Makine kimlikleri hızlı çoğalıyor ve birçok kuruluş devam etmek için mücadele ediyor. Bu yardımda net güvenlik röportajında, Sailpoint’ten CMO olan Wendy Wu, makine kimlik güvenliğinin neden önemli olduğunu, çoğu şirketin nerede yanlış gittiğini, otomasyonun nasıl yardımcı olabileceğini ve AI ajanlarının yükselişinin kimlik yönetiminin geleceği için ne anlama geldiğini açıklıyor.
Makine kimlik güvenliği neden son yıllarda siber güvenlik stratejilerinin bu kadar kritik bir bileşeni haline geldi?
En basit cevap, hizmet hesabı, RPA, IoT cihazları, botlar gibi makine kimliklerinin uzun süre var olmasına rağmen, kullanımdaki sayının son yıllarda patladığıdır. Aslında, tahminler değişse de, bazı uzmanlar ortalama işletmenin her insan için yaklaşık 45 makine kimliğine sahip olduğuna inanmaktadır. Bu kulağa çok benziyor, ancak bir şok olarak gelmemeli – hepsinden sonra, bugünün işletmeleri her zamankinden daha fazla uygulama, daha fazla yazılım ve daha fazla veri kullanıyor. Son Kimlik Güvenliği Raporu ufuklarımıza göre, sayının resmi olarak 45’ten fazla mı yoksa daha az mı olduğu konusunda tartışmalar olsa da, bildiğimiz bir şey, makine kimliklerinin diğer tüm kimlik türlerinden daha hızlı büyümesidir.
Asıl sorun, birçok işletmenin, makine kimliklerini bir yana, insan kimliklerini tam olarak güvence altına almamış olması ve saldırganların bunu bilmesidir. Kimlikler, geçen yıl tüm siber güvenlik olaylarının şaşırtıcı% 60’ını hedef aldı ve rakipler, makine kimliklerinin insan meslektaşlarından daha savunmasız olma eğiliminde olduğunu giderek daha fazla kabul ediyorlar. Kendi araştırmamız bunu destekliyor: Son zamanlarda yapılan bir çalışmada, kuruluşların% 57’sinin bir makine kimliğinin hassas verilere erişim sağlandığını ve% 16’sının bunun gerçekleşip gerçekleşmediğinden emin olamadığını bulduk. Bu, makine kimliklerinin kırılganlığı ve etkili koruma eksikliği konusundaki artan endişenin altını çizmektedir.
İyi haber şu ki, kuruluşların artık seçenekleri var, ideal devlet hem insan hem de insan olmayan kimlikleri yönetmek için daha geniş, daha birleşik bir yaklaşım. Kötü makine kimlik yönetimi tarafından ortaya çıkan tehdidin artan farkındalığı, yeniliği yönlendiriyor.
Makine kimliklerini yönetme ve güvence altına almak söz konusu olduğunda kuruluşların en yaygın kör noktalar nelerdir? CISOS onları nasıl ele alabilir?
Açıkçası, organizasyonların şu anda karşılaştığı en büyük zorluk keşif, ancak bir sonraki bölümde daha fazlası. İlk olarak, sahiplik sorunu hakkında konuşalım. Makine kimliklerinin çevrelerindeki kapsamlı bir envanteri yapan kuruluşlar bile, genellikle bu kimlikleri yönetmekten kimin sorumlu olduğu konusunda net bir anlayışa sahip değildir. Aslında, ankete katıldığımız kuruluşların% 75’i bireysel makine kimlikleri için sahiplik vermediklerini belirtti. Bu gerçek bir sorundur – özellikle de yoksul (veya yetersiz) yönetişim uygulamaları, tehlikeye girme, veri kaybı ve diğer olumsuz sonuçlar olasılığını önemli ölçüde artırır.
Bir başka kritik kör nokta, her makine kimliğinin hangi verilerin erişebileceği veya erişebileceği ve en önemlisi neye erişemeyeceği ve erişememesi gerektiğini anlamaktır. Netlik olmadan, uygun güvenlik kontrollerini uygulamak, gereksiz maruziyeti sınırlamak veya uyumluluğu korumak neredeyse imkansız hale gelir. Her makine kimliği, hassas veriler ve kritik sistemler için potansiyel bir erişim noktasıdır. Erişim kapsamlarını tanımlamak ve kontrol etmek, ciddi risk için kapıyı açar.
Sorunu ele almak, kapsamlı bir makine kimlik güvenliği çözümünü ortaya koymakla başlar – ideal olarak kuruluşların makine kimliklerini tıpkı insan kimlikleri yaptıkları gibi yönetmelerine izin veren bir şey. Otomasyon kritik bir rol oynar: güvence altına almak için çok fazla kimlik ile, makine kimliklerinin tam yaşam döngüsünü keşfedebilen, sınıflandırabilen, sahipliği atayabilen, atayabilen ve yönetebilen bir çözüm süreci önemli ölçüde kolaylaştırır. Sınıflandırma, sadece kimliğin işlevini değil, aynı zamanda etkileşime girebileceği verilerin hassasiyetini ve sınırları buna göre belirlemeyi içermelidir. Sahiplik, hem kimliğin rolüne hem de erişebileceği verilerin kritikliğine dayanarak atanmalıdır.
Açık sahiplik olmadan, makine kimlikleri ciddi bir yönetişim boşluğu ve potansiyel bir uyum riski haline gelir. Güçlü sahiplik uygulamaları oluşturmak, kuruluşların bugün karşılaştığı en tehlikeli kör noktalardan birini ortadan kaldırmaya yardımcı olur.
Kuruluşlar, özellikle hibrid ve çoklu bulut ortamlarında, tüm makine kimliklerini keşfetme ve envanterleme konusunda ne gibi zorluklarla karşılaşıyor?
Kuruluşların sadece% 38’i tüm aktif makine kimliklerinin doğru, gerçek zamanlı bir listesine erişebileceklerini söylüyor, bu da% 62’si etkili bir şekilde kör uçuyor. Ve bir klişe çağırma riski altında, göremediğinizi güvence altına alamazsınız. Active Directory, Microsoft Entra, Bulut Hizmetleri ve diğer dijital ortamlara yayılan makine kimliklerinin tam spektrumunda görünürlüğü olmayan kuruluşlar kendilerini tehlikeli bir şekilde maruz bırakıyor. Makine kimliklerinin kötü yönetilmesi veya aşırı korunması için bir şey, ancak ilk etapta var olduklarını bilmemek tamamen başka bir şey. Şuna bakın: Bir kuruluşun sistemlerinde kaç insan kimliği bulunduğuna dair hiçbir fikri yoksa, bu, güverte üzerinde bir sorun olurdu. Makine kimlikleri neden farklı muamele görülmeli?
Buradaki zorluğun bir kısmı, kuruluşların ezici bir çoğunlukla makine kimliklerini yönetmek için manuel süreçlere güvenmesidir – ancak keşfi elle yürütmek zorlu, özenli bir süreçtir. Emirlerinde kapsamlı bir makine kimlik çözümü olmayan güvenlik ekipleri, binlerce elektronik tablo verisi boyunca manuel olarak taranıyor ve sadece hangi kimliklerin insan olduğunu ve hangilerinin makine olduğunu belirlemek için karmaşık çapraz tablolar yürütüyorlar – ve bu da bunları sağlama sorununa girmeden önce. Endişelenerek, kuruluşların% 66’sı makine kimliklerini yönetmenin insan kimliklerinden daha fazla manuel müdahale gerektirdiğini söylüyor. Her yıl tırmanan makine kimliklerinin sayısı ile otomasyon ihtiyacı giderek daha açıktır.
Makine kimliklerini ölçekte yönetmede otomasyon ne kadar önemlidir ve bunu güvenli bir şekilde yapmak için en iyi uygulamalar nelerdir?
