Ayrıcalıklı Erişim Yönetimi (PAM), bir kuruluşun ağlarına, sistemlerine ve verilerine ayrıcalıklı erişimi kontrol etmek ve yönetmek için tasarlanmış bir dizi strateji, teknoloji ve süreçten oluşur. Ayrıcalıklı Erişim Yönetiminin (PAM), kuruluşları yetkisiz erişime ve güvenlik ihlallerine karşı korumadaki rolü çok önemlidir.
Tipik olarak ayrıcalıklı erişim, bir BT altyapısındaki belirli kullanıcılara veya hesaplara verilen yüksek düzeyde ayrıcalıkları ifade eder. Ayrıcalıklı hesaplar, kritik kaynaklar üzerinde kapsamlı kontrole sahiptir ve normal kullanıcılar tarafından gerçekleştirilemeyen görevleri yerine getirme kapasitesine sahiptir. kullanıcı hesapları. Yetkisiz kişilerin bu güçlü ayrıcalıklardan yararlanmasını ve kuruluşun güvenliğini tehlikeye atmasını önlemek için ayrıcalıklı erişimin yönetilmesi ve güvenliğinin sağlanması gerekir.
Siber güvenlik bağlamında ayrıcalıklar, bir BT sistemindeki kullanıcılara veya hesaplara atanan belirli izinleri ifade eder. Bu ayrıcalıklar, bir kullanıcının veya hesabın bir ağ, uygulama veya sistem içerisinde gerçekleştirebileceği eylem ve işlemleri belirler.
Ayrıcalıklar, en az ayrıcalık ilkesine göre oluşturulur ve atanır (PoLPKullanıcılara veya hesaplara yalnızca belirlenen görevleri yerine getirmek için gereken minimum ayrıcalıkların verilmesini savunan. Bu prensip, güvenlik risklerini azaltarak potansiyel güvenlik risklerinin sınırlandırılmasına yardımcı olur. saldırı yüzeyi ve yönetim erişimine sahip kullanıcı sayısını sınırlayarak güvenliği ihlal edilmiş hesapların potansiyel etkisini en aza indirmek.
Ayrıcalıklar aşağıdaki gibi farklı düzeylere ayrılabilir:
Kullanıcı düzeyinde ayrıcalıklar: Bu ayrıcalıklar normal kullanıcı hesaplarıyla ilişkilidir ve genellikle günlük görevler için gereken temel izinleri içerir. Kullanıcı düzeyindeki ayrıcalıklar, kullanıcıların dosyalara erişmesine, uygulamaları yürütmesine ve rutin işlemleri gerçekleştirmesine olanak tanır.
İdari ayrıcalıklar: Süper kullanıcı veya yönetici ayrıcalıkları olarak da bilinen bunlar, sistemleri, ağları ve uygulamaları yönetmekten sorumlu kişilere verilen üst düzey izinlerdir. Yönetici ayrıcalıkları, kullanıcıların ayarları yapılandırmasına, yazılım yüklemesine, sistem yapılandırmalarını değiştirmesine ve sistem yönetimi için gerekli diğer kritik görevleri gerçekleştirmesine olanak tanır.
Ayrıcalıkların oluşturulması ve atanması genellikle rol tabanlı erişim kontrolü (RBAC) yaklaşımını içerir. RBAC, yöneticilerin rolleri tanımlamasına ve ayrıcalık kümelerini her rolle ilişkilendirmesine olanak tanır. Daha sonra kullanıcılara veya hesaplara, kuruluş içindeki sorumluluklarına göre belirli roller atanır. Bu merkezi yaklaşım, ayrıcalık yönetimini kolaylaştırır ve BT altyapısı genelinde tutarlı erişim kontrolü sağlar.
Kurumsal ihtiyaçlara ve güvenlik gereksinimlerine uyum sağlamak için ayrıcalıkların düzenli olarak gözden geçirilmesi ve güncellenmesi önemlidir. Ayrıcalıkların doğru şekilde yönetilmesi, sağlam bir güvenlik duruşunun sürdürülmesinin ve kritik kaynakların yetkisiz erişiminin ve kötüye kullanılmasının önlenmesinin temel bir unsurudur.
