التدقيق الأمني الذي لم يجد كلمات مرور مشتركة

وصل الاستبيان كمرفق جدول بيانات باثنين وأربعين صفّاً، وأوقف أحدها مدير الحساب جامداً: «صِف كيف يُتحكَّم بالوصول إلى حساباتنا الإعلانية، بما في ذلك إدارة بيانات الاعتماد وعملية منح الوصول وإلغائه.» بالنسبة لمعظم الوكالات التي عمل معها هذا العميل يوماً، كان ذلك السؤال الواحد حيث يصير الحديث غير مريح. هذه قصّة نتيجة مختلفة. في هذا التدقيق الأمني لوكالة عن كلمات مرور الحساب الإعلاني المشتركة كانت تلك بالضبط ما بحث عنه المراجعون للتدقيق فيه — ولم يكن ثمّة شيء منها. نجحت الوكالة لا بقوّة سياساتها، بل بشكل بنيتها.

هذه قصّة مركّبة مستمدّة من نمط شائع بمجرّد أن تبدأ الوكالات البيع لعملاء السوق المتوسّطة والمؤسّسات. الأسماء والتفاصيل الدقيقة توضيحية؛ أمّا نمط الفشل — والبنية التي تتجنّبه — فحقيقيان.

الاستبيان: المشتريات تسأل من يستطيع لمس الحساب

كانت الوكالة قد فازت للتوّ بعميل أكبر من المعتاد، علامة استهلاكية مموَّلة بوظيفة أمنية حقيقية. قبل توقيع العقد، أرسلت المشتريات استبيان أمن مورّدين — من نوع الوثائق التي كانت محجوزة لمورّدي البرمجيات وصارت تهبط الآن على أيّ وكالة تلمس حسابات علامة منظَّمة وبياناتها. مدفونة فيه كانت الأسئلة التي تقرّر إن كانت وكالة الإعلانات تبدو شريكاً محترفاً أم مسؤولية: من في فريقكم يستطيع الوصول إلى حساباتنا الإعلانية؟ كيف يُمنَح ذلك الوصول؟ كيف يُلغى حين يغادر أحد؟ هل تُشارَك أيّ بيانات اعتماد؟ هل ثمّة سجلّ لما غيّره فريقكم؟

كانت أولى غرائز مدير الحساب هي غريزة معظم قادة الوكالات: ابدأ بصياغة إجابات حذرة. صِف مدير كلمات المرور. اشرح قائمة إنهاء الوصول. طمئِن المراجِع أن الفريق منضبط. لكن مديرة عمليات الوكالة أوقفت تلك المسوّدة، لأنها عرفت شيئاً لم يُقدِّره المدير تماماً بعد — الإجابات الصادقة على تلك الأسئلة، بالطريقة التي عملت بها الوكالة فعلاً، لم تكن مطمئنة البتّة. كانت قائمة بأشياء يمكن أن تنحرف.

لماذا تُخفِق معظم الوكالات في هذا بالسياسة لا بالبنية

إليك الفخّ. الإجابة القياسية للوكالة عن «كيف يُتحكَّم بالوصول» هي مجموعة سياسات مكدَّسة فوق بيانات اعتماد مشتركة. تحتفظ الوكالة بتسجيل دخول Meta للعميل في مدير كلمات مرور، وتوثّق بذرة المصادقة الثنائية ليتمكّن أكثر من شخص من تجاوز مطالبة 2FA، وتُبقي قاعدة بعدم لصق بيانات الاعتماد في الدردشة، وتصون قائمة إنهاء وصول كي يتذكّر أحدٌ تدوير كلمة المرور حين يغادر مشترٍ.

كل واحد من هذه وعد، وكل وعد مكان للفشل. مدير كلمات المرور آمن بقدر أمان الأشخاص الذين يصلون إلى الإدخال. بذرة 2FA موثّقة تهزم غرض 2FA كله لحظة مغادرتها المصادِق. قائمة إنهاء الوصول تعمل إلى أن يأتي الأسبوع المزدحم الوحيد الذي تُتخطّى فيه. كتبنا من قبل عن كيف تقتل تسجيلات الدخول المشتركة وكالة بهدوء تشغيلياً؛ والمراجعة الأمنية هي حيث تقتل تسجيلات الدخول المشتركة نفسها الوكالة تجارياً، أمام العميل، على الورق.

كانت مديرة العمليات قد رأت وكالات تخسر صفقات في هذه الخطوة بالذات. يطلب المراجِع قائمة الأشخاص الذين يعرفون كلمة مرور العميل، تُنتِجها الوكالة، فيتحوّل الحديث إلى مفاوضة حول جداول التدوير وأذونات الخزنة — مفاوضة لا يمكن للوكالة إلّا أن تخسرها، لأن الحقيقة الأساسية لا تتغيّر قطّ: بشرٌ يمتلكون بيانات اعتماد العميل.

