«العمل من المنزل موجود ليبقى.» انتقل هذا البيان من التنبؤ إلى الواقع في السنوات القليلة الماضية، حيث تحولت الشركات في جميع أنحاء العالم لاستيعاب العمل عن بعد على نطاق واسع. في حين أن هذا قد عزز الإنتاجية والمرونة، إلا أنه وسع أيضًا سطح الهجوم للتهديدات الإلكترونية. أصبحت الشبكات المنزلية والأجهزة الشخصية والتطبيقات السحابية في كل مكان امتدادًا لبيئة تكنولوجيا المعلومات للشركات، مما يثير سؤالًا مهمًا: كيف يمكننا تأمين القوى العاملة لدينا عندما يختفي محيط الشبكة التقليدي تقريبًا؟

هناك مفهومان يغيران قواعد اللعبة يقودان الإجابة: عزل المتصفح والوصول إلى شبكة Zero Trust (ZTNA). معًا، ينشئون إطارًا يمكن للموظفين من خلاله العمل عن بُعد والوصول بأمان إلى موارد الويب والتطبيقات الداخلية دون تعريض الشركة للخطر.

الواقع الجديد لتهديدات العمل عن بُعد

أولاً، دعونا نمهد الطريق من خلال فهم سبب معاناة الأمن التقليدي مع العمل عن بُعد:

  • التصيد الاحتيالي والهجمات المستندة إلى الويب: يعتمد الموظفون عن بُعد بشكل كبير على الويب - سواء كان ذلك للخدمات السحابية أو رسائل البريد الإلكتروني أو الأبحاث. يعرف المهاجمون ذلك وقد صعدوا حملات التصيد وهجمات التنزيل من سيارة إلى أخرى. قد لا يكون لدى المستخدم على الشبكة المنزلية نفس تصفية الويب التي تستخدمها شبكة المكتب، مما يجعله أكثر عرضة للمواقع الضارة. ليس من المستغرب أن تبدأ نسبة كبيرة من الانتهاكات بنقرة واحدة في المتصفح أو بريد إلكتروني خادع. (يجد تقرير Verizon السنوي للتحقيقات في خرق البيانات باستمرار أن العنصر البشري متورط في حوالي 82٪ من الانتهاكات من خلال التصيد الاحتيالي وبيانات الاعتماد المسروقة وما إلى ذلك، مما يؤكد هذه النقطة.)
  • الشبكات المنزلية غير الآمنة: على عكس شبكات الشركات، نادرًا ما تتم مراقبة الشبكات المنزلية بواسطة فرق أمن تكنولوجيا المعلومات. قد تكون لديهم كلمات مرور ضعيفة لجهاز التوجيه أو أجهزة غير مصححة أو أفراد آخرين يشاركون الشبكة. هذا يجعل من السهل على البرامج الضارة الدخول (على سبيل المثال، من خلال جهاز إنترنت الأشياء الضعيف) وربما التجسس على حركة مرور الكمبيوتر المحمول في العمل.
  • إجهاد وقيود VPN: في وقت مبكر من طفرة العمل عن بُعد، اعتمدت الشركات على شبكات VPN (الشبكات الافتراضية الخاصة) لمنح الموظفين إمكانية الوصول إلى الأنظمة الداخلية. لكن شبكات VPN تمد الشبكة بالكامل إلى المستخدم - الأمر الذي قد يكون مبالغًا فيه ومحفوفًا بالمخاطر. إذا قام أحد المهاجمين باختراق جهاز المستخدم، فيمكنه ركوب شبكة VPN هذه إلى شبكة الشركة. بالإضافة إلى ذلك، يمكن أن تكون شبكات VPN بطيئة وتتطلب كل شيء أو لا شيء، وليست دقيقة. وجدها المستخدمون مرهقة («هل أحتاج حقًا إلى VPN فقط للحصول على هذا الملف؟») ، مما يؤدي إلى تقنية معلومات خفية أو حلول غير آمنة.
  • استخدام الأجهزة الشخصية (BYOD): لا يمكن لكل شركة تزويد جميع الموظفين بأجهزة كمبيوتر محمولة تديرها الشركة بين عشية وضحاها. سمح العديد من أجهزة الكمبيوتر الشخصية أو الأجهزة اللوحية بالعمل. قد لا تحتوي هذه الأجهزة على برامج أمان قوية أو قد تتم مشاركتها مع العائلة، مما يزيد من فرص الاختراق. حتى الموظف الواعي يمكن أن يكون لديه برنامج keylogger من تعديل لعبة طفله مثبتًا دون علمه، والذي يلتقط بعد ذلك عمليات تسجيل الدخول إلى العمل.

نظرًا لهذه التحديات، فإن مجرد توسيع نماذج الأمان القديمة لا يكفي. كنا بحاجة إلى التحول - وهنا يأتي دور Zero Trust كفلسفة، مع تطبيقات محددة مثل Browser Isolation و ZTNA مما يجعلها عملية.

مبادئ الثقة الصفرية - «لا تثق أبدًا، تحقق دائمًا»

الثقة الصفرية، في جوهرها، تعني عدم وجود ثقة ضمنية. في النموذج القديم، إذا كان شخص ما على شبكة الشركة (على سبيل المثال، من خلال VPN أو في المكتب)، فقد افترضنا أنه شخص موثوق به من الداخل ومنحنا وصولاً واسعًا إلى حد ما. تقوم Zero Trust بقلب هذا: يتم التحقق من كل طلب وصول بشكل صريح، بغض النظر عن مصدره، ويتم تطبيق أقل امتياز.

