الفصل : 8
العنوان : تطبيق ضوابط إدارة الهوية والحساب(Implementing Identity & Account Management Controls )
Identity Management Controls
التعاون الذي يجمع قسمي ال IT وال HR بالفعل هو من اهم االاشياء التي تتم في الشركات التقنية , بحيث هما المس}ولين عن توظيف الاشخاص , بحيث يقوموا بعمل شئ يسمى بال Back check
وهي عملية بكون هدفها هو الكشف عن ماضيك ويعرفوا كل شئ عنك حرفيا , عشان يعرفوا هل يقوموا بتوظيف ولا لا , ده بيكون اسمه ايضا تحكم في ناحية التعيين , مثل ال ACS وهو اللي يختص في التحكم في ال Subject وال Object وهو ما شرحناه في المقال السابق
Onboarding:
وهي عملية الترحيب , بعد ان يتم قبولك , تبدا عملية الترحيب واللي يقوم بها ال HR ويعرفك على كل شئ في الشركة ,ويتعاون مع ال IT في الترحيب والاعداد
Nondisclosure Agreement :
وتكون عبارة عن وثيقة او عقد اسمها ال NDA حيث بتحتوي على “عندما تغادر الشركة او المؤسسة ايا كان السبب الإفادة كان طرد او استقالة او اي شئ , انك لا تقوم بفضح اي معلومة عن الشركة واسرارها ,لان الشركات المنافسة تستغل هذه المعلومات بالطبع لصالحها , ولو قمت بتسريب البيانات وخلفت هذه الوثيقة يمكن للشركة ان ترفع عليك قضية
PERSONNEL POLICIES FOR PRIVILEGE MANAGEMENTs : وهو ادارة الصلاحيات
ويتم العمل باجتماع ال hr وال IT لاعطاء الصلاحيات المناسبة والصحيحة للشخص ,حتى لا يكون هناك في risk , بحيث كثر الصلاحيات التي تكون مع الشخص ويكون مش ليها لازمة مع الموظف بتسبب risk , بحيث فق الصلاحيات الي هو بيستخدمها فقط في عمله , حتى لا يكون في الشركة insider
Separation Of Duties :
المهام التي يتم توزيعها للموظفين , وكل مهمة يكون ليها صلاحيات محددة وبيتم تقسيمها على اكثر من موظف عشان لو مشي حد يكون ليه البديل, مش يتم الاعتماد فقط على موظف واحد
Least Privilege :
اقل الصلاحيات , وهي ان ناخذ بس اهم الصلاحيات المهمة , عشان لو تم اختراق حساب هذا الموظف يكون فقط الصلاحيات محدودة الاستغلال من المخترق
ملحوظة :
كل فترة يتم عمل فحص للانظمة والتدقيق فيها من خلال ال Audits , بحيث يشوفوا كل شئ انت عملته في افترة السابقة
Job Rotation :
التقلب الوظيفي , وهي الترقيات اللي بتتعمل للموظفين على حسب تقييمك , مع مساعدة ال IT بالطبع وال Hr وهذه الترقية بتكون اجبارية , حيث ممكن من خلال كانتك او صلاحياتك ان تقوم بعمل من خلالها مصالح فلا بد من ان الشخص يقوم بتغييى مكانه عمله , وهذا ايضا عندما يريد المدير من جعلك ان تقوم بتنمية نفسك او مهاراتك
Mandatory Vacation :
الاجازة الاجبارية , وهو انه في الزام من الشركة للموظف انه ياخذ 7 ايام اجازة غير اجازته الفعلية , وهذا ليس فقط انهم يحبونك ويريدوا راحتك , ولكن ايضا يريدوا ان يقوموا بفحص جهازك بالكامل وايضا فحص ال Audit Log بالكامل على راجتهم
OfBoarding :
وهي عكس بقا ال OnBoarding بحيث وهي حفلة المغادرة اللي تقوم بها الشركة للموظف اللي هيغادر , ولو الموظف يريد المغاردة من اجل مثلا الذهاب لشركة اخرى او لاي كان , فيوجد بعض الامور يتم فعلها وهي :
Account Management :
تقوم الشركة بازالة اي حساب واي صلاحيات كان تابعة للموظف واي keys حتى لا تكون هنك ثغرة يمكن استغلالها وهي وجود حساب غير مستخدم لديه صلاحيات , وممكن حد من الخارج ياهذ الحساب ويستعمله ويكون في داحل الشركة
Company Assets :
تقوم بترجيع كل ممتلكات الشركة اللي انت اخذتها منك مثلا سيارة او هاتف او اس شئ , تقوم بترجيعها للشركة
Personal Assets :
وهو اغراضك انت الشخصية , بحيث تقوم باخذها ولمها من الشركة , وليس فقط الاغراض الفيزيائية , بل ايضا جميع ملفاتك الا على حاسوبك او اي شئ يتعلق بك تقوم بازالته
SECURITY ACCOUNT TYPES AND CREDENTIAL MANAGEMENT
انواع الحسابات اللي يتم انشائها في المؤسسات
بحيث في المؤسسة يوجد شبكات سيرفرات وانظمة تشغيل , ويوجد يوميا users يدخلوا , ولكن لا يكونوا بنفس الحساب ,لان الحسابات لها انواع وهي :
Guest Accounts :
وهو حساب من غير pass ويكون لديه صلاحيات محددة جدا , وتجعل من يستخدمها مجهول تماما عن الشبكة , بحيث يكون اسم الحساب فقط user1 مثلا , لان هذا الامر عائد لانه ما دخل باستخدام user او pass , وبيكون في انظمة التشغيل الشخصية انه يمكنك انشاء user account ولكن بالطبع يكون محددود جدا الصلاحيات
