Gerdab.IR | گرداب

به گزارش گرداب، identification یا تشخیص هویت یکی از تعابیری است که در حوزه امنیت سایبری زیاد به کار می‌رود. این اصطلاح اساسا به شناسایی یک کاربر اشاره دارد. برای مثال، اگر وارد بانک شوید و صندوقدار از شما درباره‌ی هویتتان سوال کند، برای شناسایی به گفته شما اکتفا می‌کند و شما را به اسم مدنظر می‌شناسد.

یا به عبارت دیگر، اگر خودتان به تازگی نام خود را به جایی ارائه کرده‌اید یا روی سیستمی کار می‌کنید و به تازگی نام کاربری خود را ارائه کرده‌اید، یعنی هویت شما شناسایی شده است. البته درک این نکته مهم است که شناسایی با احراز هویت تفاوت دارد. احراز هویت تنها زمانی اتفاق می‌افتد که شما به طور واقعی هویت خود را تأیید کنید؛ اما شناسایی می‌تواند مستقل از احراز هویت انجام شود. شما می‌توانید هر هویتی را که می‌خواهید ادعا کنید و لزوما قرار نیست که بعدا به صورت واقعی آن را تأیید کنید. در نتیجه، شناسایی فقط به معنای ادعای یک هویت است؛ بنابراین پس از شناسایی، به احراز هویت نیاز داریم که طبق آن شما باید ثابت کنید واقعا همان شخصیتی هستید که ادعا می‌کنید.

احراز هویت و مکانیسم‌های آن

این کار را می‌توان از طریق مکانیسم‌های مختلفی انجام داد. به عنوان مثال، می‌توانید یک رمز عبور مخفی، یا یک الگوی مخفی را ارائه دهید. یا می‌توانید نوعی داده‌ی بیومتریک بدهید؛ مثل اثر انگشت یا اسکن شبکیه‌ی چشم. لطفا به خاطر داشته باشید که احراز هویت تنها زمانی انجام می‌شود که خودتان را شناسایی و یا معرفی کرده باشید؛ زیرا احراز هویت بر خلاف شناسایی هویت، یعنی تأیید هویت ادعا شده‌ی شما؛ بنابراین طبیعی است که اول باید یک هویت را ارائه کنید و بعد احراز هویت کنید.

و، اما چرا احراز هویت مهم است؟ زیرا «عدم انکار» را فراهم می‌کند. عدم انکار، اصطلاحی مهم در امنیت سایبری است و معنی آن این است که نمی‌توانید ادعا کنید که این شما نبودید که برخی از اقدامات را در یک سیستم انجام داده‌اید و این یعنی شما مسئول کاری هستید که انجام می‌دهید. بنابراین، به عنوان مثال، اگر شما هویت خود را ارائه دهید و با ارائه‌ی رمز عبور آن را احراز هویت کنید و سپس وظایف خاصی را در یک سیستم انجام دهید، پس مسئولیت هر کاری که انجام می‌دهید، بر عهده‌ی شماست. بعدا نمی‌توانید ادعا کنید که شخص دیگری مسئول آن کار‌ها بوده است.

در واقع، به کمک همین مفهوم عدم انکار است که ما دقیقا می‌دانیم چه کسی چه کاری را انجام داده است. پس از احراز هویت مجوز برخی کار‌ها داده می‌شود و شما یک کاربر قانونی هستید و اجازه‌ی دسترسی به بخش‌های مختلف سیستم را دارید. اما همه‌ی کاربران از امتیازات یکسانی برخوردار نیستند. برخی از کاربران امتیازات بالاتر یا بیشتری دارند. به عنوان مثال، مدیر عامل یک شرکت به وضوح در مقایسه با یک کارمند معمولی از امتیازات و دسترسی بالاتری برخوردار است. به همین ترتیب هم یک مدیر شبکه ممکن است در مقایسه با یک کاربر معمولی، دسترسی گسترده‌تر یا عمیق‌تری به بخش‌های مختلف سیستم‌های پایگاه داده داشته باشد. این کار از طریق دریافت مجوز انجام می‌شود و اساسا سطح مجوز، میزان دسترسی شما را مشخص می‌کند.

و، اما چه چیز تعیین می‌کند که شما به عنوان یک کاربر به چه نوع داده‌ها، چه نوع سیستم‌ها و چه نوع برنامه‌هایی دسترسی دارید؟ این امر از طریق لیست‌های کنترل دسترسی اعمال می‌شود که مشخص می‌کند هر کاربر چه نوع دسترسی‌هایی داشته باشد. برای مثال، این لیست تعیین می‌کند که فلان کاربر می‌تواند به این فایل در حالت فقط خواندن دسترسی داشته باشد. به یاد داشته باشید که همیشه مجوز تنها زمانی داده می‌شود که یک کاربر احراز هویت شده باشد.

بنابراین، آخرین مرحله پس از دریافت مجوز، مسئولیت‌پذیری است که اساسا به معنای مسئول بودن کاربر در قبال اقدامات خود است. اگرچه شما کاربر قانونی یک سیستم هستید و مجوز از پیش تعریف شده دارید، اما خوب است که دوباره بررسی کنید که هر کاربری آیا فعالیتی را انجام داده است که مجاز به انجام آن نبوده است یا خیر. این امر همیشه مخرب نیست. گاهی اوقات به طور ناخواسته، به کاربران امتیازاتی داده می‌شود که قرار نبوده آن‌ها را داشته باشند. برای مثال، این مساله اغلب وقتی اتفاق می‌افتد که نقش‌ها را در سازمان تغییر می‌دهید یا وقتی که در طول زمان امتیازات بیشتری به دست می‌آورید. بنابراین، اساسا ما به نوعی مکانیسم حسابرسی برای اطمینان از تخصیص و به‌روزرسانی مناسب امتیازات و سطوح دسترسی نیاز داریم.

بیایید فرض کنیم رضا به بانک می‌رود و پشت باجه می‌گوید: «سلام، من اصغر هستم». اکنون، در این مرحله، اصغر فقط خودش را معرفی کرده است و بنابراین شناسایی او کامل نیست؛ زیرا هنوز در مورد احراز هویت او صحبتی به میان نیامده است. پس کارمند پشت پیشخوان، می‌گوید: «کارت ملّی لطفا». حالا اصغر کارت ملّی خود را می‌دهد و کارمند آن را تأیید می‌کند و می‌گوید: «متشکرم». در این مرحله، هویت اصغر برای سیستم احزار شده است. بنابراین، تفاوت بین شناسایی و احراز هویت در این است که هویت فقط به معنای ادعای چیزی است، در حالی که احراز هویت به معنای تأیید آن است و می‌تواند به روش‌های مختلفی صورت پذیرد. ممکن است از کارت ملّی شما یا یک رمز عبور استفاده شود. بعد از این مرحله است که اصغر می‌تواند بگوید: «می‌شه ده هزار دلار برداشت کنم؟» و کارمند بانک می‌گوید «شما فقط پنج هزار دلار در روز می‌توانید برداشت کنید». این همان چیزی است که ما به آن مجوز می‌گوییم. در حال حاضر، حتی با این که اصغر خود را شناسایی کرده و احراز هویت شده است، اما مجوز تعیین می‌کند که اصغر به چه کارکرد‌ها یا اموری دسترسی دارد؛ بنابراین این‌جاست که مجوز وارد عمل می‌شود، کنترل‌ها و دسترسی‌ها را ایجاد می‌کند و اطمینان حاصل می‌کند که اصغر فقط می‌تواند عملیاتی را انجام دهد که مجوز آن را دارد.

