ورقة بيضاء من Obsidian Security: الثقة الصفرية في عالم SaaS
ورقة بيضاء حول Health-ISAC Navigator من إعداد HITE PAPER:
أهمية قيام مؤسسات الرعاية الصحية بتوسيع نطاق مبادئ الثقة الصفرية لتشمل التطبيقات المهمة للأعمال
نسخة PDF:
نسخة النص:
مبادئ الثقة الصفرية
يعتمد إطار عمل أمان الثقة الصفرية على المفهوم الأساسي المتمثل في أن الثقة الضمنية للمستخدمين والأجهزة في البيئة تزيد من خطر التعرض لاختراق محتمل. ومن خلال القضاء على هذه الثقة الضمنية وفرض تحديد ومصادقة صارمين في جميع أنحاء الشبكة، تأمل فرق الأمن التي تستخدم الثقة الصفرية في الحد بشدة من الفرص المتاحة لأي مهاجم يسعى إلى الحصول على وصول غير مصرح به إلى البيانات الحساسة.
كانت المناقشات الأولى حول مبدأ الثقة الصفرية تشكك في فعالية تدابير الأمن المحيطية التقليدية، مؤكدة أن المهاجم الذي يتجاوز هذه التدابير سيكون لديه وصول غير مقيد إلى شبكة الشركة، واقترحت بدلاً من ذلك تسجيل كل طلب للوصول والتحقق منه. ومنذ ذلك الحين، تطور مبدأ الثقة الصفرية من أمن محيط الشبكة إلى نموذج أكثر تركيزًا على الهوية استجابة لقوة العمل المتنقلة بشكل متزايد وتبني الخدمات السحابية.
كما خضعت صناعة الرعاية الصحية أيضًا للتحول من محيطات الشبكة المحلية إلى أنظمة أكثر لامركزية للموظفين والمقاولين المتنقلين والأجهزة الطبية المتصلة بالإنترنت وتطبيقات السحابة. ومع استهداف المهاجمين لمؤسسات الرعاية الصحية بشكل متكرر، يتجه العديد من قادة الأمن إلى نموذج الثقة الصفرية لحماية بيئاتهم بشكل أفضل. مع احتواء التطبيقات على بيانات أكثر حساسية من أي وقت مضى، فإن تطبيق إطار الثقة الصفرية هذا على SaaS يمكن أن يقلل بشكل كبير من مخاطر وتأثير الاختراق المحتمل - لكن تنفيذه يتطلب فهمًا عميقًا والتحقق المستمر من كل جزء من تطبيقات SaaS المهمة للأعمال.
جلب الثقة الصفرية إلى SaaS
إن الثقة الصفرية تجلب مزايا أمنية كبيرة للمؤسسة، حيث أن تجنب الثقة الضمنية يقلل من احتمالية وتأثير ووقت اكتشاف الاختراق. يتطلب نموذج الثقة الصفرية للأمن أن "لا تثق أبدًا، بل تتحقق دائمًا" من كيفية اتصالها بتكنولوجيا المعلومات الخاصة بالشركة والوصول إليها واستخدامها. وفقًا للمعهد الوطني للمعايير والتكنولوجيا (NIST 800-207)، تتطلب الثقة الصفرية تنفيذ ثلاثة مبادئ أساسية:
- التحقق المستمر من إمكانية الوصول لكل عنصر
- الحد من تأثير الاختراق المحتمل
- جمع البيانات السلوكية لتسهيل الاستجابة السريعة للحوادث
إن توفير الثقة الصفرية لتطبيقات SaaS يعني تطبيق نفس المبادئ عند تصميم عناصر التحكم. لا يكفي الاعتماد فقط على تسجيل الدخول الفردي (SSO) والمصادقة متعددة العوامل (MFA)؛ حيث توفر هذه الحلول التحقق الأولي من وصول المستخدم، ولكنها لا تتحقق من كل مكون من مكونات بيئة SaaS. تتطلب الثقة الصفرية لتطبيقات SaaS فهمًا أعمق لكل تطبيق، وليس الاعتماد على مزود الهوية وحده.
بيئة SaaS المترابطة نظرًا لأن الثقة الصفرية تتطلب التحقق المستمر من كل عنصر، فليس من الكافي التحقق من صحة الاتصال بين العميل والتطبيق فحسب - فهناك مصادر أخرى للمخاطر في بيئة SaaS تتطلب المراقبة. يبدأ نهج الثقة الصفرية لأمن SaaS بفهم شامل للمكونات الأساسية الثلاثة لهندسة التطبيق: اتصال العميل والتطبيق نفسه والخدمات الأخرى المتصلة بالتطبيق.
