مخترقو الباب الخلفي معروفون.. وفِرق الأمن لم تُغلق معظم الثغرات

يمثل استخدام رموز OAuth، التي تمنح صلاحيات مستمرة للتطبيقات الخارجية للوصول إلى بيانات الشركات، ثغرة أمنية متزايدة في بيئات العمل الحديثة. ومع انتشار أدوات الذكاء الاصطناعي وتطبيقات الإنتاجية، أصبح كل تطبيق يتصل بمنصات مثل Google أو Microsoft يترك وراءه بصمة رقمية قد لا تخضع للمراقبة الكافية، مما يشكل تحدياً كبيراً أمام مسؤولي أمن المعلومات.

تتبع هذه الرموز، المعروفة باسم منح OAuth، المسار الأمني لتكامل التطبيقات مع حسابات المستخدمين. ورغم فعاليتها في تسهيل الوصول، إلا أن غياب آليات فعالة لتاريخ انتهاء صلاحيتها أو تنظيفها تلقائيًا، بالإضافة إلى قلة الرقابة المركزية، يجعلها عرضة للاستغلال. يشكل أمن منح OAuth مصدر قلق متزايد للمؤسسات.

تحديات أمن منح OAuth في المؤسسات

تُشير الأبحاث الحديثة إلى أن نسبة كبيرة من قادة أمن المعلومات، تصل إلى 80%، يعتبرون منح OAuth غير المُدارة خطرًا كبيرًا أو جوهريًا. وعلى الرغم من الاعتراف بهذا الخطر منذ سنوات، إلا أن القدرة على معالجته لا تزال محدودة.

يعمل 45% من المؤسسات بلا أي إجراءات لمراقبة منح OAuth على نطاق واسع. وبينما تلجأ نسبة 33% الأخرى إلى عمليات يدوية، مثل تتبع الصلاحيات في جداول البيانات أو مراجعة الأذونات بشكل غير منتظم، فإن هذه الأساليب لا توفر مستوى الأمان المطلوب.

هذه الأساليب اليدوية لا تمثل حلاً فعلياً لمواجهة التهديدات، بل هي مجرد سجل للمخاطر التي لا تدركها المؤسسة بالكامل.

خطر OAuth ليس نظرياً

غالباً ما يُنظر إلى ضرورة مراقبة منح OAuth على أنها تتعلق بتدفق المعلومات الحساسة إلى أدوات خارجية خارج نطاق رؤية تكنولوجيا المعلومات. ورغم أن هذه مشكلة حقيقية، إلا أن الخطر الأكثر إلحاحًا يتمثل في كون منح OAuth بحد ذاتها سلاحاً فعالاً في الهجمات السيبرانية.

تمثل حادثة Drift مثالاً صارخاً على ذلك. فقد استطاع مهاجمون، باستخدام رموز OAuth صالحة، اختراق حسابات Salesforce لأكثر من 700 منظمة، متجاوزين بذلك كافة ضوابط الأمان التقليدية. لم يتمكن المهاجمون من تسجيل الدخول، بل استخدموا صلاحيات منحها تطبيق Drift سابقًا.

أدت هذه الهجمة، التي استهدفت تطبيقات موثوقة، إلى سرقة بيانات حساسة وتفاصيل تسجيل دخول، مما يؤكد الحاجة إلى مراقبة مستمرة لمنح OAuth بدلاً من مجرد قبولها عند التثبيت.

متطلبات المراقبة الفعالة لمنح OAuth

تركز الأدوات الحالية لمراقبة OAuth بشكل أساسي على مرحلة تثبيت التطبيق، وتقييم نطاق الأذونات المطلوبة. ومع ذلك، فإن هذا لا يكفي لمواجهة سيناريوهات مثل حادثة Drift، حيث كان التطبيق شرعيًا في الأصل ولكن تم استغلال صلاحياته لاحقًا.

تتطلب المراقبة الفعالة لمنح OAuth ما يلي:

• مراقبة سلوكية مستمرة: تتبع ما يفعله التطبيق فعليًا بعد منحه الوصول، وليس فقط ما يمكنه فعله.
• تقييم نطاق التأثير: فهم حجم البيانات والأنظمة التي يمكن للتطبيق الوصول إليها بناءً على حسابات المستخدمين المرتبطة به.
• استجابة متدرجة: وضع خطط استجابة مختلفة بناءً على مستوى خطورة التهديد، مع إمكانية الإلغاء الفوري للتطبيقات المشبوهة.

إن تقييم موثوقية المورد ونطاق الأذونات هو مجرد البداية. المراقبة الدقيقة للسلوك الفعلي للتطبيقات، والتحقق من استدعاءات واجهة برمجة التطبيقات (API) التي تقوم بها، أمر حيوي لفهم دورها الحقيقي. وبدون رؤية عميقة لحسابات المستخدمين المرتبطة بها، تظل المؤسسات تعمل بنصف رؤية.

مستقبل أمن منح OAuth

تُعد منح OAuth أساسية لربط التطبيقات الخارجية وأدوات الذكاء الاصطناعي ببيئة العمل. ومع تزايد انتشار الذكاء الاصطناعي، من المتوقع أن يزداد عدد هذه المنح. لا يمثل منع الموظفين من استخدام هذه الأدوات حلاً عمليًا، كما أنه لا يعالج التهديد الذي تشكله التطبيقات التي تصبح ضارة بعد تثبيتها.

يكمن الحل في زيادة الشفافية حول منح OAuth الحالية، ومراقبة سلوكها المستمر، وتطوير القدرة على الاستجابة بسرعة وذكاء. تسعى حلول مثل “Material’s OAuth Threat Remediation Agent” إلى معالجة هذا التحدي من خلال المراقبة المستمرة وتقييم المخاطر بشكل شامل.