Çok Faktörlü ve Risk Tabanlı Kimlik Doğrulama, Güvenlik İşlemleri
Direktör Jen Easterly: Parola Yöneticileri, Otomatik Yazılım Güncellemeleri Savunmanın Anahtarı
Michael Novinson (MichaelNovinson) •
26 Eylül 2023
Amerika’nın üst düzey siber güvenlik yetkilisi Salı günü vatandaşları güçlü şifreler seçerek, çok faktörlü kimlik doğrulamayı tercih ederek, kimlik avını bildirerek ve otomatik yazılım güncellemelerini etkinleştirerek savunmalarını güçlendirmeye çağırdı.
Ayrıca bakınız: Risk Tabanlı Kimlik Doğrulama e-Kitabı: Duo, Hibrit Çalışma Risklerini Nasıl Azaltabilir?
Siber Güvenlik ve Altyapı Güvenliği Ajansı Direktörü Jen Easterly, tüketicilerin ve iş liderlerinin güvenlik yolculuklarına her hassas hesap için karmaşık ve benzersiz şifreler seçerek ve bunları oluşturmak ve saklamak için bir şifre yöneticisi kullanarak başlamaları gerektiğini söyledi. Buradan hareketle Easterly, hesapları güvende tutmak için paroladan daha fazlasının gerekli olması nedeniyle çok faktörlü kimlik doğrulamanın hayati önem taşıdığını söyledi.
Konu kimlik avının tanınmasına gelince, Easterly kullanıcıları, özellikle de istenmeyen metinler, aramalar ve e-postaların yanı sıra bilinmeyen kaynaklardan gelen ekler söz konusu olduğunda “tıklamadan önce düşünmeye” teşvik etti. Son olarak Easterly, kullanıcıların ekosistemdeki kötü amaçlı tehditlere karşı sürekli olarak korunmalarını sağlamak için yazılım güncellemelerini otomatik hale getirmeleri gerektiğini söyledi.
Easterly, Salı günü CISA’nın ilk kamu hizmeti bilinçlendirme kampanyasını başlatan bir etkinlikte, “İnternete daha fazla cihaz, daha fazla platform ve daha fazla uç nokta ekledikçe güvenlik açıklarını artırdık” dedi. “Siber suçluların verilerimizi çalması ve kilitlemesi için bu saldırı yüzeyini genişlettik.”
Easterly’nin sözlerini, endüstri liderlerinin yorumlarının yanı sıra siber savunmayla ilgilenen kar amacı gütmeyen kuruluşların liderleriyle ateş başında yapılan bir sohbet izledi. CISA’nın kamu hizmeti duyurusu, 20. yıllık Siber Güvenlik Farkındalık Ayının Pazar günü başlamasından günler önce yayınlanmaya başlayacak (bkz: ABD CISA Yetkilisi: Kullanıcıları MFA’yı Kabul Etmeye ‘Zorla Dürtün’).
Easterly, “CISA, hükümetimiz ve endüstri ortaklarımızla birlikte siber suç ekosistemini önlemek ve bozmak için elimizden gelen her şeyi yapıyor” dedi. “Ancak her birimizin çevrimiçi ortamda kendimizi güvende tutma sorumluluğunu üstlenmesi çok önemli ve bu nedenle bugün buradayız.”
Google Güvenli Kimlik Doğrulamaya Nasıl Yaklaşıyor?
Google Güvenlik Mühendisliğinden Sorumlu Başkan Yardımcısı Heather Adkins, şifrelerin olmadığı bir gelecek olacağına inanıyor. Adkins, insanların artık hayatlarındaki en önemli sistemlerde kimliklerini doğrulamak için metin tabanlı bir dize kullanmak zorunda kalmamaları halinde, söz konusu sistemlerin artık hayatlarını mahvedebilecek bir saldırgan tarafından ele geçirilebileceğini veya ele geçirilebileceğini söyledi.
Adkins Salı günü CISA kamu hizmeti duyurusunun lansman etkinliğinde “Bu biraz gelecekte olacak; ben de gerçekçiyim” dedi. “Fakat sektör olarak bu küçük adımları her gün atıyoruz.”