بالنسبة للعمل عن بُعد، يعني هذا شيئين رئيسيين:

  1. لا تثق بالجهاز أو الشبكة لمجرد أنه موظف. تحقق من هويتهم بقوة (المصادقة متعددة العوامل)، وتأكد من أن أجهزتهم تلبي معايير الأمان، وعندها فقط تسمح بالوصول - وحتى في هذه الحالة، فقط إلى الموارد المطلوبة.
  2. لا تثق في مواقع الويب أو المحتوى الخارجي لمجرد أن المستخدم يصل إليها للعمل. تعامل مع كل محتوى الويب على أنه غير موثوق به وتعامل معه وفقًا لذلك لمنع التعرض.

عزل المتصفح - فقاعة أمان لتصفح الويب

يشبه عزل المتصفح منح المستخدمين فقاعة واقية لتصفح الويب. الفكرة هي أنه بدلاً من السماح بتشغيل كود الويب على الكمبيوتر الفعلي للمستخدم، فإنه يعمل عن بُعد في بيئة آمنة (مثل وضع الحماية في السحابة أو الخادم في مركز البيانات). يتفاعل المستخدم مع موقع الويب من خلال عرض آمن - فكر في الأمر على أنه مشاهدة بث مباشر للمتصفح، أو تلقي «جوهر» الصفحة فقط (النص والصور) دون المحتوى النشط الخطير.

على سبيل المثال، إذا قامت أليس، التي تعمل من المنزل، بزيارة مقال مثير للاهتمام وكان هذا الموقع يحتوي على إعلان ضار مع استغلال، فعادةً ما يحاول هذا الاستغلال تنفيذه على المتصفح/جهاز الكمبيوتر الخاص بها. إذا كانت شركة Alice لديها ميزة عزل المتصفح، فسيتم تنفيذ هذا الاستغلال في بيئة المتصفح المعزولة في السحابة. قد يؤدي ذلك إلى تعريض هذا المتصفح المعزول للخطر - ولكن هذه حاوية مهملة، وليست كمبيوتر أليس. لذلك يبقى جهازها آمنًا؛ عندما تغلق علامة التبويب، يتم تدمير تلك الحاوية، إلى جانب البرامج الضارة. من وجهة نظر أليس، بدت الصفحة طبيعية وقرأت المقالة، ولكن تم احتواء أي أشياء سيئة بعيدًا.

لماذا هذا قوي للعمل عن بعد؟

  • يمكن للمستخدمين زيارة المواقع الخطرة بأمان. ربما يحتاج موظف التسويق إلى البحث عن المنافسين وينتهي به الأمر في مواقع أقل شهرة - مع العزلة، لا بأس بذلك. لا يتعين عليك الحظر بنفس القدر، لأنه حتى لو كان الموقع سطحيًا، فلن يؤذيك ذلك.
  • إنه يقلل بشكل كبير من فرص الإصابة بالبرامج الضارة من تصفح الويب. حتى عمليات استغلال المتصفح في يوم الصفر (والتي من شأنها أن تتخطى برامج مكافحة الفيروسات التقليدية) تصبح بلا جدوى، لأن جلسة المتصفح الفعلية ليست في نقطة النهاية.
  • إنه أمر رائع لسيناريوهات BYOD. حتى إذا لم يكن الجهاز الخاص بالمستخدم موثوقًا به تمامًا، فإن خدمة العزل توفر وسيطًا آمنًا. إنه مثل منحهم متصفحًا افتراضيًا آمنًا لاستخدامه.

يستخدم منتجنا الشريك DefensX عزل المتصفح عن بُعد (RBI) لهذه الأسباب. بشكل أساسي، يقوم بتسليم موقع الويب للمستخدم في شكل آمن. ترسل بعض التطبيقات فقط دفقًا مرئيًا (وحدات البكسل)، بينما يرسل البعض الآخر DOM المعاد بناؤه (بحيث لا يزال بإمكانك نسخ النص، وما إلى ذلك، ولكن بدون الأجزاء الخطرة). يمكن للبرامج المتقدمة أيضًا السماح بتشغيل بعض البرامج النصية الآمنة محليًا للأداء بينما يظل كل شيء آخر بعيدًا.

نقطة أساسية: تم تحسين الحماية من التصيد الاحتيالي بشكل كبير مع العزلة. لنفترض أن المستخدم قد نقر على رابط التصيد الاحتيالي - مع عزل المتصفح، عندما يقوم بإدخال بيانات الاعتماد، يمكن لبعض الحلول اعتراض ذلك (مثل قيام RBI بالتعرف على صفحة تسجيل دخول الشركة التي يتم تصيدها وحظر الإرسال، أو مجرد حقيقة أن نموذج تسجيل دخول غير معروف يطلب اعتمادات الشركة يمكن أن يؤدي إلى تنبيه). وحتى إذا لم يكن الأمر كذلك، فسيتم احتواء أي برامج ضارة يحاول المخادع إسقاطها. في الواقع، تحاول العديد من هجمات التصيد الاحتيالي هذه الأيام استغلال المتصفح أو تسليم حمولات تتجاوز مجرد جمع بيانات الاعتماد؛ العزلة تقطع هذا الطريق.

الوصول إلى شبكة Zero Trust (ZTNA) - موت VPN (كما نعرفها)

الوصول إلى شبكة Zero Trust (ZTNA) هو الحل الحديث لمشاكل VPN. بدلاً من توصيل المستخدم بالشبكة بأكملها، تعمل أنظمة ZTNA كوسيط أو بوابة تسمح فقط للمستخدمين المصرح لهم بالوصول إلى خدمات أو تطبيقات محددة - لا أكثر.

