طلب MFA للوصول الإداري
الوصف
طلب MFA لجميع الوصول الإداري إلى أصول المؤسسة سواء المُدارة في الموقع أو من خلال مزود طرف ثالث.
قائمة التحقق من التطبيق
توصيات الأدوات
إدارة الهوية والوصول السحابية مع تسجيل الدخول الموحد والمصادقة متعددة العوامل والوصول المشروط وحوكمة الهوية
Microsoft · اشتراك لكل مستخدم (P1/P2)
منصة هوية سحابية توفر تسجيل الدخول الموحد والمصادقة متعددة العوامل التكيفية وإدارة دورة الحياة وإدارة الوصول عبر واجهات برمجة التطبيقات
Okta · اشتراك لكل مستخدم
منصة مصادقة متعددة العوامل ووصول بنموذج انعدام الثقة مع ثقة الأجهزة وسياسات الوصول التكيفية
Cisco · اشتراك لكل مستخدم
منصة أمان هوية مؤسسية مع تسجيل الدخول الموحد والمصادقة متعددة العوامل والدليل وأمان واجهات برمجة التطبيقات لهوية القوى العاملة والعملاء
Ping Identity (Thales) · اشتراك لكل مستخدم
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
اختراق بيانات اعتماد المسؤول يؤدي إلى الاستيلاء الكامل على النطاق
السريةيحصل مهاجم على بيانات اعتماد المسؤول من خلال التصيد أو تسجيل المفاتيح أو سرقة التجزئة ويحصل على وصول إداري غير مقيد لأنه لا يوجد عامل ثانٍ يحمي الحسابات المميزة.
تصعيد الصلاحيات عبر كلمة مرور مسؤول مسروقة
السلامةيصعد مهاجم من اختراق قياسي إلى تحكم إداري كامل باستخدام كلمة مرور مسؤول مسروقة، حيث لا يُطلب MFA للوصول الإداري إلى أي من أنظمة المؤسسة.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود MFA على الحسابات الإدارية
تمثل الحسابات الإدارية المحمية بكلمات المرور وحدها أعلى قيمة وأقل مقاومة للأهداف؛ فكلمة مرور مخترقة واحدة تمنح تحكماً كاملاً في النظام.
بوابات المسؤول الخارجية بدون MFA
يفتقر الوصول الإداري إلى الخدمات السحابية ومنصات SaaS وبوابات مزودي الخدمات المُدارة إلى MFA، مما يسمح بالاستيلاء الإداري عن بُعد ببيانات اعتماد مسروقة.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| تقني | حالة تسجيل MFA وتهيئة الإنفاذ | يُراجع شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |