پایان عصر فایروال‌ها؛ چرا «مدیریت هویت» خط مقدم پدافند سایبری در سال ۲۰۲۶ است؟

توسعه شتابان رایانش ابری، سیستم‌های پیشرفته SaaS و دورکاری، مدل‌های سنتی امنیت شبکه را به طور کامل منسوخ کرده است. دیگر لایه دفاعی به نام «مرز شبکه» وجود ندارد که با فایروال‌ها و سیستم‌های ضدویروس از آن پاسداری کنیم. امروزه، مهاجمان سایبری و گروه‌های APT دیگر به دنبال کشف آسیب‌پذیری‌های پیچیده فنی یا شکستن دیوارهای آتشین نیستند؛ آن‌ها به سادگی با استفاده از اطلاعات احراز هویت سرقت‌شده، به سامانه‌ها «وارد» می‌شوند. بر اساس تحلیل استراتژیک تحریریه ۲۴ نیوز، در چشم‌انداز تهدیدات سال ۲۰۲۶ مدیریت هویت و دسترسی (Identity) به اصلی‌ترین سطح حمله Primary Attack Surface تبدیل شده است.

خبرنگار:

بهراد یوسفی

۱. فروپاشی مرزهای سنتی؛ ورود هکر با پوشش کاربر قانونی

در گذشته، استراتژی امنیت بر این فرض استوار بود که اگر جلوی ورود فیزیکی یا شبکه‌ای مهاجم به دیتاسنتر گرفته شود، سازمان امن است. اما امروز با زیرساخت‌های چندتکه و اتصال مستقیم تامین‌کنندگان (Vendors) به سیستم‌های داخلی، هویت تنها کلید کنترل است.

مهاجمان مدرن با استفاده از تکنیک‌هایی مثل ربودن توکن‌های نشست (Session Tokens)، حملات Adversary-in-the-Middle (AiTM) و فیشینگ‌های مبتنی بر رضایت‌نامه OAuth، خود را جای کارمندان معتبر جا می‌زنند. از نظر سیستم‌های پایش، رفتار این هکرها کاملاً شبیه به یک کاربر قانونی است که در حال انجام کار روزمره خود است؛ همین امر شناسایی نفوذ را برای تیم‌های SOC به شدت دشوار می‌کند.

۲. بن‌بست احراز هویت دومرحله‌ای (MFA) سنتی

بسیاری از مدیران آی‌تی گمان می‌کنند با فعال‌سازی MFA یا پیامک رمز پویا، خطر را رفع کرده‌اند. اما واقعیت سال ۲۰۲۶ نشان می‌دهد که این ابزارها دیگر بازدارنده نیستند:

اشباع تاییدیه(MFA Fatigue): هکرها با ارسال صدها اعلانِ فشاری (Push Notification) متوالی روی گوشی کاربر، او را خسته و مجبور به تایید ناخواسته دسترسی می‌کنند.
کیت‌های فیشینگ زنده مثل Starkiller: این ابزارها به صورت زنده کوکی‌های نشست Session Cookies را بعد از عبور کاربر از سد MFA سرقت کرده و نیاز به داشتن رمز عبور را به طور کامل منتفی می‌کنند.

۳. بدهی دسترسی (Permission Debt)؛ ضریب تکاثر خسارت در سازمان

نکته پدافندی حائز اهمیت این است که دسترسی اولیه هکر همیشه فاجعه‌بار نیست، بلکه سطح اختیارات آن هویت (Privilege) است که عمق فاجعه را رقم می‌زند. بسیاری از سازمان‌های ایرانی دچار عارضه «بدهی دسترسی» هستند؛ یعنی به دلیل راحتی کار، به یک حساب کاربری یا حساب‌های خدماتی Service Accounts، دسترسی‌های بیش از حد و دائمی داده‌اند.

عدم اجرای دقیق اصل حداقل دسترسی (POLP) باعث می‌شود که به محض لو رفتن یک حساب کم‌اهمیت، مهاجم بتواند به صورت عرضی (Lateral Movement) در شبکه حرکت کرده، قوانین جدیدی در ایمیل‌ها بسازد و در نهایت کل سازمان را با باج‌افزار قفل کند.

🛡️ رهنمودهای پدافند سایبری ۲۴ نیوز برای ارتقای امنیت هویت:

برای تغییر استراتژی دفاعی از «امنیت شبکه» به «امنیت هویت»، ادمین‌های شبکه و مدیران امنیت باید سه گام عملیاتی زیر را فورا اجرا کنند:

ارتقای مانیتورینگ هویت به اولویت اولSOC: لاگ‌های مربوط به احراز هویت نباید به عنوان اطلاعات حاشیه‌ای دیده شوند؛ آن‌ها شواهد اصلی جرم (Primary Forensic Evidence) هستند. الگوهای سفر غیرممکن (Impossible Travel)، ایجاد قوانین مشکوک در صندوق پستی و تغییرات ناگهانی سطح دسترسی باید فورا به عنوان هشدار قرمز پردازش شوند.
کوچ به سمت احراز هویت مقاوم در برابر فیشینگ: سازمان‌ها باید روش‌های سنتی SMS و Push را کنار گذاشته و از پروتکل‌های FIDO2 و کلیدهای سخت‌افزاری مجهز به Conditional Access (دسترسی مشروط بر اساس موقعیت و سلامت دستگاه) استفاده کنند.
پیاده‌سازی مدل دسترسی موقت (Just-In-Time Access): دسترسی‌های مدیریتی نباید دائمی باشند. کارشناسان فنی تنها باید برای زمان مشخص و پس از تایید مدیر مربوطه، به سطوح حساس دسترسی پیدا کنند.