Yönetici hesapları veya ayrıcalıklı kullanıcılar olarak da adlandırılan ayrıcalıklı hesaplar, normal kullanıcı hesaplarının ötesinde yükseltilmiş ayrıcalıklara sahip kullanıcı hesaplarıdır. Bu hesaplar genellikle sistem yöneticilerine, BT personeline veya BT kaynakları üzerinde kapsamlı kontrole ihtiyaç duyan diğer kişilere ayrılır.
Ayrıcalıklı hesaplar, bir BT altyapısı içerisinde kritik eylemleri gerçekleştirmelerine olanak tanıyan geniş erişim haklarına ve izinlere sahiptir. Sistem ayarlarını yapılandırma, yazılım yükleme, hassas verilere erişme ve kuruluşun BT ortamını yönetmek ve sürdürmek için gerekli diğer idari görevleri gerçekleştirme yetkisine sahiptirler.
Ancak ayrıcalıklı hesaplarla ilgili kapsamlı ayrıcalıklar, onları siber suçlular için de çekici hedefler haline getiriyor. Bu hesapların güvenliği ihlal edilirse saldırganlara hassas verilere, sistemlere ve ağ kaynaklarına sınırsız erişim sağlayabilir, bu da ciddi güvenlik ihlallerine ve potansiyel hasara yol açabilir.
Ayrıcalıklı hesaplarla ilişkili riskleri azaltmak için kuruluşların ayrıcalıklı erişim yönetimi (PAM) çözümleri gibi sağlam güvenlik önlemlerini uygulaması gerekir. PAM çözümleri, ayrıcalıklı hesapların güvenli yönetimini ve izlenmesini kolaylaştırır, erişimin bilinmesi gerekenler temelinde verilmesini ve tüm etkinliklerin günlüğe kaydedilmesini ve denetlenmesini sağlar.
Ayrıcalıklı hesapların etkili yönetimi aşağıdaki gibi uygulamaları içerir:
Erişim kontrolü: Ayrıcalıklı hesaplara erişimi kısıtlamak ve izlemek için sıkı kontrollerin uygulanması. Buna güçlü parolaların kullanımı, çok faktörlü kimlik doğrulama ve oturum yönetimi dahildir.
Ayrıcalık yüksekliği: Yalnızca gerektiğinde normal kullanıcı hesaplarına geçici olarak yükseltilmiş ayrıcalıklar verme tekniklerinden yararlanılarak ayrıcalıklı kimlik bilgilerinin açığa çıkması azaltılır.
Ayrıcalık ayırma: Kötüye kullanım veya yetkisiz erişim riskini en aza indirmek için idari görevleri ayırmak ve görevleri ayırmak. Bu, farklı rollere ve kişilere farklı ayrıcalıklar atamayı ve tek bir uzlaşma noktasının önlenmesini içerir.
Ayrıcalıklı kimlik bilgileri, ayrıcalıklı hesaplarla ilişkili kimlik doğrulama kimlik bilgilerini ifade eder ve kullanıcıların kimliklerini kanıtlamalarına ve yükseltilmiş ayrıcalıklara erişim kazanmalarına olanak tanır. Bu kimlik bilgileri genellikle kullanıcı adlarını, şifreleri ve bazı durumlarda güvenlik belirteçleri veya biyometrik veriler gibi ek faktörleri içerir.
Ayrıcalıklı kimlik bilgilerinin güvenliği, güvenli bir BT ortamının sürdürülmesinde büyük önem taşır. Yetkisiz kişiler bu kimlik bilgilerini ele geçirirse ayrıcalıklı kullanıcıların kimliğine bürünebilir ve kritik sistemlere ve hassas verilere sınırsız erişim sağlayabilirler.
Ayrıcalıklı kimlik bilgilerini korumak için kuruluşların aşağıdakiler gibi güçlü güvenlik önlemleri alması gerekir:
Şifre yönetimi: Karmaşık şifrelerin kullanımı, düzenli şifre rotasyonu ve şifrelerin yeniden kullanılmasının önlenmesi de dahil olmak üzere güvenli şifre politikalarının uygulanması. Ayrıca kuruluşlar, parola kasaları ve parola yönetimi çözümlerini kullanarak parola güvenliğini artırabilir.