فكر في ZTNA مثل موظف استقبال ذكي عند الباب الأمامي للشركة. بدلاً من إعطاء كل زائر مفتاحًا هيكليًا لكل مكتب (وهو ما تفعله شبكات VPN غالبًا للشبكة)، يتحقق موظف الاستقبال من الهوية والموعد ثم يسمح للزائر فقط بالدخول إلى غرفة المؤتمرات التي يحتاج إليها، وليس في أي مكان آخر.

للعمل عن بُعد:

  • إذا كانت أليس بحاجة إلى استخدام تطبيق موارد بشرية داخلي، فإنها تمر عبر بوابة ZTNA. بعد التأكد من هويتها وصحة جهازها، تقوم خدمة ZTNA بتوصيلها فقط بتطبيق الموارد البشرية هذا (من خلال نفق آمن أو وكيل). إذا حاولت الوصول إلى شيء داخلي آخر، فلن يعمل تلقائيًا ما لم يُسمح بذلك صراحة.
  • لا يوجد وصول واسع للشبكة. هذا يعني أنه حتى في حالة تعرض الكمبيوتر المحمول الخاص بـ Alice للاختراق، فلن يتمكن المهاجم من المسح أو التحرك أفقيًا عبر شبكة الشركة - سيصطدم بالجدران عند كل منعطف لأن كل تطبيق مقسم خلف بوابة ZTNA.
  • غالبًا ما تكون ZTNA مدركة للتطبيق ومدركة للمستخدم. يمكن للسياسات أن تقول، على سبيل المثال، «يمكن لأعضاء التمويل فقط الوصول إلى قاعدة بيانات التمويل، ويجب أن يكونوا على كمبيوتر محمول صادر عن الشركة مع تصحيحات محدثة وأن يكونوا قد قاموا بعمل MFA في الساعات الأربع الماضية.» هذا أكثر دقة بكثير من VPN، والذي عادة ما يقول فقط «أليس يمكنها الدخول إلى VPN، وبمجرد دخولها يمكنها تقنيًا محاولة الوصول إلى أي شيء».
  • تجربة المستخدم: يمكن أن تكون ZTNA أفضل. تتكامل العديد من حلول ZTNA مع تسجيل الدخول الأحادي، لذلك بمجرد تسجيل أليس للدخول عبر البوابة، تنقر فوق التطبيق ويفتح - ربما عبر متصفحها أو موصل خفيف - دون الحاجة إلى إعادة توجيه الشبكة بالكامل. يمكن أن يبدو وكأنه مجرد تطبيق SaaS آخر. لا مزيد من «تشغيل VPN، والاتصال، ثم تشغيل التطبيق، ثم قطع اتصال VPN لأنه يبطئ الأمور الأخرى.»

الفائدة الجانبية هي الرؤية. تسجل ZTNA بالضبط التطبيقات التي يصل إليها المستخدمون ومتى وإلى متى. إذا كان الحساب يتصرف بشكل غريب (يحاول الوصول إلى العديد من التطبيقات التي لا يفعلها عادةً)، فسيكون ذلك أكثر وضوحًا. باستخدام VPN، يمكن لأي شخص أن يتجول بهدوء في الأنظمة المختلفة بمجرد الدخول، ربما دون إطلاق إنذارات فورية.

الآن، يمكن أن يتضمن تنفيذ ZTNA خدمات قائمة على السحابة أو بوابات داخلية، ولكن الهدف ثابت: تقليل الثقة الضمنية وتقليل نطاق الوصول. يتضمن DefensX، كما هو مذكور في موادنا، نهج Zero Trust Access للمستخدمين عن بُعد، مما يقلل الاعتماد على VPN ويستخدم التحليل السلوكي لمراقبة جلسات المستخدم. تم تسريع التحول إلى ZTNA من خلال العمل عن بُعد، وبدأت العديد من المنظمات الآن في التخلص التدريجي من شبكات VPN القديمة لصالحها.

تآزر عزل المتصفح + ZTNA

عند استخدامها معًا، فإنها تخلق بيئة عمل آمنة وفعالة عن بُعد:

  • الوصول الآمن إلى الويب (العزل): يمكن للمستخدمين النقر فوق أي رابط، والتصفح في أي مكان للبحث أو العمل، ويتم إبعاد التهديدات عن نقاط النهاية. يغطي هذا تطبيقات SaaS أيضًا - حتى إذا كان تطبيق SaaS يحتوي على رابط ضار أو إعلان مخترق، فإن العزل يغطيه. إنها في الأساس فقاعة واقية لجميع أنشطة الإنترنت.
  • الوصول الآمن إلى التطبيقات الخاصة (ZTNA): عندما يحتاج المستخدمون إلى الدخول إلى تطبيقات خاصة بالشركة (والتي قد لا تكون موجودة على الإنترنت)، فإنهم يفعلون ذلك من خلال سياسات Zero Trust. لا توجد أنفاق واسعة، فقط مسارات ضيقة ومصدقة لما يحتاجون إليه بالضبط.
  • ادمج ذلك مع الهوية القوية (MFA) وأمان نقطة النهاية (ضمان حصول الأجهزة على الحماية الأساسية وفحص الوضع)، وسيكون لديك حل شامل.

في مثل هذا الإعداد، يصبح موقع المستخدم غير ذي صلة تقريبًا بالأمان. سواء كانوا في المقر الرئيسي أو في المنزل أو يستخدمون Wi-Fi في المطار، تنطبق نفس المبادئ: التعامل مع الشبكة على أنها معادية، والتعامل مع الويب على أنه عدائي - في كل حالة، قم بحماية المستخدم وموارد الشركة من خلال بوابات معزولة ومحكومة.

