Yazan Wade Ellery, Radiant Logic Saha Teknoloji Şefi
Fidye yazılımı, sıfır gün saldırıları, kimlik avı ve tedarik zinciri saldırıları gibi siber tehditler, sektör veya boyuttan bağımsız olarak küresel olarak artıyor. Artan bu riskin merkezinde kimlik yer alıyor ve günümüzdeki tüm ihlallerin %60’ından fazlası kimlik istismarını içeriyor.
Kuruluşlar, bulut kaynaklarına ve uzak sistemlere yönelerek dijital ayak izlerini genişletmeye devam ettikçe, hem cihaz hem de kullanıcı düzeyinde kimlik verileri de büyüyor. Sonuç olarak, saldırı yüzeyi de genişleyerek tehdit aktörlerine kimlik açıklarından yararlanma ve kritik sistemlere erişim sağlama konusunda daha fazla alan kazandırıyor. Dolayısıyla, genişleyen bu tehdit vektörünün ortasında geleneksel ‘kale zihniyeti’ yetersiz kalıyor ve işletmelerin güvenlik stratejilerini acilen yeniden düşünmelerini gerektiriyor.
Bu aciliyet, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından da vurgulanıyor; çünkü kuruluş yakın zamanda stratejisini yeniden ayarlayarak siber tehditlere karşı birleşik bir cephe oluşturmak için Biden’ın Ulusal Siber Güvenlik Stratejisi ile uyumlu hale geldi.
Bu işbirliği, geleneksel savunma mekanizmalarının gelişmesi gerektiğinin kabul edilmesiyle bir paradigma değişikliğine işaret ediyor. CISA’nın gözlemlediği gibi, siber saldırıların başarısı genellikle “güvensizlik ortamı tarafından mümkün kılınıyor”; bu kusur, kimlik ve bununla ilgili verilerle ilgili kolektif kör noktalarımızla daha da kötüleşiyor. Bu kör noktaların azaltılması, etkili kimlik verileri yönetimine daha fazla odaklanılmasını gerektirir.
Kimlik Veri Yönetimi CISA’nın Üç Temelini Nasıl Ele Alır?
CISA’nın güncellenmiş stratejik planı, işletmelerin üç temel hedefe ulaşmasını sağlamaya odaklanıyor: acil tehditleri ele almak, araziyi güçlendirmek ve güvenliği geniş ölçekte artırmak. Ajans, bu sütunların her işletmenin güvenlik stratejisinin temeli olmasını istiyor. Peki etkili kimlik verileri yönetimi kuruluşların bunu başarmasına nasıl yardımcı olabilir?
Acil tehditlerden bahsettiğimizde, fidye yazılımları ve kimlik avı hemen devreye giriyor. Fidye yazılımı saldırı oranı her yıl rekorlar kırarken, ihlallerin %74’ü hâlâ kimlik avı veya sosyal mühendislik unsurlarını içeriyor. Kimlik verileri yönetimi, bu tehditlere karşı proaktif bir yaklaşım sağlar.
Anlayışımızı yalnızca insan kimliklerinin ötesine, sunucuların, uygulamaların ve sistemlerin kimliklerini de içerecek şekilde genişletmek, hangi sistemlerin veya kullanıcıların bu tür saldırılara karşı daha savunmasız olduğunu belirlemeye yardımcı olabilir. Anlık riskleri azaltmak için hedefli eğitimin etkinleştirilmesi ve belirli cihazlar ve kullanıcı havuzları üzerinde katmanlı kimlik doğrulama ve erişim kontrolünün uygulanması için daha iyi bir kapsam sağlar.
Alanın sağlamlaştırılması, tüm BT ekosisteminin ve her ağ öğesinin yönetilmesini gerektirir. BT altyapımızdaki her bileşenin (insanlar, sunucular, uygulamalar) bir kimliği vardır. Aşılmaz bir savunma duruşu ve sağlam bir ağ alanı oluşturmak için bu kimlikleri yönetmeli, izlemeli ve yönetmeliyiz. Her kimlik titizlikle yönetildiğinde, harici kimlik sahtekarlığı ve yetkisiz erişim olasılığı azalır. Temel olarak, arazi bir dizi saldırıya karşı daha dayanıklı hale geliyor ve bu da rakiplerin güvenlik açıklarından yararlanmasını zorlaştırıyor.
Ayrıca, güvenliği geniş ölçekte artırma söz konusu olduğunda, bu kimliklerin BT altyapısı genelinde izlenmesi, otomasyona ve gerçek zamanlı yanıtlara olanak tanır ve böylece güvenlik önlemlerini etkili bir şekilde ölçeklendirir. Örneğin, bir kurumsal ağdaki bağlı her cihazın kimliğini yönetmek, izinleri düzene sokarak yalnızca yetkili cihazların ve kullanıcıların gerçek zamanlı olarak etkileşimde bulunmasını sağlayabilir.
Kimliklerin hassas verilere ve sistemlere erişmek için nasıl kullanılabileceği konusunda görünürlük kazanmak, tehditlerin önüne geçmek açısından kritik öneme sahiptir. Gartner’ın yakın tarihli bir raporu, kaliteli kimlik verilerinin başarılı güvenlik projeleri ve karmaşık BT ortamlarında erişim kontrollerini ölçeklendirmek için kritik öneme sahip olduğunu vurguluyor.