Çok faktörlü kimlik doğrulama (MFA): Parolaları biyometrik doğrulama, güvenlik belirteçleri veya tek kullanımlık geçiş kodlarıyla birleştirmek gibi ayrıcalıklı kullanıcıların kimliğini doğrulamak için birden fazla faktörün kullanılmasını zorunlu kılmak. MFA ekstra bir güvenlik katmanı ekleyerek yetkisiz kişilerin ayrıcalıklı hesaplara erişmesini önemli ölçüde zorlaştırır.
Kimlik bilgileri atlama: Ayrıcalıklı kimlik bilgilerinin güvenli ve şifreli kasalarda saklanması, yetkisiz erişimlerden korunması ve yalnızca yetkili personelin erişiminin sağlanması.
Ayrıcalıklı oturum izleme: Herhangi bir şüpheli etkinliği veya potansiyel güvenlik ihlalini tespit etmek için ayrıcalıklı oturumların gerçek zamanlı izlenmesinin uygulanması. Bu, ayrıcalıklı kullanıcıların yetkisiz erişim girişimlerinin veya anormal davranışlarının belirlenmesine yardımcı olur.
Ayrıcalıklı kullanıcıları belirlemek, ayrıcalıklı erişimi yönetmek ve güvence altına almak için önemli bir adımdır. Ayrıcalıklı kullanıcıları belirlemeye yönelik bazı yöntemler şunları içerir:
PAM, bir kuruluşun BT altyapısı içindeki sistemlere, ağlara ve kaynaklara ayrıcalıklı erişimi yönetmeye ve kontrol etmeye odaklanır. Yükseltilmiş izinlere ve erişim haklarına sahip ayrıcalıklı hesapların uygun şekilde güvence altına alınmasını, izlenmesini ve denetlenmesini sağlamayı amaçlamaktadır.
Öte yandan PIM, PAM'in özellikle ayrıcalıklı kimlikleri yönetmeye ve güvence altına almaya odaklanan bir alt kümesidir. Ayrıcalıklı hesapların oluşturulması, sağlanması, yetkilendirilmesi ve yetkilendirilmesi de dahil olmak üzere yaşam döngüsü yönetimiyle ilgilenir.
Ayrıcalıklı Erişim Yönetimi önemlidir çünkü kuruluşların içeriden gelen tehditlere karşı korunmasına, dış saldırıların azaltılmasına, düzenleyici gerekliliklere uymasına, saldırı yüzeyini en aza indirmesine, görünürlük ve hesap verebilirliği artırmasına ve kritik varlıkları korumasına yardımcı olur. Kuruluşlar, etkili PAM stratejilerini uygulayarak genel güvenlik duruşlarını güçlendirebilir ve ayrıcalıklı erişimle ilişkili riskleri azaltabilir, sonuçta sistemlerinin ve verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini güvence altına alabilir.
Ayrıcalıklı Erişim Yönetimi (PAM), erişim kontrolleri ve izleme yoluyla gelişmiş güvenlik, endüstri düzenlemeleriyle iyileştirilmiş uyumluluk, sıkı kontroller ve hesap verebilirlik önlemleri uygulayarak içeriden gelen tehditlerin azaltılması ve otomasyon ve merkezi yönetim yoluyla kolaylaştırılmış operasyonlar dahil olmak üzere çeşitli avantajlar sunar.
PAM çözümleri, ayrıcalıklı hesaplarınıza ek koruma yerleştirmeye dayalıdır. Uyarı şu ki, bu hesapların kim olduğunu zaten bildiğinize dair üstü kapalı bir varsayım var. Ne yazık ki, durum pek öyle değil ve gerçek çoğu zaman tam tersi.
Süre Active Directory ayrıcalıklı bir grubun parçası olan tüm hesapları filtreleyebilir, bunlardan hangilerinin hizmet hesabı olduğunu gösterme özelliği yoktur. Bu, kritik bir boşluk yaratır çünkü bu hesaplar, bağımlılıkları, etkileşimli sistemleri ve desteklenen uygulamaları doğru bir şekilde eşlenmeden kasaya alınamaz ve parola rotasyonuna tabi tutulamaz. Bunları kasaya yerleştirmek ve bu bilgiye sahip olmadan şifrelerini değiştirmek muhtemelen onları kullanan sistemlerin ve uygulamaların bozulmasına neden olacaktır. Hizmet hesaplarının PAM koruması elde edebilmesinin tek yolu bu bilgiyi manuel olarak edinmektir. Kimlik ekibinin herhangi bir üyesinin size söyleyeceği gibi, bu görev son derece karmaşık ve kaynak tüketen durumdan çoğu ortamda tamamen imkansız olana kadar değişir. Bu sorunun sonucu, tüm ayrıcalıklı hesapların sisteme dahil edilmesi için aylar veya yıllar süren son derece uzun bir süreçtir. PAM'i devre dışı bırakmak, hatta dağıtımı tamamen durdurmak.
PAM uygulamasındaki ilk adım, bir kuruluşun BT ortamındaki tüm ayrıcalıklı hesapların belirlenmesi ve envanterinin çıkarılmasıdır. Bu, yönetim hesapları, hizmet hesapları ve diğer ayrıcalıklı kullanıcılar gibi yükseltilmiş erişim haklarına sahip hesapları içerir. Keşif süreci, bu hesapları bulmak ve merkezi bir depoya kaydetmek için sistemleri ve ağları taramayı içerir. Bu envanter, etkili erişim kontrollerinin uygulanması ve ayrıcalıklı etkinliklerin izlenmesi için bir temel görevi görür.
En az ayrıcalık ilkesi (PoLP), PAM'de temel bir kavramdır. Kullanıcılara belirli görevleri gerçekleştirmek için gereken minimum ayrıcalıkların verilmesi gerektiğini belirtir. PAM çözümleri, kullanıcı rollerine ve sorumluluklarına dayalı erişim kontrolleri uygulayarak en az ayrıcalığı zorlar. Kuruluşlar, en az ayrıcalık ilkesini izleyerek, ele geçirilen hesapların potansiyel etkisini sınırlandırabilir ve saldırı yüzeyini azaltabilir. PAM çözümleri, ayrıcalıkların en az ayrıcalık ilkesine göre atanmasını ve değişen kurumsal ihtiyaçlara uyum sağlamak üzere düzenli olarak gözden geçirilmesini sağlar.
PAM çözümleri, ayrıcalıklı erişimin güvenliğini sağlamak için güçlü kimlik doğrulama ve yetkilendirme kontrollerini içerir. Buna güçlü parola politikalarının uygulanması, çok faktörlü kimlik doğrulama (MFA) ve ayrıcalıklı oturum yönetimi dahildir. Güçlü parola politikaları, ayrıcalıklı kimlik bilgilerini korumak için karmaşık parolaların kullanımını, düzenli parola rotasyonunu ve parola kasalarını zorunlu kılar. MFA, biyometri veya güvenlik belirteçleri gibi ek kimlik doğrulama faktörleri gerektirerek ekstra bir güvenlik katmanı ekler. Ayrıcalıklı oturum yönetimi, ayrıcalıklı hesaplara yetkisiz erişimi veya kötüye kullanılmasını önlemek için ayrıcalıklı oturumların izlenmesine ve kontrol edilmesine olanak tanır.
Ayrıcalıklı etkinliklerin etkili bir şekilde izlenmesi PAM'ın kritik bir bileşenidir. PAM çözümleri, ayrıcalıklı oturumların gerçek zamanlı izlenmesini ve kaydedilmesini sağlar; yürütülen komutlar, erişilen dosyalar ve yapılan değişiklikler gibi ayrıntıları yakalar. Bu izleme, kuruluşların şüpheli veya yetkisiz etkinlikleri derhal tespit etmesine ve bunlara yanıt vermesine olanak tanır. Ayrıcalıklı etkinliklerin izlenmesi, potansiyel güvenlik olaylarının, içeriden gelen tehditlerin veya politika ihlallerinin belirlenmesine yardımcı olarak kuruluşların riskleri azaltmak için uygun önlemleri almasına olanak tanır.
PAM çözümleri, denetim ve raporlama yeteneklerini kolaylaştırarak kuruluşların ayrıcalıklı faaliyetlerin denetim izini sürdürmesine olanak tanır. Denetim, düzenleyici gerekliliklere uyumu sağlar ve güvenlik politikalarına uyulduğuna dair kanıt sağlar. PAM çözümleri, erişim istekleri, erişim izinleri, oturum etkinlikleri ve ayrıcalıklı kullanıcılar tarafından yapılan değişiklikler de dahil olmak üzere ayrıcalıklı erişime ilişkin kapsamlı raporlar oluşturur. Bu raporlar uyumluluk denetimleri, adli soruşturmalar ve yönetim incelemesi için kullanılabilir ve kuruluşların güvenlik duruşlarını değerlendirmelerine ve iyileştirilecek alanları belirlemelerine yardımcı olur.
