آشنایی با PAM

مدیریت دسترسی ممتاز یا ویژه همان privileged access management متشکل از استراتژی ها و فناوری های امنیت سایبری برای اعمال کنترل بر دسترسی و مجوزهای بالا یا ممتاز برای کاربران، حساب ها، فرآیندها و سیستم ها در سراسر یک محیط فناوری اطلاعات است. در حمیم تخصصی ترین سامانه برای انجام سطوح مختلفی از مدیریت دسترسی به صورت بومی تولید شده است که تا کنون برای حساس ترین سازمان ها پیاده سازی شده است. گارتنر به عنوان یکی از بزرگترین مؤسسات ارایه دهنده مشاوره و راهکار در زمینه فناوری و تجارت ، این سامانه را به عنوان اولین پروژه امنیتی به متخصصان امنیت سایبری توصیه می کند. این پروژه بدلیل آنکه می تواند با کاربران انسانی و کاربران غیر انسانی همچون برنامه ها و هویت ماشین ها مرتبط باشد، طراحی شد. جهت درک بیشتر از اینکه اهمیت PAM چیست ابتدا میبایست انواع دسترسی انسانی و غیر انسانی ویژه را شناخت:

• ابر حساب کاربری: یک حساب کاربری یا Super user account بدون محدودیت توسط مدیران IT برای پیکربندی یک سیستم یا برنامه، افزودن یا حذف کاربران و یا حذف داده ها استفاده می شود.
• حساب مدیریت دامنه: حسابی که دسترسی مدیریتی ویژه را در تمام ایستگاه های کاری و سرورهای داخل یک شبکه مبتنی بر دامنه فراهم می کند که Domain administrative account نام دارد. تعداد این حساب ها معمولاً کم است، اما گسترده ترین و قوی ترین دسترسی را در سراسر شبکه فراهم می کنند.
• حساب مدیریت محلی: حساب Local administrative account در یک نقطه پایانی یا ایستگاه کاری قرار دارد و از ترکیب نام کاربری و رمز عبور استفاده می کند و به افراد کمک می کند تا به ماشین ها یا دستگاه های محلی خود دسترسی داشته و در آنها تغییراتی ایجاد کنند.
• کلید پوسته سوکت ایمن: حال Secure socket shell کلیدهایSSH پروتکل های کنترل دسترسی بسیار پر کاربردی بوده و دسترسی مستقیم root به سیستم های حیاتی را فراهم می کنند. نام کاربری root یا حساب کاربری است که به طور پیش فرض به تمام دستورات و فایل های موجود در لینوکس یا سایر سیستم عامل های مشابه یونیکس دسترسی دارد.
• حساب اضطراری: حساب Emergency account دسترسی مدیریتی را به سیستم های امن در مواقع اضطراری برای کاربران فراهم می کند. گاهی نیز از آن به عنوان Firecall یا Break Glass یاد می شود.
• کاربر تجاری ویژه: در واقع Privileged business user شخصی است که خارج از IT کار می کند، اما به سیستم های حساس دسترسی دارد و می تواند شخصی باشد که نیاز به دسترسی به سیستم های مالی، منابع انسانی همان HR یا بازاریابی دارد.
• حساب برنامه: حساب Application account یک حساب ویژه که مخصوص نرم افزار کاربردی بوده و معمولاً برای مدیریت، پیکربندی یا مدیریت دسترسی به نرم افزار کاربردی استفاده می شود.
• حساب سرویس: بطور کلی در رابطه با Service account میبایست خاطر نشان شد که یک برنامه یا سرویس از آن برای تعامل با سیستم عامل استفاده می کند. سرویس ها از این حساب ها برای دسترسی و ایجاد تغییرات در سیستم عامل یا پیکربندی استفاده می کنند.
• کلید: کلیدهای SSH نیز توسط فرآیندهای خودکار استفاده می شوند.
• راز: راز یا Secret توسط تیم توسعه و عملیات همان DevOps اغلب به عنوان یک اصطلاح شناخته شده مورد استفاده قرار می گیرد و به کلیدهای SSH، کلیدهای واسط برنامه کاربردی یا API و سایر اعتبارنامه هایی که توسط تیم های DevOps برای ارائه دسترسی ویژه استفاده می شود، اشاره دارد.