İnsan kimliklerini manuel olarak yönetmek, günümüzün giderek karmaşıklaşan dijital ortamlarında sınırda imkansızdır. Gerçekten insan kimliklerinden 45 kat daha fazla makine kimliği varsa, manuel yönetimin bir seçenek olmadığını söylemeye gerek yok. Bu işlemi otomatikleştirmek sadece yararlı değildir, aynı zamanda önemlidir.
Modern makine kimlik çözümleri, makine kimliklerini güvence altına almak için adım adım süreç boyunca organizasyonları yürüyebilir ve bunu insan operatörlerinden çok daha doğru ve verimli bir şekilde yapabilirler. Keşif sürecinin tek başına otomatikleştirilmesi yüzlerce saat tasarruf edebilir ve aynı zamanda hiçbir kimliğin göz ardı edilmediğine dair gönül rahatlığı da sağlayabilir. Keşiften sonra, kimlikler Türe (Hizmet Hesabı, Bot, RPA vb.) Sınıflandırılabilir ve daha sonra başvuru veya hizmete göre gruplandırılabilir. Oradan, her gruba her bir kimliğin işlevselliği (veya zorunluluğu) hakkında herhangi bir soru varsa gözetim sağlayacak bir sahip atanabilir. Bir sahip atandıktan sonra, erişim sertifikası başlayabilir, izinler her rol/sorumluluk için gerektiği gibi atanır veya iptal edilir.
Bu işlemlerin bazıları yine de manuel müdahale gerektirebilir – genel olarak, makine kimliği çözümünün kaynaktan aldığı verilerin kalitesine bağlıdır. Ancak çoğu durumda, keşif, sınıflandırma, sahiplik ve ödev süreçleri yüksek derecede otomasyona sahip olmalı ve kuruluşların binlerce (hatta on binlerce) makine kimliğini hızlı ve kolay bir şekilde işlemesine ve kolayca işlemesine izin vermelidir. Bugünün makine kimlik hacmi göz önüne alındığında, zaman ve çaba tasarrufu önemlidir.
Makine-Makine İletişimi daha yaygın hale geldikçe (örn. IoT, Kubernetes, Sunucusuz), makine kimliği güvenliği manzarası nasıl gelişir?
IoT cihazlarının, Kubernetes kümelerinin ve sunucusuz mimarinin patlaması, makine kimliklerinde bir artışa neden oldu – ve bununla birlikte daha güçlü makine kimlik güvenliğine duyulan bir ihtiyaç. Yine de birçok kuruluş hala bu makine kimliklerini etkili bir şekilde yönetmenin ölçeği ve karmaşıklığı ile boğuşuyor.
Şimdi, manzara tekrar değişiyor. Yeni bir kimlik sınıfı ortaya çıktı: AI ajanları. Makine kimliklerinden farklı olarak, AI ajanları sadece diğer sistemlerle iletişim kurmayan özerk sistemlerdir; Kuruluşlar adına bağımsız olarak hareket ederler, hassas verilere erişirler, kararlar alırlar ve görev açısından kritik görevleri yerine getirirler. Bu AI ajanlarının güvence altına alınması geleneksel kimlik yönetiminden daha fazlasını gerektirir. Kuruluşlar artık sadece uygulamalara erişim sağlamakla kalmaz, aynı zamanda eylemlerini bireysel veri alanlarına ve işlevlerine yönetmek için AI ajanları üzerinde ince taneli yetki kontrolü sağlamalıdır. Bu yönetişim düzeyi olmadan, işletmeler en kritik varlıklarını açığa çıkarma riskiyle karşı karşıya kalırlar.
Ana çerçeveler, SAP, Oracle gibi sistemler için derin zeka ve kapsamlı konektörler kütüphanesini birleştiren güvenlik platformları, AI ajanları da dahil olmak üzere bu yeni nesil insan ve dijital kimlikleri güvence altına almak için en iyi konumlandırılacaktır. Şimdi yatırım yapan kuruluşlar operasyonlarını korumak için daha donanımlı olacak ve dijital özerklik genişlemeye devam ediyor.