مثال من العالم الحقيقي

للتوضيح، ضع في اعتبارك موظفًا عن بُعد، بوب:

  • يبدأ بوب يومه ويسجل الدخول إلى بوابة آمنة باستخدام حساب Microsoft 365 لشركته + 2FA. تمت مصادقته الآن عبر خدمة Zero Trust.
  • يحتاج بوب إلى الوصول إلى أداة إعداد التقارير المالية الداخلية. في البوابة الإلكترونية، ينقر على أيقونة أداة التمويل. بسلاسة، تفتح خدمة ZTNA التطبيق في متصفحه. وخلف الكواليس، أنشأت اتصالاً آمنًا بأداة التمويل داخل المؤسسة وتقوم بتوكيلها إلى بوب. لم يكن على بوب بدء تشغيل VPN؛ بالنسبة له، يبدو الأمر وكأنه يستخدم تطبيق ويب. يقوم بتحديث بعض السجلات وإغلاقها.
  • يتلقى بوب بريدًا إلكترونيًا من مرسل غير معروف. إنه مشبوه ولكن يحتوي على رابط يزعم أنه فاتورة المورد. ينقر عليها (الفضول يحصل على أفضل ما لديه). يتم فتح الرابط في جلسة متصفح معزولة بفضل بوابة الويب الآمنة للشركة. الموقع عبارة عن صفحة تصيد تحاول حمله على تسجيل الدخول. لا تمنع هذه العزلة أي تنزيل من محرك الأقراص فحسب، بل تقوم أيضًا معلومات التهديدات الخاصة بالشركة بوضع علامة على الصفحة على أنها تصيّد احتيالي. يرى بوب تراكبًا تحذيريًا كبيرًا: «تم تحديد هذا الموقع على أنه ضار. لا تدخل بيانات الاعتماد.» يدرك بوب أنه كاد أن يقع في غرام التصيد ويغلقه. لم يحدث أي ضرر - كان محميًا.
  • في وقت لاحق، يريد بوب استخدام أداة تعاون قائمة على السحابة لم توافق عليها تكنولوجيا المعلومات بشكل صريح حتى الآن. عندما يحاول تسجيل الدخول، تسمح بيئة العزل بذلك (لا توجد سياسة ضده)، ولكنه يراقب عن كثب تنزيل الملف. يقوم بتنزيل مستند من تلك الأداة - يقوم نظام العزل أو عامل نقطة النهاية بمسحه وتعقيمه (مرحبًا، عثر على ماكرو مضمن وقام بتجريده). يحصل بوب على المستند، ولكن ليس من الحكمة أنه تم تنظيف المحتوى وراء الكواليس. يفتح بشكل جيد ويمكنه القيام بعمله.

في كل هذه التفاعلات، لاحظ أن بوب كان قادرًا على القيام بما يحتاج إليه دون عقبات تقليدية، ومع ذلك كان الأمن ينسج حوله بشكل غير مرئي:

  • لم يتمكن التصيد الاحتيالي من الإمساك به لأن النظام أعطاه شبكة أمان وتحذيرًا.
  • لم تلمس البرامج الضارة جهازه.
  • تم تبسيط الوصول إلى الموارد الداخلية ولكنه ضيق.
  • إذا كان جهاز بوب غير مصحح أو جاء الوصول من موقع غريب، فقد يكون نظام Zero Trust قد طالب بإجراء تحقق إضافي أو حظر المحاولة، ولكن نظرًا لأن بيئة بوب كانت سليمة، فقد ظلت سلسة.

الخاتمة

يُعد عزل المتصفح والوصول إلى Zero Trust أداة تحويلية لتأمين العمل عن بُعد. إنها تجسد مبدأ حماية المستخدمين والبيانات أينما كانوا، بدلاً من الاعتماد على القلعة والخندق القديم حيث يجب أن يكون الجميع داخل الخندق. أدى العمل عن بُعد إلى تعتيم الحدود، ولكن هذه التقنيات تعيد إنشاء حدود الأمان حول كل مستخدم وكل جلسة على حدة.

بالنسبة للمؤسسات التي تتكيف مع العمل طويل المدى عن بُعد أو العمل المختلط، أصبح اعتماد هذه الأساليب سريعًا من أفضل الممارسات. إنه يقلل المخاطر بشكل كبير: تنخفض الإصابات بالبرامج الضارة، وينخفض نجاح التصيد الاحتيالي، وتصبح الأنظمة الداخلية أقل تعرضًا للخطر بكثير. يكتسب الموظفون أيضًا حرية العمل بمرونة دون القلق المستمر «هل النقر فوق هذا آمن؟» أو «هل أحتاج إلى بدء تشغيل VPN لهذا؟».

في النهاية، يجب ألا يتعارض الأمان مع الإنتاجية - يجب تمكينه بصمت. يقوم كل من عزل المتصفح و ZTNA بذلك تمامًا: إبعاد الأشرار والأشخاص الطيبين عن العمل، أينما كانوا.

شكرًا لك! تم استلام طلبك!
عفوًا! حدث خطأ ما أثناء إرسال النموذج.
social icon
لينكد إن

صفحات

فرص المواهب

صورة مدونة واحدة

«العمل من المنزل موجود ليبقى.» انتقل هذا البيان من التنبؤ إلى الواقع في السنوات القليلة الماضية، حيث تحولت الشركات في جميع أنحاء العالم لاستيعاب العمل عن بعد على نطاق واسع. في حين أن هذا قد عزز الإنتاجية والمرونة، إلا أنه وسع أيضًا سطح الهجوم للتهديدات الإلكترونية. أصبحت الشبكات المنزلية والأجهزة الشخصية والتطبيقات السحابية في كل مكان امتدادًا لبيئة تكنولوجيا المعلومات للشركات، مما يثير سؤالًا مهمًا: كيف يمكننا تأمين القوى العاملة لدينا عندما يختفي محيط الشبكة التقليدي تقريبًا؟

هناك مفهومان يغيران قواعد اللعبة يقودان الإجابة: عزل المتصفح والوصول إلى شبكة Zero Trust (ZTNA). معًا، ينشئون إطارًا يمكن للموظفين من خلاله العمل عن بُعد والوصول بأمان إلى موارد الويب والتطبيقات الداخلية دون تعريض الشركة للخطر.