Doğru PAM teknolojilerini ve çözümlerini seçmek ve uygulamak, kuruluşların güvenlik duruşlarını güçlendirmelerine, en az ayrıcalığı uygulamalarına ve ayrıcalıklı erişimin uygun şekilde yönetilmesini ve kontrol edilmesini sağlamalarına yardımcı olur. Kuruluşlar, bu araçları ve yaklaşımları birleştirerek, kritik sistemleri ve verileri yetkisiz erişime ve olası güvenlik ihlallerine karşı etkili bir şekilde koruyabilir.
Parola yönetimi çözümleri, ayrıcalıklı kimlik bilgilerinin güvenli bir şekilde depolanmasına ve yönetilmesine odaklanan PAM'in önemli bir bileşenidir. Bu çözümler genellikle şifre kasaları, otomatik şifre rotasyonu ve güçlü şifre politikaları gibi özellikleri içerir. Parola yönetimi çözümleri, güvenli parola uygulamalarının uygulanmasına yardımcı olur, parola riskini azaltır kimlik hırsızlığıve ayrıcalıklı hesap şifreleri üzerinde merkezi kontrol sağlar.
Ayrıcalıklı Oturum Yönetimi çözümleri, ayrıcalıklı oturumlar için izleme ve kontrol yetenekleri sağlar. Kuruluşların ayrıcalıklı oturumlar sırasında gerçekleştirilen faaliyetleri kaydetmesine ve denetlemesine olanak tanır, hesap verebilirliği sağlar ve gerektiğinde adli soruşturmaları kolaylaştırır. Bu çözümler ayrıca şüpheli etkinlikleri veya yetkisiz erişim girişimlerini tespit etmek için oturum kaydetme, oturumu sonlandırma ve gerçek zamanlı izleme gibi özellikler de sunar.
Tam Zamanında (JIT) Erişim, ayrıcalıklı hesaplara geçici ve isteğe bağlı erişim sağlayan bir PAM yaklaşımıdır. JIT erişimi, sürekli erişim vermek yerine, kullanıcıların yalnızca belirli görevler için gerektiğinde ayrıcalıklı erişim talep etmesine ve almasına olanak tanır. Bu yaklaşım, ayrıcalıklı kimlik bilgilerinin açığa çıkmasını azaltır, kimlik bilgilerinin kötüye kullanılması riskini azaltır ve olası saldırılara yönelik zaman penceresini sınırlayarak güvenliği artırır.
Çok faktörlü kimlik doğrulama (MFA), kullanıcı kimlik doğrulaması için birden fazla faktör gerektirerek ekstra bir güvenlik katmanı ekler. PAM çözümleri genellikle biyometrik doğrulama, akıllı kartlar, tek kullanımlık şifreler (OTP) veya donanım belirteçleri gibi MFA tekniklerini entegre eder. MFA, kullanıcının bildiği bir şeyi (şifre), sahip olduğu bir şeyi (belirteç) ve kullanıcının sahip olduğu bir şeyi (biyometri) birleştirerek ayrıcalıklı erişimin güvenliğini önemli ölçüde artırır ve yetkisiz erişim riskini azaltır.
Kimlik Yönetişimi ve Yönetimi (IGA) çözümleri, ayrıcalıklı hesaplar da dahil olmak üzere kullanıcı kimliklerini yaşam döngüleri boyunca yönetmeye ve yönetmeye odaklanır. IGA çözümleri, ayrıcalıklı erişimin sağlanmasını ve yetkilendirmenin kaldırılmasını kolaylaştırır, erişim politikalarını uygular ve kullanıcı kimlikleri ve bunlarla ilişkili ayrıcalıklar üzerinde merkezi kontrol ve görünürlük sağlar. Bu çözümler, ayrıcalıklı erişim haklarının uygun şekilde yönetilmesini ve yönetilmesini sağlamak için PAM ile entegre olur.
