7.1 בקרת גישה - עקרונות יסוד, מרכיבים ואמצעים
בקרת גישה (Access Control) היא מנגנון חיוני באבטחת מערכות מידע, המסייע להגן על נכסי המידע מפני שימוש לא מורשה. בקרת גישה קובעת מי רשאי לגשת לאילו משאבים ותחת אילו תנאים, ומונעת גישה ממשתמשים לא מורשים. זהו תהליך של הגבלת הגישה למשאבים ממוחשבים, כגון מחשבים, רשתות, נתונים, ותוכנות. מטרותיה של בקרת גישה הן להגן על הסודיות, שלמות, וזמינות המשאבים הממוחשבים.
חשיבותה של בקרת גישה נובעת מכך שרוב נכסי המידע והמערכות בארגונים רגישים ויקרי ערך, וחדירה אליהם או ניצולם בידי גורמים עוינים עלולים לגרום נזק משמעותי. בקרת גישה היא שכבת ההגנה הראשונה מפני פריצה או חבלה. היא מסייעת לארגונים להגן על נתונים רגישים, כגון מידע אישי, קניין רוחני, ומידע פיננסי.
בקרת גישה בעולם הסייבר היא נושא מורכב מהסיבות הבאות:
- מגוון רחב של משתמשים והרשאות: במערכות מידע מודרניות ישנם משתמשים רבים עם צרכים שונים. כל משתמש יכול לדרוש הרשאות גישה שונות, וניהול הרשאות אלו באופן מאובטח ויעיל הוא תהליך מורכב.
- טכנולוגיות משתנות במהירות: עם התפתחות הטכנולוגיה, מתפתחות גם אמצעים חדשים לניהול בקרת גישה. השמירה על עדכניות ואבטחת התאמה לטכנולוגיות חדשות היא אתגר מתמשך.
- איומים סייבר ותקיפות: הגנה על מערכות מפני תקיפות סייבר וניסיונות חדירה היא משימה מורכבת. בקרת גישה חייבת להיות מתוחכמת מספיק כדי לעמוד בפני איומים אלו.
- הצורך בפשטות ונוחות למשתמש: בעוד שיש צורך באבטחה חזקה, יש גם צורך לשמור על נוחות השימוש למשתמשים הלגיטימיים. מציאת איזון בין אבטחה לנוחות היא אתגר.
- רגולציות וצרכים תעשייתיים: חברות וארגונים צריכים לעמוד בדרישות רגולטוריות ובסטנדרטים של התעשייה. כך שבקרת גישה צריכה להיות מותאמת גם לדרישות אלו.
- התמודדות עם סביבות מורכבות: מערכות מידע רבות כוללות מרכיבים מגוונים כמו ענן, מובייל, אפליקציות ועוד. כל אלו יוצרים סביבה מורכבת שדורשת בקרת גישה מתקדמת.
- התמודדות עם שינויים והתאמה: ארגונים משתנים תדירות - משתמשים חדשים, תפקידים חדשים, טכנולוגיות חדשות. כל שינוי דורש התאמה של מדיניות בקרת הגישה.
לכן בקרת גישה היא משימה מורכבת שדורשת ידע מעמיק, התמדה ועדכניות תדירה כדי להבטיח את אבטחת המידע.
ננסה לבטא את התשובה הארוכה הזו כך: כל-כך הרבה משתמשים שצריכים לקבל גישה לכל-כך הרבה מערכות שיושבות על כל-כך הרבה פלטפורמות שונות, הן מקומיות והן מרוחקות ואף ניידות או בענן, ושבכל אחת מהן יש כל-כך הרבה יישומים וכל-כך הרבה נתונים שחלקן כפופות להוראות רגולטיביות שדורשות כך או כך...
עקרונות יסוד בבקרת גישה
- הפרדת תפקידים: מתן הרשאות גישה מינימליות הנדרשות לביצוע התפקיד.
- עקרון הצורך לדעת: מתן גישה רק למידע הנדרש לביצוע העבודה.
- הקצאת הרשאות אישיות: כל משתמש מקבל הרשאות ייעודיות.
- ברירת מחדל של הגבלת גישה.
- ניטור ובקרה: רישום וניטור של כל אירועי הגישה.
מרכיבי בקרת גישה עיקריים
בקרת גישה מבוססת על מספר עקרונות יסוד, כגון:
- אימות (Authentication): אימות זהות של המשתמשים המבקשים לגשת למשאבים.
- הרשאה (Authorization): מתן הרשאות גישה למשתמשים המאושרים.
- חשבונות (Accounting): ניהול חשבונות המשתמשים, כולל מעקב אחר פעילויות הגישה שלהם.
