانب سهولة تصميم التطبيق.

يحتاج CISOs إلى التخطيط لمستقبل بدون كلمة مرور

الهجمات التي تهدف إلى الحصول على كلمات مرور تبدو وكأنها تجارة على الثقة الضمنية المتوفرة عبر شبكات المؤسسة. بمجرد الحصول على الوصول ، يمكن للمهاجمين التنقل بحرية عبر الشبكات غير المكتشفة. كتب Ant Allan ، محلل VP ، و James Hoover ، المحلل الرئيسي في Gartner IAM Leaders ‘Guide to User Authentication: “على الرغم من ظهور المصادقة بدون كلمة مرور ، فإن كلمات المرور تظل موجودة في العديد من حالات الاستخدام وتظل مصدرًا مهمًا للمخاطر وإحباط المستخدم”.

يحتاج قادة الأمن السيبراني إلى التفكير في كيف يمكنهم في النهاية الابتعاد عن الاعتماد المفرط على كلمات المرور واعتماد نهج قائم على الثقة بدرجة أكبر لتأمين الهويات عبر مؤسساتهم. تتوقع جارتنر أنه بحلول عام 2025 ، سيكون أكثر من 50٪ من القوى العاملة وأكثر من 20٪ من معاملات مصادقة العملاء بدون كلمة مرور ، بزيادة من أقل من 10٪ اليوم.

ما نحتاجه هو أنظمة مصادقة بدون كلمة مرور تتسم بالبساطة الشديدة ، ولا تحبط المستخدمين ، بينما توفر أيضًا مصادقة تكيفية على أي جهاز. Fast Identity Online 2 (FIDO2) هو أحد المعايير الرائدة في المصادقة. نتوقع أن نرى المزيد من بائعي IAM و PAM يوسعون دعمهم لـ FIDO2 في العام المقبل.

من بين البائعين الرائدين الذين يقدمون حلول المصادقة بدون كلمة مرور Microsoft Authenticator و Okta و Duo Security و Auth0 و Yubico و Ivanti’s Zero Sign-On (ZSO). من بين هؤلاء ، يعتبر نهج إيفانتي جديرًا بالملاحظة في الجمع بين المصادقة بدون كلمة مرور وعدم الثقة. تعد Ivanti’s ZSO جزءًا من النظام الأساسي الموحد لإدارة نقطة النهاية وتستخدم القياسات الحيوية ، بما في ذلك معرف الوجه من Apple ، كعامل مصادقة ثانوي للوصول إلى الحسابات والبيانات والأنظمة الشخصية والمشتركة للشركات.