[By John Gallagher, Vice President of Viakoo Labs]
Hassas sistemlerin veya verilerin korunması söz konusu olduğunda biyometrik güvenliğin genellikle şifrelerden daha üstün olduğu düşünülmektedir. İris taramaları, parmak izi taramaları veya ses doğrulama gibi benzersiz kişisel tanımlayıcılarla doğrulanan fiziksel ve yazılım güvenliği arasındaki arayüz, biyometriyi her iki sistemin de bağımsız olarak maruz kalabileceği saldırı türlerine karşı dayanıklı kılıyor gibi görünüyordu. Son haberler bunun aksini kanıtladı.
Biyometrik Güvenlikte Genişleyen Açıklar
Bu yılın başlarında Arizonalı bir anne, diğer hatta sıkıntı içinde yalvaran 15 yaşındaki kızıyla birlikte gece geç saatlerde bir fidye çağrısı aldı. Gazetecilere “Ses, tonlamalar, her şey aynı Brie'ninkine benziyordu” dedi; ancak telefondaki kişi onun kızı değildi. Bu, kızının ses parçalarından oluşturulan ses izinin yapay zeka tarafından oluşturulmuş bir kopyasıydı ve çocuğun annesinin bile aradaki farkı anlayamayacağı kadar aslına uygun sahte bir kayıt oluşturmak için kullanılıyordu.
Geçen yıl deepfake'lerin sıklığında ve kalitesinde kayda değer bir artış gördük. Biyometrik verilerin artan kullanılabilirliği, bu tür dolandırıcılıkların gerçekleştirilmesini nispeten kolaylaştırıyor. Tehdit aktörleri, iris, parmak izi ve yüz tanıma verileri için video veritabanları gibi IoT bağlantılı cihazları inceleyebilir; bir kişinin birkaç ay boyunca günde birden çok kez yüksek çözünürlüklü bir kameranın önünden geçebileceği tipik bir ofis ortamını düşünün. İrisin bir kısmı burada, kısmi bir parmak izi burada; tehdit aktörleri, yeterli tekrarlama, bilgi işlem gücü ve zamanla nispeten az bir çabayla bir kişinin tam biyometrik profilini “kırabilir” (kameralar okuyacak şekilde konumlandırılmışsa şifreleri yakalamaktan bahsetmiyoruz bile) klavyeler). Teknoloji hızla geliştikçe, saldırganlar artık biyometrik sistemlerin sunduğu bazı canlılık kontrollerinden kaçınarak deepfake'i doğrudan video akışına ekleyebiliyor. Bu nedenle video gözetim sistemlerinin ve ürettikleri verilerin güvenliğinin sağlanması önümüzdeki yıl büyük önem taşıyacak. IoT cihazları çoğu modern kuruluş için en büyük güvenli olmayan saldırı yüzeyleri arasındadır. Siber suçlular giderek daha akıllı ve sofistike hale geldikçe, gevşek IoT güvenliği her zamankinden daha büyük bir risk oluşturuyor.
Zorlukların Üstesinden Gelmek İçin Gelişen Teknolojilerden ve Süreçlerden Yararlanmak
Bu sorunlar, yapay zeka (AI) ve kuantum hesaplamadaki ilerlemelerle birleştiğinde biyometriyi bozma potansiyeli taşıyor. Çözüm? Yapay zekanın her seviyedeki savunucular tarafından daha fazla kullanılması; özellikle sıfır güven yaklaşımlarının, tehdit algılama mekanizmalarının, botların ve kötü amaçlı yazılımların erken ortadan kaldırılmasının ve sertifikalar gibi dijital kimlik doğrulama yöntemlerinin daha hızlı yaygınlaştırılmasını sağlamak için yapay zekanın kullanılması.
Kuruluşların, gelişen tehdit manzarasının önünde kalabilmek için güvenlik duruşlarını iyileştirmeye yönelik güçlü ve proaktif yatırımlar yapması gerekiyor. Saldırganlar, güvenlik açıklarını bulmak ve bunlardan yararlanmak için yapay zekayı kullanırken, BT ve güvenlik ekipleri, bir kuvvet çarpanı olarak hareket etmek, verileri toplamak ve önceliklendirmek, olası saldırı yollarını belirlemek, yan erişimi ortaya çıkarmak, arka kapıları vurgulamak ve potansiyelleri derlemek için savunmanın her düzeyinde yapay zekadan yararlanmalıdır. iyileştirme eylemleri.
Potansiyel etkisinin boyutuna ve ölçeğine rağmen, biyometrinin “sonu” aynı zamanda giderek daha popüler hale gelen bir trendin devamı: sıfır güvene geçiş. Bulut dönemi, geleneksel güvenlik önlemlerinin gerilemesine yol açtı ve Kovid-19 salgınının ortasında uzaktan çalışmaya geçiş son ritüellerini gerçekleştirdi. Sıfır güven, tüm kuruluşlar için varsayılan konum olmalıdır; bu, her kullanıcının yalnızca kimlik bilgilerine göre değil, aynı zamanda eriştikleri verilere göre de sürekli olarak doğrulandığı anlamına gelir. Gelişmiş bir sıfır güven kapasitesi, yetkisiz erişimi herhangi bir geleneksel güvenlik protokolünden daha hızlı bir şekilde tanımlayabilir ve bunlarla mücadele edebilir. Saldırı yöntemi ne olursa olsun sıfır güven, kuruluşların ağ erişimini gerçek zamanlı olarak ayrıntılı bir düzeyde düzenlemesine olanak tanıyarak yetkisiz erişim riskini sınırlandırır.
Geleceğe Hazırlanmak
Biyometrik güvenliğin sona ermesinin sektör ve hükümet çapındaki kuruluşlar için derin etkileri olsa da, liderlerin boşlukta ortaya çıkacak tehditlere karşı korunmak için alabilecekleri somut eylemler var. Kuruluşlar, siber savunmada yapay zeka kullanımını genişleterek ve kapsamlı bir sıfır güven ağ durumuna ulaşmak için araçlara yatırım yaparak, bu tehditlere karşı savunma yapabilir ve yapay zeka ve kuantum bilişim çağında tehditlerle birlikte gelişebilir.
Yazı Biyometrinin Sonunu mu Yaşıyoruz? İlk olarak Cybersecurity Insiders'da göründü.