Erişimin karmaşıklığı, CISO’ları geceleri uyutmayan büyük bir zorluk haline geldi. Ne yazık ki, sorunu ele alacak çözümler mevcut olsa da, birçoğu bunları henüz güvenlik ortamlarına düzgün bir şekilde entegre etmedi.
Forrester Research, ihlallerin %80’inin tehlikeye atılmış veya kötüye kullanılmış ayrıcalıklı hesapları içerdiğini tahmin ediyor. Yine de, sadece kök ve ayrıcalıklı erişimi paylaşıyorlar.
Özellikle Avustralya’da siber güvenlik en iyi uygulamalarına yönelik artan incelemeler göz önüne alındığında, bunun değişmesi gerekiyor.
Avustralya’da Gelişen Siber Güvenlik Manzarası
Fidye yazılımları, Avustralyalı işletmelere ve kritik altyapılara yönelik en yaygın ve zararlı tehditlerden biri olmaya devam ediyor.
Fidye yazılımlarının etkisi, yanlış bir kişiye uygunsuz bir izin verilmesi gibi tek bir güvenlik açığının tüm ağı tehlikeye atması nedeniyle daha da kötüleşiyor.
Aynı zamanda, siber suç tehdidi arttıkça Avustralya’daki düzenleyici ortam daha katı hale geliyor. Avustralya Siber Güvenlik Merkezi (ACSC) tarafından geliştirilen Temel Sekiz gibi temel düzenlemeler, kuruluşların siber güvenlik risklerini azaltmalarına yardımcı olmak için tasarlanmıştır ve bunu yapmasının başlıca yollarından biri de kuruluşların erişim kontrolü üzerinde daha iyi bir kavrayışa sahip olmasını gerektirmesidir.
Bunun bir parçası olarak hükümet, kuruluşların “ayrıcalıklı sistem erişimlerini (personelin, yüklenicilerin ve sağlayıcıların özel işlevleri yerine getirmesine veya sistem ve uygulama kontrollerini geçersiz kılmasına izin verenler) sınırlaması ve izlemesi” gerektiğini belirten Koruyucu Güvenlik Politikası Çerçevesi’ni geliştirdi.
Ancak, bir ortamı basitçe kilitlemek de işe yaramayacaktır. Öncelikle, çok kısıtlayıcı bir ortam iş yapmayı zorlaştırır ve üretkenlikte düşüşe neden olur. Ancak bundan da öte, daha kısıtlayıcı bir ortam ironik bir şekilde kuruluşu yeni güvenlik risklerine açabilir. Kullanıcı deneyimi çok fazla tehlikeye atılırsa, kullanıcılar ağı tamamen atlatmanın yollarını arayacak ve bu da verilerin uyumluluk dışındaki üçüncü taraf platformlara sızdırılmasına neden olabilir.
Kuruluşların Erişim Muafiyetlerine Nasıl Yaklaşması Gerekir?
Sonuç olarak, bu sıklıkla çelişen gereklilikleri dengelemedeki başarı, kuruluşun ve güvenlik ortamının erişim muafiyetlerini ne kadar iyi ele aldığına bağlıdır.
İstisna taleplerini işlerken, talebin hem meşruluğunu hem de aciliyetini değerlendirmek çok önemlidir. Bu süreç, talebin yapıldığı bağlamın ve talebi yapan kullanıcının özelliklerinin kapsamlı bir değerlendirmesini içermelidir. Örneğin, talep geçici erişim için meşru bir ihtiyacı olan üst düzey bir yöneticiden mi geliyor yoksa sınırlı denetime sahip harici bir yükleniciden mi geliyor? Bağlamı anlamak, kuruluşların istisnayı vermeyle ilişkili risk seviyesini ve alternatif çözümlerin yeterli olup olmayacağını belirlemesine yardımcı olabilir.
Uygulama denetimiyle ilgili istisnaları yönetmek için etkili bir strateji, zamanla sınırlı muafiyetler vermektir. Erişim izinlerine bir son kullanma tarihi koyarak, kuruluşlar uzun vadede güvenlik açıklarına maruz kalma riskini azaltabilir. Ancak, bu yaklaşımın kendine özgü zorlukları vardır.
Bir düşünce okulu, bu gibi durumlarda bir uç noktadaki tüm kısıtlamaların ihtiyaç duyulan zaman dilimi boyunca kaldırıldığıdır. Ancak, bu yaklaşım sorunludur çünkü gerekenden çok daha fazla izin sağlayarak gerekenden daha büyük bir tehdit yüzeyi sunar. Önemlisi, Temel Sekiz’e uyum sağlayan kuruluşlar için böyle bir yaklaşım, yönetim ayrıcalıklarını kısıtlamaya ilişkin gereklilikleri karşılamada başarısız olur.
Ek olarak, istisna işlemeye yönelik politika odaklı bir yaklaşım, kuruluşların tutarlılığı sürdürmesini ve güvenliği tehlikeye atabilecek geçici karar riskini azaltmasını sağlar. Politikalar, acil erişim isteklerinden rutin istisnalara kadar çeşitli senaryoları ele alabilecek kadar esnek, ancak kötüye kullanımı önleyecek kadar katı olmalıdır. Örneğin, politikalar tüm istisnalar için çok faktörlü kimlik doğrulaması gerektirebilir veya belirli isteklerin birden fazla paydaşın dahil olduğu resmi bir onay sürecinden geçmesini zorunlu kılabilir. Bu, kolaylık uğruna güvenliğin tehlikeye atılmamasını sağlar.
Güvenlik Neden Kullanıcı Deneyimi Pahasına Olamaz
Sonuç olarak, istisna işleme, birden fazla savunma katmanını entegre eden daha geniş, bütünsel bir kimlik güvenliği stratejisinin parçası olmalıdır. Buna uygulama kontrolü, kullanıcı uygulama sertleştirmesi ve yönetim ayrıcalık yönetimi dahildir. Buna bütünsel ve stratejik bir yaklaşım benimsemek, tüm bu güvenlik çözümlerini, işletmenin dijital teknolojilerle sunulan fırsatlardan tam olarak yararlanmasını sağlayacak şekilde entegre etmek anlamına gelir.