إجابة البنية: رمز System-User، لا تسجيلات دخول مشتركة للتدقيق فيها

أجابت الوكالة عن سؤال التحكّم بالوصول بفقرة واحدة، ووصفت الفقرة بنيةً بدل سياسة. الوكالة لا تمتلك تسجيل دخول Meta للعميل ولا تشاركه. تربط أعمال العميل مرّة واحدة عبر رمز System-User — بيان اعتماد خادم-إلى-خادم — ومن ذلك الرمز تكتشف طبقة التشغيل الحسابات الإعلانية المربوطة تلقائياً عبر مُعرِّف الأعمال. لا يتلقّى مشترو الإعلانات كلمة مرور العميل قطّ، لأنه لا توجد نقطة يسجّل عندها مشترٍ الدخول إلى حساب العميل ببيان اعتماد شخصي أو مشترك. يعملون عبر طبقة الوصول الداخلية الخاصّة بالوكالة.

ذلك الخيار البنيوي الواحد يُذيب فئة الأسئلة كاملةً التي بُني الاستبيان لاستكشافها. لا كلمة مرور مشتركة لتخزينها، فلا شيء يُسرَّب من خزنة. لا بذرة 2FA موثّقة، فلا عامل ثانٍ مهزوم. لا بيان اعتماد لتدويره حين يغادر مشترٍ، لأن لا مشترٍ امتلك واحداً قطّ. بحث المراجِع عن خطر بيان الاعتماد المشترك الذي كشفته إجابة كل مورّد آخر، وعلى هذه الوكالة لم يكن ثمّة ما يُوجَد ببساطة — لا لأن الوكالة حذِرة، بل لأن الكائن الخطر لم يوجد في سير عملها. هذا النظير البنيوي للنقطة التشغيلية في دليلنا لـتسجيلات دخول منفصلة مقابل طبقة تشغيل حقيقية: طبقة التشغيل هي ما يتيح لاتصال واحد خدمة مشترين كثيرين دون توزيع بيان الاعتماد قطّ.

RBAC الداخلي: وصول يُمنَح بالدور، قابل للإلغاء، محدَّد النطاق، مُسجَّل

بلا كلمة مرور مشتركة لإدارتها، انتقل سؤال الوصول إلى حيث تريده فرق الأمن فعلاً: داخل التحكّم بالوصول القائم على الأدوار الخاصّ بالوكالة. كان لكل مشترٍ ومخطِّط ومدير حساب مقعد مُسمّى بدور محدَّد. مُنِح الوصول بإسناد دور، وحُدِّد نطاقه كي لا يطال الدور سوى الحسابات والإجراءات التي يحتاجها، وأُلغِي لحظة إزالة المقعد — دون تدوير كلمة مرور، ولا هرولة، ولا اعتماد على ذاكرة أحد.

هذا النقيض البنيوي لأنماط الفشل المُفهرَسة في مقالنا عن أخطاء الأذونات التي ترتكبها الوكالات. حين يكون الوصول كلمة مرور مشتركة، لا يمكنك منحه ضيّقاً، ولا إلغاؤه نظيفاً، ولا إثبات من امتلكه. حين يكون الوصول دوراً على مقعد مُسمّى، تصير الثلاثة بديهية. سأل المراجِع كيف يُزال وصول موظّف مغادر؛ كانت الإجابة «نُزيل مقعده، فينتهي وصوله معه» — جملة لا تحتاج متابعة لأنه لا يوجد سرٌّ مشترك ما زال يدور بعد رحيله.

سجلّ التدقيق كدليل: من غيّر ماذا، ومتى

كان آخر سؤال وصول في الاستبيان هو ما تخشاه الوكالات أكثر: هل ثمّة سجلّ لما غيّره فريقكم على حساباتنا؟ مع تسجيلات الدخول المشتركة، الإجابة الصادقة لا — تختم السجلّات الأصلية كل تغيير بهوية المالك المشترك نفسها، فلا طريقة لنسبة تعديل إلى شخص. كانت إجابة هذه الوكالة شاشة. ولأن كل إطلاق وتغيير ميزانية وإيقاف وتعديل تصميم جرى عبر طبقة التشغيل، التُقِط كلٌّ منها تلقائياً ونُسِب إلى المقعد المُسمّى الذي أجراه، بطابع زمني، عبر كل منصّة عمِل عليها العميل.

أدّى سجلّ التدقيق ذاك دورين. للمراجعة الأمنية، أجاب عن سؤال سجلّ التغيير مباشرةً: نعم، كل تغيير مَنسوب ومختوم بالوقت، وها هو الخطّ الزمني. لعمليات الوكالة نفسها، كان سجلّ المساءلة نفسه الذي نصفه في لماذا تحتاج الحسابات الإعلانية سجلّ تدقيق حقيقياً — الشيء الذي يحوّل «نظنّ أن أحداً عدّل العرض» إلى «هذا المشتري أجرى هذا التغيير في هذا الوقت». عامل المراجِع سجلّ تغيير نظيفاً ومَنسوباً كعلامة على مورّد ناضج، لأنه كذلك. الوكالة القادرة على إظهار من فعل ماذا، ومتى، بالضبط، هي وكالة فكّرت في المساءلة قبل أن تُسأَل.