- רישום וניטור פעילות
אוטנטיקציה היא תהליך של אימות זהות של אדם או מכונה שמבקשים גישה. אוטוריזציה היא האישור למשתמש או למערכת לבצע פעולה מסוימת (אחרי האימות, כמובן). לדוגמה, מערכת הזדהות של משתמש תזהה את המשתמש באמצעות סיסמה. לאחר מכן, המערכת תאשר אם המשתמש מורשה לבצע פעולה מסוימת, כגון גישה למשאב מסוים או ביצוע פעולה מסוימת.
הרכשה (Enrollment)
הרכשה היא תהליך של איסוף וניתוח נתונים על התנהגות משתמש או מערכת. נתונים אלו עשויים לכלול מידע על הפעילויות של המשתמש או המערכת, כגון אתרים שהמשתמש ביקר בהם, אפליקציות שהמשתמש השתמש בהן, ופעולות שהמשתמש ביצע.
הרכשה יכולה לשמש למגוון מטרות, כגון:
- ניתוח התנהגות משתמשים: הרכשה יכולה לשמש לניתוח התנהגות משתמשים כדי להבין את הרגלי השימוש שלהם, את הצרכים שלהם, ואת הדרך הטובה ביותר לתמוך בהם.
- יהוי התנהגות חשודה: הרכשה יכולה לשמש לזיהוי התנהגות חשודה, כגון ניסיונות חדירה או שימוש לרעה במערכת.
- התאמה אישית: הרכשה יכולה לשמש להתאמה אישית של חווית המשתמש, כגון הצגת תוכן רלוונטי יותר למשתמש.
הרשאות JIT
הרשאות "Just-In-Time" באבטחת מידע, מתייחסות לגישה שבה הרשאות מוענקות למשתמשים רק כאשר הן באמת נחוצות, ולפרק זמן מוגבל. זה שונה מהרשאות קבועות, שבהן משתמשים מקבלים הרשאות לצורך תפקידם והן נשארות פעילות ללא תלות בצורך הספציפי או בזמן.
ההבדל העיקרי בין הרשאות JIT להרשאות רגילות הוא בגישה לניהול סיכונים ובאבטחת מידע. בעוד שבהרשאות רגילות משתמשים רבים יכולים לקבל גישה רחבה למשאבים לפרק זמן ארוך, בהרשאות JIT הגישה מוגבלת לפרק זמן קצר ורק כאשר היא נחוצה. זה מקטין את הסיכון שמידע רגיש ייחשף או ייפגע על ידי התקפות או שגיאות פנימיות.
בנוסף, הרשאות JIT מקלות על מעקב ובקרה על גישות ושימושים במשאבים, מכיוון שהן מאפשרות לראות בבירור מתי ולמה ניתנה הגישה. זה מסייע בזיהוי ומניעת פעולות חשודות או לא מורשות.
בגישת JIT:
- משתמשים מקבלים הרשאות גישה מינימליות כברירת מחדל.
- כאשר נדרשת גישה למשאב כלשהו, מוקצות הרשאות זמניות ספציפיות לביצוע המשימה הנדרשת בלבד.
- עם סיום המשימה פג תוקף ההרשאות הזמניות.
- יתרונות השיטה:
- הפחתה ניכרת של סיכוני אבטחה ע"י מזעור חשיפה להרשאות מיותרות.
- הקשחה נגד התקפות פנימיות וגניבת הרשאות (Credential Theft).
- יישום המודל "המינימום ההכרחי" (Least Privilege).
סוגי אמצעים ליישום בקרת גישה
ישנם מספר סוגי אמצעי בקרת גישה, כגון:
אמצעים טכנולוגיים: אמצעי בקרה טכנולוגיים עוזרים לארגונים לאמת את זהות המשתמשים, להעניק הרשאות גישה, ולפקח על פעילויות הגישה. דוגמאות לאמצעי בקרה טכנולוגיים כוללות:
- סיסמאות
- זיהוי פנים
- טביעות אצבע
- כרטיסי חכם
- תוכנות אנטי-וירוס
- חומות אש
אמצעי ניהוליים: אמצעי בקרה ניהוליים עוזרים לארגונים להגדיר מדיניות אבטחה, לנהל חשבונות משתמשים, ולפקח על פעילויות הגישה. דוגמאות לאמצעי בקרה ניהוליים כוללות:
• מדיניות סיסמאות
• נהלים לאבטחת מחשבים
• הכשרה לאבטחת מידע
בקרת גישה היא כלי חשוב להגנה על אבטחת המידע בארגונים. היא מסייעת לארגונים להגן על נתונים רגישים, להפחית את הסיכונים לתקיפות סייבר, ולשמור על המשכיות העסקים.
אמצעי בקרת גישה כוללים סיסמאות, תגים, טביעות אצבע, אמצעי הזדהות ביומטריים, ועוד.