بيئة SaaS المترابطة
نظرًا لأن الثقة الصفرية تتطلب التحقق المستمر من كل عنصر، فليس من الكافي التحقق من صحة الاتصال بين العميل والتطبيق فحسب - فهناك مصادر أخرى للمخاطر في بيئة SaaS تتطلب المراقبة. يبدأ نهج الثقة الصفرية لأمن SaaS بفهم شامل للمكونات الأساسية الثلاثة لهندسة التطبيق: اتصال العميل والتطبيق نفسه والخدمات الأخرى المتصلة بالتطبيق.
اتصال العميل
إن فهم المصادقة والامتيازات والإجراءات التي يقوم بها المستخدمون داخل التطبيقات المهمة للأعمال وعبرها أمر ضروري للغاية لتحديد نطاق المخاطر التي يتعرض لها كل مستخدم. ولابد من تجميع هذه البيانات وتطبيعها باستمرار في تنسيق واحد يسهل فهمه حتى يسهل على فريق الأمان الوصول إليه. وهذا يوسع مبدأ "لا تثق أبدًا، تحقق دائمًا" إلى ما هو أبعد من موفري الهوية إلى تطبيقات SaaS نفسها.
تطبيق
تطبيقات SaaS للمؤسسات هي أنظمة فريدة ومعقدة بطبيعتها مع نقاط ضعف هيكلية خاصة بها وقضايا خاصة بكل بيئة مستخدم. يعد المراقبة المستمرة لوضع أمان التطبيق جزءًا مهمًا من الثقة الصفرية - وهذا يشمل كل من تكوينات التطبيق والامتيازات الممنوحة للمستخدمين. لا تعني إدارة وضع أمان SaaS (SSPM) معرفة حالة عناصر التحكم والأذونات فحسب، بل أيضًا مراقبة الأنشطة المرتبطة بكل منها.
التكاملات
عندما يقوم مستخدمو SaaS والمسؤولون بدمج تطبيقات الطرف الثالث في التطبيقات الأساسية لتوسيع الوظائف وأتمتة سير العمل وتمكين الاتصال عبر الأنظمة الأساسية، فإنهم يمنحون وصولاً مستمرًا وأذونات للاتصال. يمكن أن يؤدي هذا إلى مخاطر أمنية خطيرة إذا تُرِك دون مراقبة. حتى تطبيقات الطرف الثالث التي تم فحصها يمكن اختراقها، مما يوفر بابًا خلفيًا إلى الخدمة الأساسية. يعد المراقبة المستمرة واكتشاف التهديدات للتكاملات جزءًا مهمًا من الثقة الصفرية لـ SaaS.
البقاء في صدارة التهديدات
إن العملاء والتكاملات والتطبيقات في بيئة SaaS الخاصة بك كلها تشكل درجة معينة من المخاطر، وإذا تركت دون مراقبة، فقد تصبح نقاط دخول محتملة للاختراق. إن المؤسسات التي لا تراقب هذه الاتصالات باستمرار داخل بيئة SaaS تكون في الواقع غافلة عن التهديدات وفجوات الموقف داخل تطبيقاتها الأساسية، مما يجعل بنيات الثقة الصفرية الخاصة بها غير مكتملة.
إن التحدي الذي تواجهه مؤسسات الرعاية الصحية كبير بشكل خاص حيث يبحث المهاجمون عن فرص لإرباك فرق الأمن. أفادت وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) بزيادة بنسبة 50٪ في خروقات الأمن السيبراني في الرعاية الصحية في النصف الأول من عام 2020، مما أدى إلى تعطيل مؤسسات الرعاية الصحية المنشغلة بجائحة COVID-19 الناشئة.
يمكن للمهاجمين المتطورين بشكل متزايد استخدام مجموعة متنوعة من التقنيات لتجاوز موفري الهوية والحصول على وصول غير مصرح به إلى بيئات SaaS، بما في ذلك اختطاف الجلسة وإساءة استخدام OAuth.