پس یک بار دیگر: شناسایی زمانی است که یک سوژه، ادعای هویت کند. بنابراین، ادعا‌هایی مانند «من اصغر رضایی هستم» صرفا شناسایی است. در این مرحله شما هنوز احراز هویت نشده‌اید و فقط ادعای هویت می‌کنید. اما احراز هویت به اثبات هویت اشاره دارد و این اثبات با ارائه‌ی کارت شناسایی، رمز عبور یا مثلا یک داده‌ی بیومتریک انجام می‌شود.

مراحل مختلف چرخه تشخیص هویت

مراحل مختلف چرخه‌ی تشخیص هویت، فرایندی است که به سازمان‌ها کمک می‌کند تا تشخیص هویت را ساده کنند و فرآیند مدیریت دسترسی را انجام دهند. اولین قدم، تأمین است. در این مرحله حساب‌های جدیدی ایجاد می‌کنیم و به آن حساب‌ها امتیاز می‌دهیم. اما ما همچنین یک فرآیند بررسی نیز وجود دارد که در طی آن، دسترسی‌های هر حساب به صورت دوره‌ای مورد بررسی قرار می‌گیرد. این کار کمک می‌کند تا گاهی اوقات مشکلات جدی برجسته شوند. برای مثال، ممکن است حساب‌هایی را شناسایی کنیم که دیگر فعال نیستند و باید غیرفعال شوند. همچنین این کار به ما کمک می‌کند تا سینه‌خیز رفتن امتیازات را شناسایی کنیم. سینه‌خیز رفتن امتیاز زمانی اتفاق می‌افتد که یک فرد در یک سازمان به صورت عمودی به سمت بالا حرکت می‌کند و در طول زمان ممکن است امتیازات بیش از حدی جمع کند. فرض کنید شخصی به بخش منابع انسانی می‌پیوندد و بعدا به بخش شبکه می‌رود و مدیر شبکه می‌شود، اما همچنان امتیازات حساب منابع انسانی خود را حفظ می‌کند. این حالت سینه‌خیز رفتن امتیاز نامیده می‌شود و تنها در صورتی می‌توان آن را شناسایی کرد که بررسی‌ها و ممیزی‌های دوره‌ای حساب را انجام دهید.

آخرین مرحله، ابطال است. یعنی غیرفعال کردن حساب‌های کارمندانی که آن شغل را ترک می‌کنند یا بازنشسته و یا اخراج می‌شوند. لازم به ذکر است که این امر با غیرفعال کردن حساب‌های غیرفعال متفاوت است و ابطال یک گام بسیار مهم از منظر امنیت سایبری است؛ زیرا به خصوص اگر کارمندی دارید که از کار اخراج شده است و هنوز به حساب خود دسترسی دارد، ممکن است از این دسترسی برای حمله به شرکت استفاده کند یا باعث شود هر نوع آسیب دیگری رخ دهد. بنابراین، همیشه ایده‌ی خوبی است که به سرعت دسترسی به حساب‌های کارمندانی که آن شغل را ترک می‌کنند یا بازنشسته و یا اخراج می‌شوند، لغو کنید.

شاخصه‌های احراز هویت

دسته‌بندی‌های مختلفی از فاکتور‌های احراز هویت وجود دارد و ما به ترتیب از ضعیف‌ترین به قوی‌ترین، آن‌ها را مطرح می‌کنیم. نوع اول: به یک رمز عبور یا پین مخفی کفایت می‌شود. این یک نوع احراز هویت است، اما طبیعتا خیلی عالی نیست؛ زیرا گاهی اوقات افراد رمز عبور و پین‌های خود را برای افراد دیگر فاش می‌کنند. ممکن است آن را در جایی یادداشت کنند یا ممکن است به راحتی هک شود و غیره؛ بنابراین سراغ نوع بعدی می‌رویم کمی قوی‌تر است. نوع دوم: پیامی حاوی رمز که به سیم کارت موبایل یا ایمیل فرد ارسال می‌شود. اما این هم اشکالاتی در پی دارد که باعث می‌شود به سراغ نوع سوم و قوی‌ترین فاکتور احراز هویت برویم که همان ویژگی‌های زیستی فرد است؛ مانند الگوی شبکیه‌ی چشم، اثر انگشت و یا .... این‌ها چیز‌هایی هستند که به هیچ وجه نمی‌توان دزدید. برای مثال، هیچ کس نمی‌تواند شبکیه‌ی چشم شما را بدزدد. حالا می‌خواهیم در مورد این فاکتور‌ها با تفصیل بیشتری صحبت کنیم.

بیایید با فاکتور تأیید هویت نوع اول شروع کنیم: یک مثال معمولی از آن، رمز عبور است. اگر از این نوع فاکتور احراز هویت استفاده می‌کنید، چند نکته‌ی ایمنی وجود دارد که باید رعایت شود. به عنوان مثال، رمز عبور باید حداقل هشت کاراکتر داشته باشد. اگر خیلی کوتاه باشد به راحتی شکسته می‌شود. همچنین رمز عبور همیشه باید دارای حروف بزرگ و کوچک باشد و حداقل یک کاراکتر عددی داشته باشد. بنابراین، دلیل این که ما طول گذرواژه را افزایش می‌دهیم و حروف بزرگ و کوچک و اعداد را اضافه می‌کنیم، این است که تعداد احتمالات را افزایش دهیم تا شکستن آن از طریق نیروی برنامه‌های رمزشکن به طور تصاعدی دشوار شود. همچنین رمز عبور باید حداقل یک کاراکتر خاص داشته باشد. همیشه بهتر است عباراتی داشته باشید که به خاطر سپردن آن‌ها برای شما راحت‌تر است، اما شکستن آن‌ها دشوار است. مثلا «من سوپرمن را دوست دارم». این عبارتی است که به خاطر سپردن آن آسان و شکستنش بسیار سخت‌تر است؛ زیرا در مقایسه با یک رمز عبور معمولی طول بیشتری دارد. حتی اگر یک جمله‌ی معمولی بنویسید، شکستن آن بسیار سخت است؛ زیرا طولانی بودن رمز عبور، شکستن آن را به طور تصاعدی دشوار می‌کند. حواستان باشد که هرگز نباید از نام‌های رایج مثل شهر‌ها یا الگو‌های رایج مانند ۱، ۲، ۳ یا الف، ب، پ استفاده کنید؛ اما همیشه نیز به یاد داشته باشید که نباید کاربران را مجبور به انتخاب رمز‌های عبور بسیار پیچیده کرد. به عنوان مثال، اگر از کاربران خود بخواهید که رمز‌های عبور حداقل ۱۲ کاراکتری داشته باشند که شامل حروف بزرگ، کوچک، عددی و کاراکتر‌های خاص و ... باشد، قطعا باید رمز عبوری ایجاد کنند که مشکل است و برای این که آن را فراموش نکنند، به احتمال زیاد آن را روی یک برچسب یادداشت می‌کنند و روی میز می‌چسبانند. عقل سلیم حکم می‌کند که ما همیشه امنیت را در مقایسه با پیچیدگی متعادل کنیم. پس قرار نیست رمز عبوری بسازیم که اجرای آن بیش از حد پیچیده باشد.

نوع دوم احراز هویت، احراز هویت از طریق چیزی است که شما نزد خود دارید و از نظر فیزیکی در اختیار شماست. این چیز می‌تواند نشان هویت شما، یک کارت هوشمند و سیم‌کارت تلفن همراه باشد که در آن پیام‌ها را دریافت می‌کنید یا حتی می‌تواند یک برنامه‌ی کاربردی مانند گوگل اتنتیکیتور (Google authenticator) باشد. تفاوت این نوع با نوع اول در این است که در نوع اول رمز عبور چیزی بود که شما می‌دانستید و در مغز شما ذخیره می‌شد؛ در حالی که در این نوع، رمز عبور چیزی است که شما باید از نظر فیزیکی آن را در اختیار داشته باشید.

و، اما نوع آخر، احراز هویت بیومتریک است و اشاره به ویژگی‌های زیستی هر فرد دارد. اساسا ما انواع مختلفی از بیومتریک داریم. اولین مورد، اسکن شبکیه است که در صدر لیست قرار دارد؛ جون دقیق‌ترین روش است و حتی می‌تواند با موفقیت بین دوقلو‌های همسان تمایز قائل شود. بعدی، اسکن عنبیه است که به نظر مشابه با اسکن قرنیه است، اما در مقایسه با اسکن شبکیه دقت بسیار کمتری دارد. از طرفی، اسکن شبکیه کمی مشکل است؛ زیرا برای تشخیص درست باید چشم خود را به اسکنر نزدیک کنید و سپس یک پرتو نور وارد چشم شما می‌شود و به همین دلیل ممکن است این فرآیند برای بسیاری از کاربران ناراحت‌کننده باشد. در مقابل، اسکن عنبیه را می‌توان از چند قدم دورتر انجام داد و اصلا ناراحت کننده نیست. مورد بعدی، اثر انگشت است. اگر ۴ انگشت یا بیشتر را اسکن کنید، نتایج شما در حدود نود و نه درصد دقیق خواهد بود. بعدی، اسکن کف دست است. این روش قبلا صرفا به خطوط کف دست شما اشاره داشت، اما اسکنر‌های کف دست مدرن، میلیون‌ها نقطه داده از رگ‌های کف دست شما را ضبط می‌کنند و می‌توانند نتایج شگفت‌انگیز دقیقی تولید کنند. آخرین مورد الگوی صدای شماست که به اندازه‌ی سایر انواع اسکن‌های بیومتریک، مانند اسکن شبکیه، دقیق نیست.

در مورد احراز هویت بیومتریک، یک نکته هست که باید حتما در نظر گرفت. برخی از این ویژگی‌های زیستی در طول زندگی شما ثابت هستند و برخی از آن‌ها با افزایش سن تغییر می‌کنند. برای مثال، صدا و اثر انگشت شما با افزایش سن تغییر می‌کند. اگر واقعا خیلی پیر شوید، ممکن است اثر انگشت شروع به محو شدن کند. اما شبکیه‌ی چشم چیزی است که در طول زندگی تغییری نمی‌کند؛ مگر این که یک مشکل پزشکی داشته باشید که طبعا می‌تواند بر هر یک از این بیومتریک‌ها تأثیر بگذارد.

و، اما یک ابزار عالی در زرادخانه‌ی متخصصان امنیت سایبری، احراز هویت چندعاملی است. اگر فقط از یک رمز عبور استفاده می‌کنید و نام کاربری و رمز عبور خود را برای ورود به سیستم می‌دهید، احراز هویت شما تک‌عاملی است؛ زیرا شما فقط از رمز عبور استفاده می‌کنید و این کار امنیت بسیار ضعیفی را فراهم می‌کند. کافی است رمز عبور شما به خطر بیفتد تا امنیت کل سیستم نقض شود. بنابراین، اگر از احراز هویت چندعاملی استفاده کنید که بیش از یک نوع احراز هویت را ترکیب می‌کند، امنیت افزایش می‌یابد. اکثرا نوع یک و دو را ترکیب می‌کنند. همان‌طور که گفته شد، در نوع یک مانند رمز عبور در ذهن شما ذخیره می‌شود و در نوع دو نیز رمز عبور از طریق ایمیل یا دریافت پیامک حاوی رمز دوم، در اختیار شما قرار می‌گیرد. روش کار به این صورت است: فرض کنید در حال ورود به یک سیستم هستید. ابتدا نام کاربری و رمز عبور خود را ارائه می‌دهید (نوع اول)، سپس اگر رمز عبور شما احراز هویت شود، سیستم یک پیام کوتاه ایجاد می‌کند و آن را به تلفن همراه شما ارسال می‌کند (نوع دوم). بعد باید کد تأییدی را که در پیامک خود دریافت می‌کنید، به سیستم ارائه دهید. این فرایند دو عامل را فراهم می‌کند و از این رو به آن احراز هویت چندعاملی می‌گویند.

روشی که در آن دو عامل را با هم ترکیب کنیم، احراز هویت دوعاملی (2FA) نامیده می‌شود و طبیعتا وقتی سه عامل را با هم ترکیب کنیم، احراز هویت سه‌عاملی (3FA) نامیده می‌شود.

مجوز و پاسخگویی در احراز هویت

همانطور که گفتیم مجوز تعیین می‌کند که چه کسی مجاز است چه کاری را انجام دهد. به عنوان مثال، در یک سیستم، شما می‌توانید گروه‌های مختلفی از کاربران را ایجاد کنید. می‌توانید گروهی از کاربران عادی داشته باشید که فقط می‌توانند حساب خود را مشاهده کنند یا گروهی از مدیران داشته باشید که می‌توانند حساب‌های کاربری دیگران را مشاهده و حتی حذف کنند. با این حال، این دسته‌بندی‌ها گسترده هستند. شما کاربران را به دسته‌های وسیعی تقسیم کرده‌اید و آن دسته‌ها دارای امتیازات از پیش تعریف شده هستند. شما حتی می‌توانید با مجوز خود دسترسی عمیق‌تری داشته باشید. برای مثال، می‌توانید سطح دسترسی کاربران دیگر را ببینید. مثلا یک کاربر نمی‌تواند روی فایلی که فقط به آن دسترسی خواندن دارد، تغییری ایجاد کند.

و، اما پاسخگویی. این اصطلاح به ثبت فعالیت‌های کاربر برای پاسخگویی اشاره دارد. به یاد داشته باشید که پاسخگویی تنها زمانی انجام می‌شود که شناسایی و احراز هویت کاربر صورت بگیرد؛ زیرا تنها در این صورت است که کاربر مسئول فعالیت خود شناخته می‌شود و نمی‌تواند مسئولیت خود را انکار کند. این کار از طریق ممیزی گزارش‌ها و حساب‌ها برای شناسایی هرگونه تخلف انجام می‌شود. در مورد مجوز باید یک نکته‌ی مهم را مد نظر قرار داد؛ به طور کلی شما همیشه باید حداقل مقدار داده یا اطلاعاتی را که یک فرد برای تکمیل کارش نیاز دارد، به او بدهید. این کار تضمین می‌کند که هر فرد حداقل امتیازی را که برای انجام وظایف شغلی به آن نیاز دارد، در اختیار داشته باشد. پس ایده‌ی اساسی در امنیت سایبری، ارائه‌ی کمترین امتیاز است. به عنوان مثال، فرض کنید مدیری دارید که تقریبا به تمام بخش‌های مختلف سیستم شما دسترسی دارد. او حتی می‌تواند حساب‌های کاربری را ایجاد، اصلاح یا حذف کند و می‌تواند پایگاه‌های داده‌ی مختلف و زیادی را مدیریت کند. با این حال آیا او واقعا نیاز دارد که بتواند اطلاعات حقوق کارمندان را مشاهده کند؟ این سوال خیلی مهم است. شما فقط باید امتیازاتی به او بدهید که واقعا برای انجام کارش نیاز دارد. درواقع باید امتیازات را به حداقل محدود کنید. به همین ترتیب اگر کاربری دارید که برای انجام وظایف شغلی نیاز به خواندن فایل دارد، صرفا باید دسترسی فقط خواندن را به او بدهید و نه دسترسی خواندن و نوشتن؛ زیرا این نوع امتیازات اگر کنترل نشود، ممکن است مورد سوءاستفاده قرار گیرد و پیامد‌های جدی و خطرناکی برای امنیت سایبری داشته باشد.

