אותו משתמש מתחבר פעמיים לאותה אפליקציה. בפעם הראשונה מהמחשב הארגוני, בשעות העבודה, מהרשת הרגילה. בפעם השנייה ממכשיר לא מוכר, בשעה לא אופיינית, ממיקום חריג, ומנסה לגשת למידע רגיש.
בשני המקרים יכול להיות שהסיסמה נכונה. בשני המקרים ה-MFA יכול לעבור בהצלחה. ועדיין, מבחינת סיכון, זה לא אותו אירוע.
זו נקודת המוצא ל-Identity Security מודרני. השאלה אינה רק האם המשתמש הצליח להזדהות, אלא האם הגישה שלו הגיונית בהקשר שבו היא מתרחשת.
במשך שנים IAM נתפס בעיקר כשכבת Login: SSO, סיסמאות, MFA, Onboarding ו-Offboarding. היום זה כבר לא מספיק. העבודה היברידית יותר, אפליקציות רבות נמצאות ב-SaaS ובענן, משתמשים עובדים ממכשירים ומיקומים שונים, והרשת הארגונית כבר אינה גבול ברור.
במציאות הזו, הזהות הפכה לאחת מנקודות ההחלטה המרכזיות. היא לא מחליפה EDR, Network Security או Application Security, אבל בהרבה תרחישים היא המקום שבו מתקבלת ההחלטה האם לאפשר גישה, לדרוש אימות נוסף, להגביל פעולה או לחסום אותה.
IBM Verify יושב באזור הזה כפלטפורמת IAM שמחברת אימות, MFA, SSO, Adaptive Access, Lifecycle, Governance ו-Audit. החלק החשוב אינו רק רשימת היכולות, אלא המעבר מהחלטת גישה בינארית להחלטה מבוססת הקשר וסיכון.
מי המשתמש, מאיזה מכשיר הוא מגיע, מאיזו רשת, לאיזו אפליקציה, איזו פעולה הוא מבצע, האם ההתנהגות שלו רגילה, ומה רמת הסיכון באותו רגע. אלה פרמטרים שצריכים להשפיע על ההחלטה.
MFA הוא דוגמה טובה. כמעט כל ארגון מבין היום שצריך MFA, אבל MFA אחיד בכל מצב יוצר בעיה כפולה. במצבים מסוימים הוא לא מספיק מול Session Hijacking, Social Engineering או MFA Fatigue. במצבים אחרים הוא מוסיף חיכוך מיותר למשתמש לגיטימי בסיכון נמוך.
אימות טוב צריך להיות גמיש יותר. אם הסיכון נמוך, אין סיבה להעמיס על המשתמש. אם הסיכון גבוה, צריך להקשיח את הגישה, לדרוש גורם נוסף, להגביל את הפעולה או לעצור אותה.
זה המקום שבו Adaptive Access הופך חשוב. Risk Score שמבוסס על משתמש, מכשיר, רשת, פעילות והתנהגות מאפשר להחליט בצורה מדויקת יותר. לא כל התחברות צריכה לקבל אותה תגובה, ולא כל הצלחת MFA צריכה להיחשב אישור אוטומטי לכל פעולה.
לתוקף לא תמיד צריך לפרוץ את כל הארגון. לפעמים מספיק לו להשתמש בזהות לגיטימית: Credential שדלף, Session שנגנב, מכשיר לא מנוהל, או משתמש שקיבל הרשאה עודפת. מבחינת המערכת, הגישה יכולה להיראות תקינה. מבחינת הסיכון, היא לא בהכרח תקינה.
לכן Identity Security לא יכול להיעצר בשלב ההתחברות. צריך להסתכל גם על Lifecycle: מי קיבל גישה, למה, האם הוא עדיין צריך אותה, האם התפקיד שלו השתנה, האם הוא ספק שסיים פרויקט, האם קיימים משתמשים יתומים, והאם הרשאות עברו Review בזמן.
הרבה ארגונים מתייחסים ל-SSO כפתרון IAM מלא. SSO חשוב, אבל הוא לא עונה לבד על שאלות של הרשאות, סיכון, Governance ו-Audit. הוא מפשט התחברות ומרכז גישה, אבל הערך המלא מגיע כשמחברים אותו ל-MFA, Adaptive Access, Lifecycle Management ו-Identity Governance.
בסביבות היברידיות זה קריטי במיוחד. Active Directory או Entra ID, אפליקציות SaaS, מערכות Legacy, VPN, פורטלים פנימיים, ענן, משתמשים חיצוניים, ספקים ועובדים זמניים, כל אלה מייצרים תמונת זהויות מורכבת. אם כל סביבה מנהלת הרשאות אחרת, הארגון מאבד שליטה בהדרגה.
זה קורה דרך חריגות קטנות: הרשאות זמניות שנשארות קבועות, משתמש שעבר תפקיד ועדיין מחזיק גישה ישנה, Offboarding שלא מכסה מערכת צדדית, או אפליקציה שאף אחד כבר לא יודע מי בעליה.
IBM Verify יכול לעזור להפוך מדיניות גישה לתהליך עקבי יותר: לחבר זהויות, אפליקציות, הרשאות, סיכון ותיעוד. אבל כדי שזה יעבוד, הארגון חייב להגדיר Roles, Ownership, Access Reviews והפרדה ברורה בין עובדים, ספקים ומשתמשים חיצוניים. ברמת המוצר, היכולות האלה מחולקות למודולים ייעודיים במשפחת IBM Verify, ובהם IBM Verify Identity Governance לניהול הרשאות ו-Access Reviews, ו-IBM Verify Privileged Identity לניהול גישות מורשות (Privileged).
גם זהויות לא אנושיות נכנסות לתמונה, אבל כאן לא צריך להפוך את המאמר לעוד דיון על Vault. בעולם IAM, המשמעות היא פשוטה: לא כל Identity היא עובד. יש Service Accounts, Workloads, Integrations, Bots ו-Automations שגם הם מקבלים גישה למשאבים וצריכים להיות חלק מתמונת הסיכון.
Zero Trust מתחיל בזהות, אבל ההחלטה לא מסתיימת שם. צריך הקשר, סיכון, הרשאה מינימלית, ניטור ויכולת ביטול מהירה. משתמש שהתחבר בהצלחה אבל מתנהג בצורה חריגה צריך לקבל תגובה אחרת ממשתמש שמתנהג כרגיל.
IAM טוב לא נמדד רק בכמה מהר משתמש נכנס למערכת. הוא נמדד ביכולת של הארגון לקבל החלטות גישה נכונות בזמן אמת ולאורך מחזור החיים של הזהות.
לכן, ככה מומלץ להסתכל על IBM Verify: לא עוד מסך Login ולא רק MFA, אלא שכבת Identity Security שמחברת אימות, גישה אדפטיבית, Governance, Lifecycle ו-Audit. כי התחברות מוצלחת היא רק תחילת ההחלטה, לא סוף התהליך.