گزارش تحقیقات Verizon در سال 2020 نشان داد که بیش از 80 درصد از هک ها ، مربوط به استفاده از اعتبارات سرقت شده یا از دست رفته است. یک مطالعه اخیر توسط Centrify نشان داد که 74 درصد از نقض داده ها شامل دسترسی به یک حساب ممتاز است. این بسیار مهم است که سازمان ها اعتبارنامه ورود به سیستم را به ویژه برای سیستم های رده بالا و پر خطر حفظ کنند. راه حل های PAM این امنیت را با ذخیره اطلاعات ورود به سیستم حساب های اداری ممتاز در یک مخزن امن ، فراهم می کند و خطر سرقت آنها را کاهش می دهد. برای دسترسی به این مدارک، کاربران باید یک فرایند احراز هویت را طی کنند که نشان می دهد به حساب دسترسی پیدا کرده اند. این فرآیند به سازمانها اجازه می دهد تا دید واضح و مشخصی داشته باشند که چه کسی از کدام حساب و از کجا دسترسی دارد . حساب های ویژه اعتبار و اسرار در همه جا وجود دارند. تخمین زده می شود که تعداد آنها معمولاً سه تا چهار برابر بیشتر از کارکنان است. امروزه در محیط های تجاری، سطح حمله مرتبط با امتیازات، به سرعت در حال رشد است زیرا سیستم ها، برنامه ها، حساب های ماشین به ماشین، محیط های ابری و ترکیبی، DevOps، اتوماسیون فرآیند روباتیک و دستگاه های IoT به طور فزاینده ای به هم متصل می شوند. مهاجمان نیز این را می دانند و دسترسی های ویژه را مورد هدف قرار می دهند. امروزه، تقریباً 100 درصد حملات پیشرفته روی بهره برداری از اعتبارنامه های ویژه برای دستیابی به حساس ترین داده ها، برنامه ها و زیرساخت های هدف تمرکز دارند. در صورت سوء استفاده، دسترسی ویژه این قدرت را دارد که کسب وکار را مختل کند.


این پروژه مبتنی بر اصل حداقل امتیاز است، که در آن کاربران فقط حداقل سطوح دسترسی مورد نیاز برای انجام وظایف شغلی خود را دارند. اصل حداقل امتیاز به طور گسترده به عنوان بهترین روش امنیت سایبری در نظر گرفته می شود و گامی اساسی در حفاظت از دسترسی ویژه به داده ها و دارایی های با ارزش است. باتوجه به چالش های موجود دنیای اینترنتی باید دانست که چرا مدیریت دسترسی ویژه برای سازمان شما مهم است:

1. در تجارت دیجیتال امتیازات در همه جا وجود دارد.سیستم ها باید بتوانند به یکدیگر دسترسی داشته و به هم مرتبط باشند تا بتوانند با هم کار کنند. با استقبال سازمان ها از ابر، DevOps، اتوماسیون فرآیندهای روباتیک، اینترنت اشیا و غیره، تعداد ماشین ها و برنامه هایی که به دسترسی ویژه نیاز دارند افزایش یافته و به طبع آن سطح حمله نیز افزایش می یابد.

2. جهت مدیریت اعتبار حساب بسیاری از سازمان های IT برای تغییر و بروزرسانی اعتبارنامه های ویژه به فرآیندهای مدیریتی مستعد خطا و فشرده سازی دستی متکی هستند که می تواند یک رویکرد ناکارآمد و پرهزینه باشد.

3. انسان ها ضعیف ترین ارتباط شما هستند. از کاربران ویژه داخلی که از سطح دسترسی خود سوء استفاده می کنند، یا مهاجمان سایبری خارجی که امتیازات کاربران را هدف قرار داده و سرقت می کنند تا به صورت مخفیانه به عنوان کاربر ویژه عمل کنند، انسان ها همیشه ضعیف ترین ارتباط در زنجیره امنیت سایبری هستند. مدیریت دسترسی ویژه به سازمان ها کمک می کند تا مطمئن شوند افراد فقط سطوح لازم برای انجام کارهای خود را دارند. PAM همچنین تیم های امنیتی را قادر می سازد تا فعالیت های مخرب مرتبط با سوء استفاده از امتیازات را شناسایی کرده و اقدامات سریعی را برای مقابله با خطر انجام دهند.

4. در راستای ردیابی فعالیت های خاص بسیاری از شرکت ها نمی توانند نشست های ویژه را به طور متمرکز نظارت و کنترل کنند، و همین مسأله کسب وکار را در معرض تهدیدات امنیت سایبری و نقض تعهد قرار می دهد.

5. مهاجمان سایبری نقاط پایانی و ایستگاه های کاری را هدف قرار می دهند. دسترسی های مدیریتی، تیم های IT را قادر می سازد تا مشکلات را به صورت محلی برطرف کنند، اما ریسک بزرگی را نیز به همراه دارند. مهاجمان می توانند از دسترسی های مدیریتی سوء استفاده کرده، سپس از یک ایستگاه کاری به ایستگاه کاری دیگر بپرند، اعتبارات اضافی را بدزدند، امتیازات را بالا ببرند و به صورت مخفیانه در شبکه حرکت کنند تا زمانی که به چیزی که دنبال آن هستند برسند. یک برنامه PAM پیشگیرانه باید حذف کامل حقوق مدیریتی محلی در ایستگاه های کاری را برای کاهش خطر انجام دهد.

6. برای کنترل دسترسی کاربران ویژه سازمان ها معمولاً برای کنترل مؤثر دسترسی کاربران ویژه به پلتفرم های ابری، اپلیکیشن نرم افزار به عنوان سرویس، رسانه های اجتماعی و موارد دیگر در تلاش میباشند تا ریسک انطباق و پیچیدگی عملیاتی ایجاد کنند.

7. پروژه PAM برای داشتن انطباق حیاتی است. توانایی نظارت و شناسایی رویدادهای مشکوک در یک محیط بسیار مهم است، اما بدون تمرکز دقیق بر روی مواردی که بیشترین خطر را به همراه دارند کسب وکار آسیب پذیر خواهد بود.


پیاده سازی برنامه بر اساس مراحلی به سازمان ها کمک می کند تا در زمان کمتر ریسک بیشتری را کاهش داده، از شهرت کسب وکار خود محافظت نموده و اهداف امنیتی و نظارتی را با منابع داخلی کمتر برآورده کنند. حال با بهترین شیوه های مدیریت دسترسی ویژه یا مراحل اجرای PAM آشنا میشویم:

• از بین بردن حملات تسخیر شبکه برگشت ناپذیر برای اینکه تمام دسترسی های ویژه به Domain Controllers و سایر منابع Tier0 و Tier1 را جدا کنید، به احراز هویت چند مرحله ای نیاز دارید.

• حساب های زیرساخت را کنترل و ایمن کنید، همه حساب های زیرساخت شناخته شده را در یک صندوق دیجیتالی با مدیریت مرکزی قرار دهید. پس از هر بار استفاده، رمزهای عبور را به طور منظم و خودکار عوض کنید.

• حرکات جانبی را محدود کنید، تمام کاربران نقطه پایانی را به طور کامل از گروه مدیران محلی در ایستگاه های کاری مبتنی بر سیستم عامل ویندوز حذف کنید تا از سرقت اعتبارنامه جلوگیری کنید.

• از اعتبارنامه های برنامه های شخص ثالث محافظت کنید. تمام حساب های ویژه مورد استفاده توسط برنامه های شخص ثالث را ذخیره کنید و اعتبارنامه های رمزگذاری شده برای برنامه های تجاری خارج از چارچوب را از بین ببرید.

• کلیدهای NIX SSH را مدیریت کنید، تمام جفت های کلید SSH را در سرورهای لینوکسی و یونیکسی ذخیره کنید و آنها را به صورت دوره ای عوض کنید.

• از رمزهای DevOps در فضای ابری و پیش فرض محافظت کنید. همه حساب ها، کلیدها و کلیدهای API دارای امتیاز شبکه های ابری عمومی را ایمن کنید. تمام اعتبارنامه ها و رمزهای مورد استفاده توسط ابزارهای CI/CD مانند Ansible، Jenkins و Docker را در یک خزانه امن قرار دهید، که آنها را قادر سازد به سرعت بازیابی، به طور خودکار تعویض و مدیریت شوند.

• ادمین های ایمن SaaS و کاربران ویژه تجاری، تمام دسترسی ها به شناسه های مشترک را جدا کنید و به احراز هویت چند عاملی نیاز دارید.

• در تمرینات دوره ای تیم قرمز برای تست دفاع شرکت کنید. اعتبارسنجی و بهبود کارایی در برابر حملات دنیای واقعی


حال میتوان گفت که PAM یک اقدام امنیتی است که به سازمان ها اجازه می دهد فعالیت کاربران با سطح دسترسی ممتاز، از جمله دسترسی آنها به سیستم های تجاری اصلی و آنچه که آنها قادر به انجام آن هستند را کنترل و نظارت کنند. اکثر سازمان ها سیستم های خود را در سطوح مختلف سفارش می دهند، با توجه به شدت پیامدها باید از سیستم استفاده شود یا از آن سوء استفاده شود. حساب های ممتاز، مانند مدیر دامنه و حساب تجهیزات شبکه، بر اساس سطوح بالاتر مجوزها، سطوح مدیریتی دسترسی به سیستم های رده بالا را فراهم می کنند. راه حل های PAM به مدیران کمک می کند تا دسترسی به منابع مهم تجاری را کنترل کرده و از امنیت این سیستم های رده بالا اطمینان حاصل کنند. این لایه امنیتی اضافی از سیستم های تجاری مهم محافظت می کند، اما حاکمیت بهتر و رعایت مقررات داده را نیز تشویق می کند. گاهی اوقات به عنوان مدیریت هویت خاص همان PIM- privileged identity management و امنیت دسترسی ویژه یا PAS- privileged access security شناخته می شود.