الواقع الجديد لتهديدات العمل عن بُعد

أولاً، دعونا نمهد الطريق من خلال فهم سبب معاناة الأمن التقليدي مع العمل عن بُعد:

  • التصيد الاحتيالي والهجمات المستندة إلى الويب: يعتمد الموظفون عن بُعد بشكل كبير على الويب - سواء كان ذلك للخدمات السحابية أو رسائل البريد الإلكتروني أو الأبحاث. يعرف المهاجمون ذلك وقد صعدوا حملات التصيد وهجمات التنزيل من سيارة إلى أخرى. قد لا يكون لدى المستخدم على الشبكة المنزلية نفس تصفية الويب التي تستخدمها شبكة المكتب، مما يجعله أكثر عرضة للمواقع الضارة. ليس من المستغرب أن تبدأ نسبة كبيرة من الانتهاكات بنقرة واحدة في المتصفح أو بريد إلكتروني خادع. (يجد تقرير Verizon السنوي للتحقيقات في خرق البيانات باستمرار أن العنصر البشري متورط في حوالي 82٪ من الانتهاكات من خلال التصيد الاحتيالي وبيانات الاعتماد المسروقة وما إلى ذلك، مما يؤكد هذه النقطة.)
  • الشبكات المنزلية غير الآمنة: على عكس شبكات الشركات، نادرًا ما تتم مراقبة الشبكات المنزلية بواسطة فرق أمن تكنولوجيا المعلومات. قد تكون لديهم كلمات مرور ضعيفة لجهاز التوجيه أو أجهزة غير مصححة أو أفراد آخرين يشاركون الشبكة. هذا يجعل من السهل على البرامج الضارة الدخول (على سبيل المثال، من خلال جهاز إنترنت الأشياء الضعيف) وربما التجسس على حركة مرور الكمبيوتر المحمول في العمل.
  • إجهاد وقيود VPN: في وقت مبكر من طفرة العمل عن بُعد، اعتمدت الشركات على شبكات VPN (الشبكات الافتراضية الخاصة) لمنح الموظفين إمكانية الوصول إلى الأنظمة الداخلية. لكن شبكات VPN تمد الشبكة بالكامل إلى المستخدم - الأمر الذي قد يكون مبالغًا فيه ومحفوفًا بالمخاطر. إذا قام أحد المهاجمين باختراق جهاز المستخدم، فيمكنه ركوب شبكة VPN هذه إلى شبكة الشركة. بالإضافة إلى ذلك، يمكن أن تكون شبكات VPN بطيئة وتتطلب كل شيء أو لا شيء، وليست دقيقة. وجدها المستخدمون مرهقة («هل أحتاج حقًا إلى VPN فقط للحصول على هذا الملف؟») ، مما يؤدي إلى تقنية معلومات خفية أو حلول غير آمنة.
  • استخدام الأجهزة الشخصية (BYOD): لا يمكن لكل شركة تزويد جميع الموظفين بأجهزة كمبيوتر محمولة تديرها الشركة بين عشية وضحاها. سمح العديد من أجهزة الكمبيوتر الشخصية أو الأجهزة اللوحية بالعمل. قد لا تحتوي هذه الأجهزة على برامج أمان قوية أو قد تتم مشاركتها مع العائلة، مما يزيد من فرص الاختراق. حتى الموظف الواعي يمكن أن يكون لديه برنامج keylogger من تعديل لعبة طفله مثبتًا دون علمه، والذي يلتقط بعد ذلك عمليات تسجيل الدخول إلى العمل.

نظرًا لهذه التحديات، فإن مجرد توسيع نماذج الأمان القديمة لا يكفي. كنا بحاجة إلى التحول - وهنا يأتي دور Zero Trust كفلسفة، مع تطبيقات محددة مثل Browser Isolation و ZTNA مما يجعلها عملية.

مبادئ الثقة الصفرية - «لا تثق أبدًا، تحقق دائمًا»

الثقة الصفرية، في جوهرها، تعني عدم وجود ثقة ضمنية. في النموذج القديم، إذا كان شخص ما على شبكة الشركة (على سبيل المثال، من خلال VPN أو في المكتب)، فقد افترضنا أنه شخص موثوق به من الداخل ومنحنا وصولاً واسعًا إلى حد ما. تقوم Zero Trust بقلب هذا: يتم التحقق من كل طلب وصول بشكل صريح، بغض النظر عن مصدره، ويتم تطبيق أقل امتياز.

بالنسبة للعمل عن بُعد، يعني هذا شيئين رئيسيين:

  1. لا تثق بالجهاز أو الشبكة لمجرد أنه موظف. تحقق من هويتهم بقوة (المصادقة متعددة العوامل)، وتأكد من أن أجهزتهم تلبي معايير الأمان، وعندها فقط تسمح بالوصول - وحتى في هذه الحالة، فقط إلى الموارد المطلوبة.
  2. لا تثق في مواقع الويب أو المحتوى الخارجي لمجرد أن المستخدم يصل إليها للعمل. تعامل مع كل محتوى الويب على أنه غير موثوق به وتعامل معه وفقًا لذلك لمنع التعرض.