Adkins, 15 yıldır bir şifre yöneticisi kullanıyor ve hatırlamak zorunda olmadığı karmaşık şifreler oluşturması ve bunları anında geri alınabilecek güvenli bir yerde saklaması nedeniyle bu aracı övdü. Google yakın zamanda tüm Gmail kullanıcıları için çok faktörlü kimlik doğrulamayı varsayılan olarak etkinleştirdi ve Adkins, bunun hesapların ele geçirilmesini önlemede “önemli ve anlamlı bir etkisi” olduğunu söyledi.
Adkins, “Donanım belirteçleri olan güvenlik anahtarları ve kullanımı daha kolay bir yazılım sürümü olan geçiş anahtarlarıyla kitlelere güvenli, çok faktörlü kimlik doğrulamayı sağladık” dedi. “Şirket olarak bu çözümleri kendimiz için benimsediğimizden beri, şifre kimlik avını şirketimizde bir sorun olarak ortadan kaldırdık.”
Benzer şekilde Adkins, Google Chrome web tarayıcısının otomatik olarak güncellendiğini, böylece kullanıcıların yama yapmayı düşünmesine bile gerek kalmadığını söyledi. Ayrıca, güvenlik göz önünde bulundurularak tasarlandıkları için Chrome OS cihazlarında ticari, ticari veya eğitim kullanıcıları arasında bilinen tek bir fidye yazılımı saldırısının bile yaşanmadığını söyledi. Kimlik avının otomatik olarak tanımlanması ve yazılımın güncel tutulması önemlidir (bkz.: Google’ın Christianan Markası, Geçiş Anahtarlarını Kitlelere Ulaştırıyor).
Adkins, “‘Tıklamadan önce düşünün’ fikrine inanıyorum ama aynı zamanda şuna da inanıyorum: ‘Mecbur değilse kullanıcıyı düşünmeye zorlamayın” dedi. “Bu, ‘güvenliğin önemli bir bileşenidir’ varsayılan olarak’ – tehdidin insanların gelen kutularından otomatik olarak kaldırılması. Biz mühendisler olarak güvenlik yükünü üstlenebilir ve kullanıcıların teknolojiden ihtiyaç duydukları şekilde yararlanabilmelerini sağlayabiliriz.”
Microsoft Varsayılan Olarak Çok Faktörlü Kimlik Doğrulamaya Dönüyor
Federal Güvenlik CTO’su Steve Faehl’e göre, Microsoft için “büyük bir değişim” olarak yazılım ve bulut bilişim devi artık Microsoft 365’in hem yeni hem de mevcut örnekleri için çok faktörlü kimlik doğrulamayı varsayılan olarak uyguluyor. Faehl, ileride kendi güvenlik politikasını yapılandırmayan herhangi bir kuruluşun çok faktörlü kimlik doğrulaması alacağını söyledi (bkz.: Microsoft, Windows 11’e Geçiş Anahtarları ve Kötü Kod Koruması Getiriyor).
Adkins, Salı günü CISA kamu hizmeti duyurusunun lansman etkinliğinde “İnsanların kiracılarından mahrum kalmasından çok endişeliydik” dedi. “İnsanların ne yapacaklarını bilemeyeceğinden çok endişeliydik. Ancak bunu kimseyi rahatsız etmeyecek şekilde sunmayı başardık ve bu herkesi daha güvenli hale getiren bir şey.”
Faehl, sektörün hem ABD hükümetinin siber düşmanlara acı ve maliyet yüklemesine anlamlı bir şekilde yardım etmede hem de şifresiz teknolojilerle kullanıcılara eskisinden daha iyi bir deneyim sunmada oynayacak bir rolü olduğunu söyledi.
Faehl, “Genel kamuoyunu bir ton siber risk korkusu tacirliğiyle sıkıştırmak istemiyoruz” dedi. “Onların şunu bilmesini istiyoruz: ‘Bu ortamda güvende olmak için gereken budur. Bu şekilde ileriye doğru güvende olabilirsiniz ve bunu güvenle yapabilirsiniz.'”