Güçlü bir sıfır güven mimarisi için kimlik yönetimi zorunludur
CISA’nın güncellenmiş stratejisinin öncelikli olarak, 2024 yılına kadar tüm devlet kurumlarında Sıfır Güven’in uygulanmasını zorunlu kılan Biden’ın Ulusal Siber Güvenlik Stratejisi ile uyumlu hale getirilmesi amaçlanıyor. Sıfır Güven, iki faktörlü kimlik doğrulamayı zorunlu kıldığı için modern güvenlik sorunlarıyla mücadelede bir endüstri standardı olarak ortaya çıktı. böylece yetkisiz erişim olasılığını azaltır. Ancak iki faktörlü kimlik doğrulamanın bile manipüle edilebilmesi, bizi sağlam kimlik yönetiminin önemine geri getiriyor.
Kimlik verileri Sıfır Güven protokollerini her aşamada bilgilendirir. Hak ve ayrıcalıkların verilmediği durumlarda dinamik yetkilendirmeye izin verir çok fazla ancak erişim ihtiyacı esasına göre sağlanır. Güvenlik stratejinizde bunu nakit bazlı sistemden kart bazlı sisteme geçiş olarak düşünün. Artık “çuval dolusu para” (veya sınırsız erişim) taşımıyorsunuz; bunun yerine, harcama limitleri veya operasyonel izinlerle sınırlandırılmış bir “kredi kartıyla” (veya tam zamanında haklarla) çalışırsınız.
Bu nedenle, kullanıcıların, hizmetlerin, uygulamaların ve cihazların kimlikleri de dahil olmak üzere kimlik verilerinin gerçek doğasını anlamak, Sıfır Güven mimarisi oluşturmak için çok önemlidir.
Tüm kimlik veri noktalarında daha fazla görünürlük nasıl elde edilir?
Öncelikle kuruluşların kimlik verilerinin ne olduğuna dair net bir anlayış geliştirmeleri gerekiyor. Siber güvenlik tartışmalarında CISA gibi saygın kuruluşlar tarafından bile gözden kaçırılan önemli bir konu, kimliğin insan kullanıcıların ötesine geçen incelikli rolüdür. “Kimlik” dediğimizde mesele sadece ‘John Doe’nun iş istasyonuna erişmesi değil. Aynı zamanda bir veritabanını veya IoT cihazı raporlama ölçümlerini sorgulayan belirli bir mikro hizmetle de ilgilidir. Temel olarak kaynaklara erişmek için dijital ortamda hareket eden her öznenin yönetilmesi, doğrulanması ve yetkilendirilmesi gerekir.
Gerçekten sağlam bir güvenlik duruşu uygulamak için kimlik verilerinin kalitesi de çok önemlidir. Erişim kontrolünü statik, nadiren güncellenen bilgilere dayandırmak artık yeterli değil. Her erişim kararını bilgilendirmek için en güncel verileri kullanan dinamik ve gerçek zamanlı bir yaklaşım gereklidir.
Düşük kaliteli kimlik verilerinin etkileri, bir işletmenin güvenlik altyapısı için yıkıcı olabilir. Açıklayıcı bir örnek, ayrıcalıklı hesapların güvenlik ihlallerindeki rolüdür; 2021’de yapılan bir anket, siber saldırıların kurbanı olan kuruluşların %74’ünün ayrıcalıklı hesaplarının olaya karıştığını iddia ettiğini ortaya çıkardı. Bu hesaplar genellikle en hassas ve gizli kaynaklara erişim sağlayarak bunların korunmasını zorunlu hale getirir.
Sisteminizdeki bir güvenlik açığı nedeniyle bir çalışanın unvanının CFO olarak değiştirildiğini düşünün. Bu değişiklik onların son derece hassas maaş bordrosu ve mali bilgilere erişmesine olanak tanıyarak önemli bir güvenlik riski oluşturabilir. Aynı mantık uygulamalar, cihazlar ve hizmetler için de geçerlidir. Bu nedenle kimlik verilerinin bütünlüğü, tüm ağ güvenliği politikalarınızın üzerine inşa edilmesi gereken temel taş haline gelir.
Ayrıca, ister ağ girişi ister ağ içi faaliyetler olsun, politikaya dayalı erişim kontrolü doğru, güncel verilere bağlanmalıdır. Veri doğruluğunu sağlamak için sağlam prosedürlerin uygulanması ve kimlik verilerinin sürekli olarak denetlenmesi ve izlenmesi, sistemi bozma girişimlerini engelleyebilir. Artık mesele yalnızca etkili erişim politikaları oluşturmak değil; bu politikaları uygulamak için kullanılan temel verilerin sağlam olmasını sağlamakla ilgilidir.
Genel olarak, gelişmiş kalıcı tehditlerin olduğu günümüz çağında, güvenlik yalnızca bariyerler inşa etmekten ibaret değildir; kimliklerin kuruluş genelinde ayrıntılı düzeyde anlaşılması ve doğrulanmasıyla ilgilidir. Bu yaklaşım, kimlik verilerinin kalitesine, görünürlüğüne ve sürekli izlenmesine titizlikle dikkat edilmesini gerektirir. Bu açıdan herhangi bir uzlaşma, yalnızca bir boşluk anlamına gelmez; bir kuruluşun güvenlik altyapısının tüm yapısının çözülmesiyle tehdit eder.
yazar hakkında
Wade Ellery, Radiant Logic’in Saha Teknoloji Şefidir. Wade, Kurumsal BT doğrudan ve kanal yazılım ve hizmet satışı ve yönetiminde 20 yıldan fazla artan sorumluluk ve deneyime sahiptir. Kurumsal IAM, IAG, Risk ve Uyumluluk ve BT Güvenliği ürünleri konusunda derin bilgi ve deneyime sahiptir.
www.radiantlogic.com