Security Group Account :
وهو user يكون تابع لجروب , لان فايدة الجروب وهو تجميع الناس اللي لديها نفس الصلاحيات , بحيث بدل ما انا اقوم بتخصص لكل شخص نفس صلاحيات القسم ,اقوم ببساطة بانشاء جروب فيه صلاحيات واي شخص يدخله يكون لديه هذه الصلاحيات تلقائيا , ويستطيع لو انا عاوز اغير مثلا صلاحيات شخص في الجروب بدون ما اللي في الجروب كله يحصل على هذه الصلاحيات او التعديل , يمكنني عادي فعل هذا الامر , يعني لو انا قمت بعمل تعديل لشخص في الجروب فقط سيتم التغيير لهذا الشخص فقط
Administrative / privileged accounts :
وهو اللي يقدر يعمل كل حاجة من حذف برامج او تثبيت برامج , حيث هو Default User حيث يتم ان شاء اول حساب اثناء عملية ال Setup
Service Accounts :
وهو حساب يكون تم انشائه لخدمة معينة فقط ,ويكون لديه صلاحيات محددة فقط تكون في مساحة هذه الخدمة , بحيث مثلا شخص اتى ليصلح امر ما في الشبكة من حيث الاعدادت او التنظيم , فياتي شخص ليقوم باصلاح هذا الشي , فالبطبع لابد ان يقوم بالدخول الى الشبكة , اذا لا بد من انشاء حساب له يكون في مساحة هذه الخدمة فقط
ACCOUNT ATTRIBUTES AND ACCESS POLICIES
Security Identifier (SID):
يتم تحديد حساب المستخدم من خلال ال SID او ال ID الخاصة به
يعني يتم تحديد حساب الشخص بمعلوماته من خلال مثلا اسمه الكامل او بريده الالكتروني او رقمه ها
ويدعم بعض الحسابات وضع الصور ويكون افضل للتعرف على حساب المستخدم
Account Password Policy Settings :
وهي وثيقة انشاء ال passwords بحيث تهتم الشركات جدا في كيف يضع الموظفين ال passwords الخاصة بهم , ومن هذه القواعد هي :
Password length:
وهو طول كمة المرور يحيث على حسب الوثيقة لكل شركة ,ولكن على الاقل لا تقل عن 8 ولا تزيد عن ال 16
Password complexity :
بحيث من المهم جدا ان لا تخلوا كلمة المرور من الحروف ال upper والحروف ال lower
Password aging:
وهو انه لا بد من تغيير كل فترة ال password حتى اذا تمكن شخص من معرفته , لاتجعله يستخدمه , او على الاقل تقفل هذه التهديد
ACCOUNT RESTRICTIONS : حدود الحسابات
بحيث الحسابات اللي تقوم بانشاء الحسابات يكون لديها حدود لتحد من الاختراقات
Location-Based-Polices:
بحيث فتحك للحساب يكون من خلال شبكة , بحيث هذا يحد جدا من الاختراق لان مفيش حد يقدر يفتحه من الشبكة الا انت
Geofencing:
وهو فتحك للحساب يكون في location معين , يعني مثلا انت لما تقتح من خلال الرياض , وبعد كم دقيقة تفتح من روسيا , بيكون مش منظقي انه نفس الشخص , فلا بد من انه يرسلك رسالة في الايمل يقولك هل تسمح بالدخول او هل انت من تقوم الان بمحاولة الدخول والى ذلك
ACCOUNT AUDITS :
بحيث ال Audits شئ مهم جدا جدا بحيث لها الكثير من المميزات التي لا يمكن الاستغناء عنها ابدا , ومن هذه المهمات هي :
لو حدث اي مشكلة تكون هي المكان الاول اللي نقوم بالتفكير فيه اول , ونشوف السبب ويكون معروض بالتفصيل جدا
نعرف هل حصل تغيير في شئ او مثلا شخص قام بعمل coppy لبيانات كل شئ حرفيا بيتم عرضه , كل خطوة صغيرة او نقرة بالماوس كل هذه يتم عرضه
بتفعل لي خاصية عدم الانكار بحيث لو عرضت ان الشخص هذه هو اللي قام بفعل هذا الشي خلاص انتهى الامر
تعرض لك كل شئ بالتفصيل عن عملية الاختراق لو حدثت وتستطيع تعرف كل شئ عن السيناريو , ومن خلال هذه الطريقة يتم كشف ومعرفة خدعات ال threat actor
مشكلتها :
وهي مشكلة واحدة , وهي انها تحتاج الى مساحة كبيرة جدا , لانها تقوم بتسجيل كل شئ حرفيا يتم القيام به في الشبكة ,او في اي جهاز في الشركة باكملها
ACCOUNT LOCKOUT AND DISABLEMENT:
وهو نستطيع ان نجعل ال Audit تقوم باتخاذ اجراء عند القيام بشئ معين , ويكون بطريقتين وهما :
يا اما تكون بطريقة ال LOCKOUT ويكون هو المنع المؤقت او الوقف المؤقت
او تكون بطريقة ال DISABLEMENT وهي الوقت الكامل بحيث تعتبر تعطيل الحساب بالكامل
مثال بسيط :
لو شخص يقوم بسمح ملفات بدون ان يكون لديه الصلاحية لهذا او الامر , يمكن لل Audit ان تقوم بعمل LOCKOUT بكل بساطه لحسابه حتى يتدخل المسؤليين ويبدا يقرووا ما هو القرار النهائي
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock