سازمان ها دسترسی به اطلاعات سامانه ها را از طریق کنترل دسترسی و محدود سازی متناسب اعمال می کنند. فرآیند کنترل دسترسی کاربران در سه مرحله شناسایی موفق کاربران، احراز هویت آنها و در نهایت اعطا و لغو مجوزهای دسترسی صورت می گیرد.
براساس آمار منتشره سال ۲۰۱۲ توسط موسسه وریزون، ۴۴% از رخنه اطلاعاتی، نتیجه بهره برداری از اطلاعات احراز هویت قابل حدس یا پیش فرض بوده است.
ورود خودکار و سپس ممیزی اطلاعات مرتبط با فعالیت های شبکه می تواند احتمال کشف رفتار خطرناک را افزایش دهد. اختصاص یک شناسه کاربری یکتا به هر کاربر باعث ایجاد مسئولیت پذیری و پاسخگویی به رفتار کاربران می شود. همچنین استفاده از گواهی های کافی برای اطمینان از صحت یک کاربر، احتمال اعمال خطرناک را کاهش می دهد مثلا در حمله مهندسی اجتماعی به درخواست کلمه عبور مجدد (password reset) داشتن دو عامل مثل سوالات خاص و ایمیل اختصاصی یا شماره تلفن همراه برای شناسایی کاربر و ارسال کلمه عبور جدید الزامی است.
استفاده از کلمات عبور پیچیده و طولانی و غیرقابل حدس به عنوان سیاست انتخاب کلمه عبور که می تواند دروازه ورود و بهره برداری کاربران از سامانه های سازمانی باشد، برای ایجاد امنیت مناسب بسیار ضروری است. چراکه حملاتی مانند brute force می تواند کلمات عبور ۶ حرفی را در چند دقیقه بشکند. استفاده از احراز هویت چند عاملی نیز که حداقل از چند عامل مجزا مانند آنچه هست (بایومتریک)، آنچه دارد (توکن رمز شده و کارت هوشمند) و آنچه می داند(عبارت عبور) ترکیب شده باشد، در مقابله با حملات بسیار کارآمد است.
اصولا مجوزهای دسترسی در دو لایه قرار می گیرد. لایه اول مجوز دسترسی به سامانه قابل اتصال به اطلاعات و شبکه که شامل رایانه یا دسکتاپ مجازی یا ابزار موبایل است و لایه دوم نیاز به مجوزهای دسترسی به برنامه کاربردی مورد نظر، بانک اطلاعاتی یا منابع اطلاعاتی در آن سامانه است. استفاده از مکانیزم اعتبار سنجی، حفاظت مضاعفی را برای کاهش مخاطرات در یافتن و استفاده از اطلاعات توسط کاربری به ظاهر معتبر، بوجود می آورد. برای این کار نیاز است از مکانیزم اعتبار سنجی، لاگ گیری و ممیزی قوی جهت دسترسی به اطلاعات استفاده شود تا نفوذگر نتواند به راحتی خود را در قالب یک کاربر معتبر قرار داده و از منابع استفاده نماید. در لاگ گیری، داده های کافی باید نگهداری شود تا به کمک این داده ها در ممیزی آنها بتوان دسترسی های غیرمجاز و تخطی از هرگونه سیاست های امنیتی کشف گردد.