عزل المتصفح - فقاعة أمان لتصفح الويب

يشبه عزل المتصفح منح المستخدمين فقاعة واقية لتصفح الويب. الفكرة هي أنه بدلاً من السماح بتشغيل كود الويب على الكمبيوتر الفعلي للمستخدم، فإنه يعمل عن بُعد في بيئة آمنة (مثل وضع الحماية في السحابة أو الخادم في مركز البيانات). يتفاعل المستخدم مع موقع الويب من خلال عرض آمن - فكر في الأمر على أنه مشاهدة بث مباشر للمتصفح، أو تلقي «جوهر» الصفحة فقط (النص والصور) دون المحتوى النشط الخطير.

على سبيل المثال، إذا قامت أليس، التي تعمل من المنزل، بزيارة مقال مثير للاهتمام وكان هذا الموقع يحتوي على إعلان ضار مع استغلال، فعادةً ما يحاول هذا الاستغلال تنفيذه على المتصفح/جهاز الكمبيوتر الخاص بها. إذا كانت شركة Alice لديها ميزة عزل المتصفح، فسيتم تنفيذ هذا الاستغلال في بيئة المتصفح المعزولة في السحابة. قد يؤدي ذلك إلى تعريض هذا المتصفح المعزول للخطر - ولكن هذه حاوية مهملة، وليست كمبيوتر أليس. لذلك يبقى جهازها آمنًا؛ عندما تغلق علامة التبويب، يتم تدمير تلك الحاوية، إلى جانب البرامج الضارة. من وجهة نظر أليس، بدت الصفحة طبيعية وقرأت المقالة، ولكن تم احتواء أي أشياء سيئة بعيدًا.

لماذا هذا قوي للعمل عن بعد؟

  • يمكن للمستخدمين زيارة المواقع الخطرة بأمان. ربما يحتاج موظف التسويق إلى البحث عن المنافسين وينتهي به الأمر في مواقع أقل شهرة - مع العزلة، لا بأس بذلك. لا يتعين عليك الحظر بنفس القدر، لأنه حتى لو كان الموقع سطحيًا، فلن يؤذيك ذلك.
  • إنه يقلل بشكل كبير من فرص الإصابة بالبرامج الضارة من تصفح الويب. حتى عمليات استغلال المتصفح في يوم الصفر (والتي من شأنها أن تتخطى برامج مكافحة الفيروسات التقليدية) تصبح بلا جدوى، لأن جلسة المتصفح الفعلية ليست في نقطة النهاية.
  • إنه أمر رائع لسيناريوهات BYOD. حتى إذا لم يكن الجهاز الخاص بالمستخدم موثوقًا به تمامًا، فإن خدمة العزل توفر وسيطًا آمنًا. إنه مثل منحهم متصفحًا افتراضيًا آمنًا لاستخدامه.

يستخدم منتجنا الشريك DefensX عزل المتصفح عن بُعد (RBI) لهذه الأسباب. بشكل أساسي، يقوم بتسليم موقع الويب للمستخدم في شكل آمن. ترسل بعض التطبيقات فقط دفقًا مرئيًا (وحدات البكسل)، بينما يرسل البعض الآخر DOM المعاد بناؤه (بحيث لا يزال بإمكانك نسخ النص، وما إلى ذلك، ولكن بدون الأجزاء الخطرة). يمكن للبرامج المتقدمة أيضًا السماح بتشغيل بعض البرامج النصية الآمنة محليًا للأداء بينما يظل كل شيء آخر بعيدًا.

نقطة أساسية: تم تحسين الحماية من التصيد الاحتيالي بشكل كبير مع العزلة. لنفترض أن المستخدم قد نقر على رابط التصيد الاحتيالي - مع عزل المتصفح، عندما يقوم بإدخال بيانات الاعتماد، يمكن لبعض الحلول اعتراض ذلك (مثل قيام RBI بالتعرف على صفحة تسجيل دخول الشركة التي يتم تصيدها وحظر الإرسال، أو مجرد حقيقة أن نموذج تسجيل دخول غير معروف يطلب اعتمادات الشركة يمكن أن يؤدي إلى تنبيه). وحتى إذا لم يكن الأمر كذلك، فسيتم احتواء أي برامج ضارة يحاول المخادع إسقاطها. في الواقع، تحاول العديد من هجمات التصيد الاحتيالي هذه الأيام استغلال المتصفح أو تسليم حمولات تتجاوز مجرد جمع بيانات الاعتماد؛ العزلة تقطع هذا الطريق.

الوصول إلى شبكة Zero Trust (ZTNA) - موت VPN (كما نعرفها)

الوصول إلى شبكة Zero Trust (ZTNA) هو الحل الحديث لمشاكل VPN. بدلاً من توصيل المستخدم بالشبكة بأكملها، تعمل أنظمة ZTNA كوسيط أو بوابة تسمح فقط للمستخدمين المصرح لهم بالوصول إلى خدمات أو تطبيقات محددة - لا أكثر.

فكر في ZTNA مثل موظف استقبال ذكي عند الباب الأمامي للشركة. بدلاً من إعطاء كل زائر مفتاحًا هيكليًا لكل مكتب (وهو ما تفعله شبكات VPN غالبًا للشبكة)، يتحقق موظف الاستقبال من الهوية والموعد ثم يسمح للزائر فقط بالدخول إلى غرفة المؤتمرات التي يحتاج إليها، وليس في أي مكان آخر.