اختطاف الدورة
لتحسين تجربة المستخدم، توفر تطبيقات SaaS رمز جلسة مخزن في المتصفح يحدد هوية المستخدم ويسمح بالوصول دون الحاجة إلى تسجيل الدخول في كل زيارة. يكاد يكون من المستحيل تخمين هذه الرموز، وهي محمية بـ SSL عبر الشبكة، ومشفرة عند تخزينها على نقطة النهاية. بمجرد حصول المستخدم على رمز، يمكنه إعادة زيارة التطبيق على مدار فترة متعددة الأيام دون الحاجة إلى إعادة المصادقة. في حالة مزود الهوية (IDP) مثل Okta أو Duo أو Microsoft Azure AD، فإنه يسمح لهم بالمصادقة على تطبيقاتهم المعتمدة، وإنشاء رموز جديدة خاصة بالتطبيق وتسهيل الوصول السلس إلى جميع الخدمات.
لسوء الحظ، فإن الراحة التي توفرها رموز الجلسة طويلة الأمد خلقت فرصة للمهاجمين لاستغلالها. فبدلاً من محاولة سرقة أسماء المستخدمين وكلمات المرور، يحاول المهاجمون إنشاء استمرارية في موفر هوية SaaS من خلال البرامج الضارة أو هجوم الوسيط. ينتظر المهاجمون حتى يتم مصادقة الجهاز بنجاح باستخدام MFA قبل اعتراض رمز الجلسة أثناء النقل. ثم يتمكنون من الاتصال بموفر هوية المستخدم كمستخدم مصادق عليه بالكامل، مما يسمح للمهاجمين بالاتصال بكل تطبيق يمكن للمستخدم الوصول إليه. يمكن أن تمنح هذه التقنية المهاجمين ما يصل إلى 30 يومًا من الوصول الكامل دون مصادقة على الإطلاق.
إن تجاوز المصادقة يسمح للمهاجمين بإلغاء أي جانب من جوانب الثقة الصفرية الموجودة في المؤسسة. وهذا يتيح لهم أيضًا تجنب غالبية أدوات فريق الأمان التي غالبًا ما تركز على مصدر وطبيعة تسجيل الدخول.
قد يكون من الصعب التعرف يدويًا على حالة معقدة من سرقة الرموز. يجب أن تكون فرق الأمن مجهزة بحل يحلل ويصمم باستمرار نشاط المستخدم لتحديد الشذوذ الدقيق المحتمل المرتبط باختطاف الجلسة من أجل تسهيل الإصلاح السريع. إن التأكد من أن أفراد الأمن لديهم فهم واضح لتفاعل المستخدم مع مزود الهوية ونشاطه داخل تطبيقات SaaS وعبرها يتيح استجابة أفضل للحوادث والإبلاغ عنها.
إساءة استخدام تطبيق OAuth
يوفر الترابط بين التطبيقات واحدة من أعظم مزايا الإنتاجية في SaaS. غالبًا ما يقوم المستخدمون والمسؤولون بدمج الخدمات من أجل زيادة وتوسيع وظائف التطبيق الأساسي. عادةً ما يربط مسؤولو التطبيقات خدمات مثل Salesforce و Microsoft 365، بينما يربط المستخدمون الفرديون بانتظام مجموعات الإنتاجية المؤسسية مثل Google Workspace و Microsoft 365 بأدوات الطرف الثالث بما في ذلك Grammarly و Evernote و Asana. يتم إجراء هذه الاتصالات عادةً عبر منح OAuth، والذي يتطلب ببساطة من المستخدم النقر فوق رابط يأذن بالوصول إلى التطبيق. بمجرد الترخيص، يمكن للتكاملات الوصول إلى بيئة SaaS بأذونات ووصول إلى البيانات يعادل المستخدم.
يرجى قراءة المقال كاملا في ملف PDF أعلاه.
- الموارد والأخبار ذات الصلة
- تزايد هجمات التصيد الاحتيالي في القطاع الصحي
- أفضل الممارسات لإدارة هوية الأطراف الثالثة وإدارة الوصول
- ما يحتاج قادة الرعاية الصحية إلى معرفته حول الأمن السيبراني في الفترة 2026-2027
- ماذا يعني الأمر التنفيذي الذي أصدره ترامب بشأن الذكاء الاصطناعي لقطاع الرعاية الصحية؟
- تقرير عن المشهد التهديدي للرعاية الصحية والمساعدة الاجتماعية
- الذكاء الاصطناعي الوكيل في مجال الرعاية الصحية يُعدّ اقتراحاً محفوفاً بالمخاطر
- اليوم الثاني من فعالية Live@eXchange - محلل أمن الأجهزة الطبية في Health-ISAC
- الصحة - اختراق ISAC للرعاية الصحية 6-3-2026
- ثغرات أمنية جديدة تستهدف قطاع الرعاية الصحية
- النشرة الشهرية – يونيو 2026