Ayrıcalıklı Erişim Yönetimi'ni (PAM) kuruluşunuzda nasıl uygulayacağınızın bir dökümü aşağıda verilmiştir:
Kuruluşlar, bu adımları izleyerek ve PAM'i etkili bir şekilde uygulayarak ayrıcalıklı erişimi yönetmek ve güvence altına almak, riskleri azaltmak, güvenliği artırmak ve sektör düzenlemelerine uyumu sürdürmek için sağlam bir çerçeve oluşturabilir. PAM uygulaması, kritik sistemlerin ve verilerin etkili bir şekilde korunmasını sağlamak için politikaları, rolleri, teknolojileri ve en iyi uygulamaları içeren bütünsel bir yaklaşım gerektirir.
PAM'in geleceği, belirli zorlukların üstesinden gelmekte ve güvenliği artırmak, operasyonları kolaylaştırmak ve gelişen tehditlere uyum sağlamak için yeni ortaya çıkan teknolojileri benimsemekte yatmaktadır. Kuruluşlar, proaktif kalarak ve gelecekteki bu trendleri benimseyerek, kritik varlıklarını etkili bir şekilde koruyabilir, ayrıcalıklı erişimle ilişkili riskleri azaltabilir ve sürekli değişen siber güvenlik ortamı karşısında güçlü bir güvenlik duruşunu koruyabilir.
PAM'deki önemli zorluklardan biri bulut tabanlı ve hibrit ortamlarda ayrıcalıklı erişimi yönetmektir. Kuruluşlar bulut hizmetlerini ve hibrit altyapıları giderek daha fazla benimsedikçe, bu ortamlardaki ayrıcalıklı hesapların yönetimi karmaşık hale geliyor. PAM çözümlerinin bulut platformlarına uyum sağlaması ve sorunsuz entegrasyon sağlaması, şirket içi ve bulut tabanlı kaynaklarda tutarlı erişim kontrolleri, izleme yetenekleri ve ayrıcalık yönetimi sağlaması gerekir.
Genel güvenliği artırmak için PAM çözümlerinin diğer güvenlik çözümleri ve teknolojileriyle entegre olması gerekir. Güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri, tehdit istihbaratı platformları ve kimlik ve erişim yönetimi (IAM) çözümleri daha iyi görünürlük, ayrıcalıklı erişim olaylarının ilişkilendirilmesi ve proaktif tehdit tespitine olanak tanır. Kuruluşlar bu entegrasyonlardan yararlanarak güvenlik duruşlarını güçlendirebilir ve ortaya çıkan tehditlere etkili bir şekilde yanıt verebilir.
Otomasyon, PAM'de çok önemli bir rol oynar ve kuruluşların süreçleri kolaylaştırmasına, güvenlik kontrollerini uygulamasına ve operasyonel verimliliği artırmasına olanak tanır. PAM'in geleceği, ayrıcalıklı hesap provizyonu, parola rotasyonu ve erişim isteği iş akışları gibi rutin PAM görevlerini otomatikleştirmek için robotik süreç otomasyonu (RPA) ve yapay zeka (AI) gibi otomasyon teknolojilerinden yararlanılmasında yatmaktadır. Otomasyon, manuel çabaları azaltabilir, erişim kontrollerinde tutarlılık sağlayabilir ve erişim taleplerine zamanında yanıtlar sağlayarak genel PAM etkinliğini artırabilir.
Siber güvenlik tehditleri geliştikçe PAM'in de uyum sağlaması ve ortaya çıkan risklerin önünde kalması gerekiyor. Kuruluşlar gelişmiş kalıcı tehditler (APT'ler), içeriden gelen tehditler ve sıfır gün güvenlik açıkları gibi zorluklarla karşı karşıyadır. PAM çözümleri, anormal etkinlikleri tespit etmek, potansiyel tehditleri belirlemek ve proaktif olaylara müdahaleyi mümkün kılmak için makine öğreniminden ve davranışsal analizlerden yararlanarak gelişmiş tehdit algılama ve yanıt yeteneklerini içermeli. Ayrıca sürekli izleme, gerçek zamanlı uyarılar ve uyarlanabilir erişim kontrolleri, ayrıcalıklı erişime yönelik yeni ve gelişen tehditleri tespit etmek ve azaltmak için çok önemlidir.