للعمل عن بُعد:

  • إذا كانت أليس بحاجة إلى استخدام تطبيق موارد بشرية داخلي، فإنها تمر عبر بوابة ZTNA. بعد التأكد من هويتها وصحة جهازها، تقوم خدمة ZTNA بتوصيلها فقط بتطبيق الموارد البشرية هذا (من خلال نفق آمن أو وكيل). إذا حاولت الوصول إلى شيء داخلي آخر، فلن يعمل تلقائيًا ما لم يُسمح بذلك صراحة.
  • لا يوجد وصول واسع للشبكة. هذا يعني أنه حتى في حالة تعرض الكمبيوتر المحمول الخاص بـ Alice للاختراق، فلن يتمكن المهاجم من المسح أو التحرك أفقيًا عبر شبكة الشركة - سيصطدم بالجدران عند كل منعطف لأن كل تطبيق مقسم خلف بوابة ZTNA.
  • غالبًا ما تكون ZTNA مدركة للتطبيق ومدركة للمستخدم. يمكن للسياسات أن تقول، على سبيل المثال، «يمكن لأعضاء التمويل فقط الوصول إلى قاعدة بيانات التمويل، ويجب أن يكونوا على كمبيوتر محمول صادر عن الشركة مع تصحيحات محدثة وأن يكونوا قد قاموا بعمل MFA في الساعات الأربع الماضية.» هذا أكثر دقة بكثير من VPN، والذي عادة ما يقول فقط «أليس يمكنها الدخول إلى VPN، وبمجرد دخولها يمكنها تقنيًا محاولة الوصول إلى أي شيء».
  • تجربة المستخدم: يمكن أن تكون ZTNA أفضل. تتكامل العديد من حلول ZTNA مع تسجيل الدخول الأحادي، لذلك بمجرد تسجيل أليس للدخول عبر البوابة، تنقر فوق التطبيق ويفتح - ربما عبر متصفحها أو موصل خفيف - دون الحاجة إلى إعادة توجيه الشبكة بالكامل. يمكن أن يبدو وكأنه مجرد تطبيق SaaS آخر. لا مزيد من «تشغيل VPN، والاتصال، ثم تشغيل التطبيق، ثم قطع اتصال VPN لأنه يبطئ الأمور الأخرى.»

الفائدة الجانبية هي الرؤية. تسجل ZTNA بالضبط التطبيقات التي يصل إليها المستخدمون ومتى وإلى متى. إذا كان الحساب يتصرف بشكل غريب (يحاول الوصول إلى العديد من التطبيقات التي لا يفعلها عادةً)، فسيكون ذلك أكثر وضوحًا. باستخدام VPN، يمكن لأي شخص أن يتجول بهدوء في الأنظمة المختلفة بمجرد الدخول، ربما دون إطلاق إنذارات فورية.

الآن، يمكن أن يتضمن تنفيذ ZTNA خدمات قائمة على السحابة أو بوابات داخلية، ولكن الهدف ثابت: تقليل الثقة الضمنية وتقليل نطاق الوصول. يتضمن DefensX، كما هو مذكور في موادنا، نهج Zero Trust Access للمستخدمين عن بُعد، مما يقلل الاعتماد على VPN ويستخدم التحليل السلوكي لمراقبة جلسات المستخدم. تم تسريع التحول إلى ZTNA من خلال العمل عن بُعد، وبدأت العديد من المنظمات الآن في التخلص التدريجي من شبكات VPN القديمة لصالحها.

تآزر عزل المتصفح + ZTNA

عند استخدامها معًا، فإنها تخلق بيئة عمل آمنة وفعالة عن بُعد:

  • الوصول الآمن إلى الويب (العزل): يمكن للمستخدمين النقر فوق أي رابط، والتصفح في أي مكان للبحث أو العمل، ويتم إبعاد التهديدات عن نقاط النهاية. يغطي هذا تطبيقات SaaS أيضًا - حتى إذا كان تطبيق SaaS يحتوي على رابط ضار أو إعلان مخترق، فإن العزل يغطيه. إنها في الأساس فقاعة واقية لجميع أنشطة الإنترنت.
  • الوصول الآمن إلى التطبيقات الخاصة (ZTNA): عندما يحتاج المستخدمون إلى الدخول إلى تطبيقات خاصة بالشركة (والتي قد لا تكون موجودة على الإنترنت)، فإنهم يفعلون ذلك من خلال سياسات Zero Trust. لا توجد أنفاق واسعة، فقط مسارات ضيقة ومصدقة لما يحتاجون إليه بالضبط.
  • ادمج ذلك مع الهوية القوية (MFA) وأمان نقطة النهاية (ضمان حصول الأجهزة على الحماية الأساسية وفحص الوضع)، وسيكون لديك حل شامل.

في مثل هذا الإعداد، يصبح موقع المستخدم غير ذي صلة تقريبًا بالأمان. سواء كانوا في المقر الرئيسي أو في المنزل أو يستخدمون Wi-Fi في المطار، تنطبق نفس المبادئ: التعامل مع الشبكة على أنها معادية، والتعامل مع الويب على أنه عدائي - في كل حالة، قم بحماية المستخدم وموارد الشركة من خلال بوابات معزولة ومحكومة.

