کنترل های کلیدی فناوری اطلاعات، مدیریت و کنترل حساب های کاربری

دیدگاه‌ خود را بنویسید / کنترل های امنیت اطلاعات

کنترل های 20 گانه موسسه CIS در حوزه امنیت اطلاعات یکی از مراجع کلیدی و معتبر در حوزه طراحی و پیاده سازی کنترل های فناوری اطلاعات به شمار می رود. در این بخش کنترل حساب های کاربری به عنوان شانزدهمین کنترل این مجموعه توصیف شده است.

 

معرفی کنترل حساب های کاربری

حساب کاربری (Account) برای دسترسی کاربران به سیستم ها و همچنین مشخص نمودن محدوده اختیارات آنها تعریف شده و به کاربران تخصیص داده می شود. حساب های کاربری می توانند توسط نفوذگران مورد سواستفاده قرار گیرند. بخشی از حساب های کاربری برای کاربران فعال سیستم تعریف شده است. اطلاعات این حساب های کاربری ممکن است سرقت شده و مورد سواستفاده قرار گیرند. تاکنون چندین مورد از سرقت اطلاعات حساب های کاربری گزارش شده است.

در برخی موارد نیز حساب های کاربری برای کارکنانی که غیر فعال بوده یا اینکه در حال حاضر در سازمان وجود ندارند به عنوان یک آسیب پذیری سو استفاده می شود. به عنوان مثال در زمان همکاری سازمان با مشاورین، پیمانکاران یا کارکنان تمام وقت برای آنها حساب کاربری تعریف می شود. عمر حساب کاربری این افراد کوتاه بوده و به محدوده زمانی همکاری آنها با سازمان بر می گردد، در چنین مواردی ضروری است تا پس از اتمام همکاری فرد با سازمان، حساب کاربری وی غیر فعال شود که در مواردی ممکن است چنین اتفاقی نیافتاده و حساب کاربری هنوز قابل استفاده باشد. کنترل حساب های کاربری به بررسی و پایش چنین حساب هایی و غیرفعال نمودن آنها می انجامد.

در مواردی نیز برای انجام آزمون های امنیتی به تیم های قرمز دسترسی تخصیص می یابد که پس از انجام آزمون ممکن است این دسترسی ها غیر فعال نشوند. غیر فعال ماندن دسترسی های فوق الذکر می تواند بسیار آسیب پذیر باشد، چرا که چنین تیم هایی معمولاً دارای دسترسی هایی گسترده هستند و اطلاعات و کارکردهای حساس سیستم در اختیار آنها است.

برای کنترل حساب های کاربری ضروری است که ابتدا ساز و کار احراز هویت کاربران تقویت شود. در چنین مواردی توصیه می شود از احراز هویت چند عاملی (Two Factor Authentication) استفاده شود. در این صورت کاربر برای دسترسی به حساب کاربری خود باید علاوه بر رمز عبور از حداقل یک عامل دیگر مانند اثرانگشت، رمز یک بار مصرف یا توکن فیزیکی استفاده کند.

 

آزمون کنترل حساب های کاربری

  • بررسی شود آیا فرآیند مشخصی برای اعلان، غیر فعال کردن و کنترل حساب های کاربری پس از اتمام همکاری با افراد وجود دارد یا خیر؟

 

  • برخی از حساب های کاربری تعریف شده در گذشته ارزیابی شده و فعال و غیر فعال بودن آنها بررسی گردد.

 

  • بررسی شود که آیا از ساز و کارهای احراز هویت چند عاملی برای دسترسی کاربران به حساب کاربری شان استفاده می شود یا خیر؟

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Scroll to Top