اجتياز المراجعة دون إعادة كتابة سياسة وصول واحدة

أكثر ما لفت في النتيجة هو ما لم تضطرّ الوكالة لفعله. لم تكتب سياسة تحكّم بالوصول جديدة لهذا التعاقد. لم تُنشئ عملية خاصّة لهذا العميل الواعي أمنياً وحده. لم تَعِد بتدوير بيانات الاعتماد أكثر تواتراً أو بتقييد من يمتلك إدخال الخزنة. أجابت عن الاستبيان بوصف الطريقة التي عملت بها أصلاً — اتصال System-User، والمقاعد القائمة على الأدوار، وسجلّ التغيير المَنسوب — وكان الوصف هو الامتثال.

تلك هي الرافعة الهادئة لكونك آمناً بالبنية بدل الإجراء. الأمن الإجرائي يجب أداؤه وتوثيقه وإعادة أدائه لكل تدقيق، ويتدهور لحظة فتور الانتباه. الأمن البنيوي خاصّية للنظام تصمد سواء راقب أحد أم لا. اجتازت الوكالة المراجعة في الوقت الذي استغرقه كتابة بضع فقرات ومشاركة لقطة شاشة لطبقة الوصول، لأن عمل الاجتياز أُنجِز قبل سنوات حين اختارت ألّا توزّع بيانات اعتماد من الأساس.

ما الذي يكسبه «الأمان بالبنية» إلى ما بعد الاستبيان

كان العقد الموقَّع الجائزة البديهية، لكن البنية ظلّت تدفع بعد إغلاق الصفقة. الإعداد نفسه الذي أرضى فريق مشتريات عميل واحد أرضى التالي دون عمل إضافي، ما يعني أن الوكالة استطاعت ملاحقة الحسابات الواعية أمنياً كسوق بدل معاملة كلٍّ منها كحالة خاصّة. كل استبيان مستقبلي قابلته الإجابة المُعدّة نفسها.

كما غيّر وضع خطر الوكالة الداخلي. مغادرة مشترٍ صارت حدثاً لا يُذكر — أزِل المقعد، انتهى — بدل تدريب إطفاء حريق لتدوير بيانات اعتماد عبر اثني عشر حساب عميل. سجلّ التغيير المَنسوب يعني أن التسليمات الداخلية أتت بخريطة كاملة للتغييرات الأخيرة. وغياب الأسرار المشتركة يعني أن أكبر سطح اختراق للوكالة، خزنة مليئة بتسجيلات دخول العملاء، ببساطة لم يوجد ليُخترَق. البنية التي كسبت الاستبيان هي نفسها التي جعلت الوكالة أصعب تضرّراً في أيّ يوم عادي، عبر المنصّات الإعلانية الست جميعاً التي أدارتها للعملاء.

الدرس: أقوى إجابة أمنية هي ألّا يكون لديك ما تعترف به من المخاطر

حين سُئلت لاحقاً عمّا صنع الفرق، قالتها مديرة العمليات بوضوح: لم تنجح الوكالة في المراجعة الأمنية بكونها أفضل في إدارة الأشياء الخطرة. نجحت بعدم امتلاكها أشياءً خطرة لإدارتها. لم تكن ثمّة كلمة مرور مشتركة لحمايتها، ولا بذرة 2FA للتحكّم بها، ولا بيان اعتماد لتدويره، لأن طريقة وصول المشترين إلى حسابات العملاء لم تتضمّن أيّاً منها قطّ.

ذلك المبدأ ينبغي أن تستوعبه أيّ وكالة تبيع لعملاء جادّين. كلّما صعدت في السوق، يتوقّف الاستبيان الأمني عن كونه مفاجأة عابرة ويصير بوّابة روتينية، والسؤال الذي يطرحه فعلاً هو نفسه دائماً: أين الخطر في كيفية تعاملكم مع حسابنا؟ الوكالة المبنية على تسجيلات دخول مشتركة عليها الإجابة عن ذلك السؤال بقائمة تخفيفات، كلٌّ منها مكان قد تفشل فيه. الوكالة المبنية على رمز System-User، ووصول داخلي قائم على الأدوار، وسجلّ تدقيق مَنسوب يمكنها الإجابة بالبنية — وأقوى إجابة ممكنة على «أين الخطر» تتبيّن أنها تلك التي لا تملك ما تعترف به من المخاطر. لبقيّة الخطّة في إدارة وكالة بهذه الطريقة، انظر مركز أدوات الوكالة.