مثال من العالم الحقيقي

للتوضيح، ضع في اعتبارك موظفًا عن بُعد، بوب:

  • يبدأ بوب يومه ويسجل الدخول إلى بوابة آمنة باستخدام حساب Microsoft 365 لشركته + 2FA. تمت مصادقته الآن عبر خدمة Zero Trust.
  • يحتاج بوب إلى الوصول إلى أداة إعداد التقارير المالية الداخلية. في البوابة الإلكترونية، ينقر على أيقونة أداة التمويل. بسلاسة، تفتح خدمة ZTNA التطبيق في متصفحه. وخلف الكواليس، أنشأت اتصالاً آمنًا بأداة التمويل داخل المؤسسة وتقوم بتوكيلها إلى بوب. لم يكن على بوب بدء تشغيل VPN؛ بالنسبة له، يبدو الأمر وكأنه يستخدم تطبيق ويب. يقوم بتحديث بعض السجلات وإغلاقها.
  • يتلقى بوب بريدًا إلكترونيًا من مرسل غير معروف. إنه مشبوه ولكن يحتوي على رابط يزعم أنه فاتورة المورد. ينقر عليها (الفضول يحصل على أفضل ما لديه). يتم فتح الرابط في جلسة متصفح معزولة بفضل بوابة الويب الآمنة للشركة. الموقع عبارة عن صفحة تصيد تحاول حمله على تسجيل الدخول. لا تمنع هذه العزلة أي تنزيل من محرك الأقراص فحسب، بل تقوم أيضًا معلومات التهديدات الخاصة بالشركة بوضع علامة على الصفحة على أنها تصيّد احتيالي. يرى بوب تراكبًا تحذيريًا كبيرًا: «تم تحديد هذا الموقع على أنه ضار. لا تدخل بيانات الاعتماد.» يدرك بوب أنه كاد أن يقع في غرام التصيد ويغلقه. لم يحدث أي ضرر - كان محميًا.
  • في وقت لاحق، يريد بوب استخدام أداة تعاون قائمة على السحابة لم توافق عليها تكنولوجيا المعلومات بشكل صريح حتى الآن. عندما يحاول تسجيل الدخول، تسمح بيئة العزل بذلك (لا توجد سياسة ضده)، ولكنه يراقب عن كثب تنزيل الملف. يقوم بتنزيل مستند من تلك الأداة - يقوم نظام العزل أو عامل نقطة النهاية بمسحه وتعقيمه (مرحبًا، عثر على ماكرو مضمن وقام بتجريده). يحصل بوب على المستند، ولكن ليس من الحكمة أنه تم تنظيف المحتوى وراء الكواليس. يفتح بشكل جيد ويمكنه القيام بعمله.

في كل هذه التفاعلات، لاحظ أن بوب كان قادرًا على القيام بما يحتاج إليه دون عقبات تقليدية، ومع ذلك كان الأمن ينسج حوله بشكل غير مرئي:

  • لم يتمكن التصيد الاحتيالي من الإمساك به لأن النظام أعطاه شبكة أمان وتحذيرًا.
  • لم تلمس البرامج الضارة جهازه.
  • تم تبسيط الوصول إلى الموارد الداخلية ولكنه ضيق.
  • إذا كان جهاز بوب غير مصحح أو جاء الوصول من موقع غريب، فقد يكون نظام Zero Trust قد طالب بإجراء تحقق إضافي أو حظر المحاولة، ولكن نظرًا لأن بيئة بوب كانت سليمة، فقد ظلت سلسة.

الخاتمة

يُعد عزل المتصفح والوصول إلى Zero Trust أداة تحويلية لتأمين العمل عن بُعد. إنها تجسد مبدأ حماية المستخدمين والبيانات أينما كانوا، بدلاً من الاعتماد على القلعة والخندق القديم حيث يجب أن يكون الجميع داخل الخندق. أدى العمل عن بُعد إلى تعتيم الحدود، ولكن هذه التقنيات تعيد إنشاء حدود الأمان حول كل مستخدم وكل جلسة على حدة.

بالنسبة للمؤسسات التي تتكيف مع العمل طويل المدى عن بُعد أو العمل المختلط، أصبح اعتماد هذه الأساليب سريعًا من أفضل الممارسات. إنه يقلل المخاطر بشكل كبير: تنخفض الإصابات بالبرامج الضارة، وينخفض نجاح التصيد الاحتيالي، وتصبح الأنظمة الداخلية أقل تعرضًا للخطر بكثير. يكتسب الموظفون أيضًا حرية العمل بمرونة دون القلق المستمر «هل النقر فوق هذا آمن؟» أو «هل أحتاج إلى بدء تشغيل VPN لهذا؟».

في النهاية، يجب ألا يتعارض الأمان مع الإنتاجية - يجب تمكينه بصمت. يقوم كل من عزل المتصفح و ZTNA بذلك تمامًا: إبعاد الأشرار والأشخاص الطيبين عن العمل، أينما كانوا.

ذات صلة مقالات

تصفح المزيد
button arrowbutton arrow
صورة مدونة
رمز الفئة
News
May 3, 2025
موظفوك هم أفضل دفاع لديك - تنمية ثقافة مدركة للأمن

لقد سمعنا جميعًا المقولة القائلة بأن «الموظفين هم الحلقة الأضعف في الأمن السيبراني»، وغالبًا ما يُقال بعد نجاح عملية الاحتيال أو العثور على كلمة مرور في ملاحظة لاصقة. في حين أن هناك حقيقة في ذلك، لا يجب أن يكون الأمر على هذا النحو...

صورة مدونة
رمز الفئة
Resources
May 3, 2025
بناء المرونة السيبرانية باستخدام أتمتة SecOps: لماذا التنسيق هو مستقبل العمليات الأمنية

في مشهد الأمن السيبراني اليوم، السرعة هي كل شيء. غالبًا ما تحدد قدرة فريق الأمان على اكتشاف التهديدات والتحقيق فيها والاستجابة لها بسرعة ما إذا كان الهجوم سيصبح حادثًا بسيطًا أو اختراقًا كاملاً...

شكرًا لك! تم استلام طلبك!
عفوًا! حدث خطأ ما أثناء إرسال النموذج.
social icon
لينكد إن

صفحات

فرص المواهب