مفهوم مهم دیگر در سازمان‌ها، سینه‌خیز رفتن امتیازات است. همانطور که گفتیم، این امر زمانی اتفاق می‌افتد که یک فرد در طول زمان با تغییر قانون یا زمانی که به صورت عمودی در سازمان حرکت می‌کند، امتیازات گوناگونی را جمع می‌کند. درست است که در حالت ایده‌ال، هر زمان که فردی مسئولیت‌های جدیدی به دست می‌آورد، امتیازات جدیدی دریافت می‌کند؛ اما امتیازات قدیمی او باید بر اساس مسئولیت جدید بازنگری و لغو شود؛ هرچند این کار اغلب اتفاق نمی‌افتد. به طور مثال فرض کنید شما یک دستیار فروش دارید که مدیر شبکه و سپس مدیر امنیتی شده است، اما بدون این که نیازی در میان باشد، همچنان امتیازات دسترسی به سیستم‌های فروش را حفظ کرده است. این امر معمولا به این دلیل اتفاق می‌افتد که سازمان‌ها فرآیند‌های پاسخگویی ندارند. مسئولیت‌پذیری اساسا به مسئول دانستن افراد در قبال اعمالشان اشاره دارد. این امر از طریق ممیزی گزارش، حسابرسی حساب و مفهوم جالب چرخش مناصب اعمال می‌شود. چرخش مناصب یعنی این که هر چند وقت یک بار افراد را در بین مناصب مختلف سازمان خود بچرخانید. مشکل اینجاست که وقتی کسی نقشی را برای مدت طولانی ایفا می‌کند، به سختی می‌توان متوجه شد که دقیقا چگونه عمل می‌کند و آیا قوانین را زیر پا می‌گذارد یا خیر. اما زمانی که جایگاه افراد را هر چند وقت یکبار تغییر دهید، به کارمند جدید یا کارمندان دیگر اجازه می‌دهید تا به اقدامات قبلی خود توجه کنند. گاهی این کار به آشکار شدن مشکلات کمک می‌کند. دوباره تکرار می‌کنم تا به خاطر داشته باشید. پاسخگویی تنها در صورتی قابل اجراست که امکان انکار مسئولیت وجود نداشته باشد؛ یعنی کاربر باید شناسایی و احراز هویت را انجام داده باشد. تنها در این صورت است که می‌توانیم مطمئن باشیم که این کاربر به‌طور خاص فعالیتی را انجام داده است.

تعدادی از منابع اطلاعاتی وجود دارد که می‌تواند به فرآیند پاسخگویی کمک کند. به عنوان مثال، گزارش‌های شبکه حاوی مسیریاب‌ها، سوئیچ‌ها و گزارش‌های دیوار آتشین می‌توانند فعالیت‌های کاربر را نشان دهند. همچنین گزارش‌های پایگاه اساسا پرس و جو‌های ضبط شده، دسترسی به فایل‌ها و هرگونه تغییر را ثبت و نظارت می‌کنند. به عنوان مثال، اگر بخشی از پایگاه داده حساس شما اصلاح یا حذف شده است، می‌توانید به سادگی به گزارش‌های پایگاه داده مراجعه کنید و ببینید که کدام کاربر آن تغییرات را ایجاد کرده است. به طور مشابه، لاگ‌های برنامه اساسا استثناها، خرابی‌ها و ناهنجاری‌ها را ثبت می‌کنند. بنابراین، اگر یک کاربر داخلی دارید که سعی می‌کند وب سرور شما را از کار بیندازد، قطعا ردپایی در لاگ برنامه‌ها باقی خواهد گذاشت. علاوه بر این، گزارش‌های سیستمی حاوی اطلاعات ثبت شده در ایستگاه‌های پایانی هستند و این به هر منبع استفاده شده یا هر برنامه‌ی کاربردی اجرا شده اشاره دارد. حتی اگر کاربر برنامه‌هایی را نصب کرده باشد که طبق خط‌مشی سازمان ممنوع اعلام شده‌اند، این گزارش می‌تواند آن را نشان دهد.