Zac Amos, Özellik Editörü, ReHack
Kuruluşlar ve bireyler, herhangi bir siber güvenlik risk yönetimi planını geliştirmek için çok faktörlü kimlik doğrulama stratejileri uygulamalıdır. Siber tehditler her zaman yaratıcı olmuştur, ancak artan saldırılar, savunma taktiklerinin daha bütünsel olmasını ve mümkün olduğunca çok sayıda koruyucu tedbiri bir araya getirmesini gerektirmektedir. En iyi siber güvenlik portföyleri, artırılmış koruma için çeşitli önlemler içerir.
MFA 2023’te Neden Önemli?
MFA’nın uygulanması zaman alır ve yeni yıl, geniş kapsamlı değişiklikler yapmak için ideal bir sıçrama tahtasıdır; çalışanlar uyum sürecinde daha sabırlı olabilir. Her yıl, özellikle sağlık ve finans kurumları gibi hassas sektörlerde dijital ortamlara yeni tehditler getiriyor.
Bu siber güvenlik bariyerini ekleyen kurumlar, ele geçirilen hesapların %99’dan fazlasını azaltabilir ve düzeltme için milyonlarca dolar tasarruf sağlayabilir. 2023 için, her türlü siber güvenlik rutini için harika bir tamamlayıcı olduğu için sahip olmak çok önemlidir. Ayrıca, en hayati siber güvenlik önleme önlemlerinden biri olan çalışan katılımının teşvik edilmesine de yardımcı olur.
- Eğitin, Eğitin, Bilgilendirin
MFA, yalnızca BT ekiplerini veya siber güvenlik analistlerini değil, herkesi içerir. Bunu bir savunma stratejisi olarak kullanmak, daha fazla yüzey alanını kapsayarak teknolojinin yanlışlıkla kötüye kullanılmasını en aza indirir.
Bir MFA ortamına geçiş, çalışanlara ek siber güvenlik eğitimi sağlamak ve MFA önlemlerini iş akışları için mücadeleci bulurlarsa hayal kırıklığı veya kayıtsızlık olasılığını azaltmak için en önemli fırsattır. Ekip üyelerini nasıl daha güvenli parolalar veya daha güvenli e-posta gönderme alışkanlıkları oluşturacakları konusunda bilgilendirebildiği için ofis içinde ve dışında siber güvenlik hijyenine yardımcı olur.
Sorunsuz bir geçiş için çalışanların katılımı çok önemlidir. Bunu sağlamanın en iyi yolu, kullanıma sunma aşamalarını net bir şekilde iletmektir – ne olduğunu anlamazlarsa, muhtemelen gerektiği kadar ciddiye almazlar. Ayrıca, bireysel çalışanlar, daha yüksek izinler engellemediği sürece hesaplarında onu devre dışı bırakmanın yollarını bulabileceği için sürekli kullanımı sağlamlaştırır.
- Uyumluluğu Sağlayın ve Sürdürün
Değerlendiriciler, dünyanın en saygın uyumluluk çerçevelerinden bazılarını elde etmek ve bunlara uymak için MFA uygulamasına bakar. Uygulamayı şimdi aşılamak, kuruluşların para cezalarından ve uyumluluk eksikliği nedeniyle itibar kaybı gibi diğer olumsuz sonuçlardan kaçınmasına yardımcı olabilir.
Kişisel olarak tanımlayıcı bilgileri korumaya odaklanan HIPAA gibi çerçeveler, MFA gerektirir. Finans sektörü için Federal Finansal Kurumlar İnceleme Konseyi standartları, MFA’yı çevrimiçi bankacılık hizmetleri için teşvik eder. Uygulama artık o kadar altın bir standart ki, şirketlerin sorumluluğu tartışırken kullanıp kullanmadıklarını kontrol ettikleri için sigortaya da yardımcı oluyor.
- Bağlamsal Tetikleyicilerle Kimlik Doğrulama Önlemlerini Çeşitlendirin
MFA’nın telefonda kod almak ve bunu PC’ye girmek gibi tek bir yöntemi yoktur. Birden çok MFA önleminin uygulanması savunmayı artırabilir. MFA ortamı çok fazla monokültür ise, tehditler bu davranışı tanımlayabilir ve bundan faydalanabilir.
SMS almanın yanı sıra, bir şirketin MFA’yı çeşitlendirmesinin diğer yolları şunlardır:
- Yazılım ve donanım belirteçleri
- Telefon görüşmesi
- E-posta onayı veya kodu
- Parmak izi veya yüz kimliği gibi biyometri
- Diğer kimlik doğrulama uygulamaları aracılığıyla kodları alma
- Güvenlik SORULARI
Her tür MFA, aşağıdakiler gibi bağlamsal tetikleyicilerle birleştirilirse güvenliği artırabilir:
- IP adresini veya bağlantıyı doğrulayan programlar
- Coğrafi konum
- Atanan cihazı izinlere göre kontrol etme
- Zaman kontrolü
- Tamamlayıcı Çözümlerle Güçlendirin
MFA’yı diğer siber güvenlik yöntemleriyle birleştirmek yalnızca savunmaları daha sağlam hale getirecektir. Korumayı destekleyen iki teknik, tek oturum açma ve en az ayrıcalıklı altyapıdır.
Çoklu oturum açma (SSO) kötüye kullanılırsa riskli olabilir, ancak sağlam uygulamalar parolanın yeniden kullanımını veya özensiz parola yönetimini azaltabilir çünkü personel yalnızca bir kimlik bilgisine sahiptir. SSO en iyi savunma değildir çünkü bir bilgisayar korsanının ihtiyaç duyacağı tek şey tek bir parola ve kullanıcı adı olacaktır. Ancak, MFA ile birden fazla cephede çalışır. En az ayrıcalık, gereksiz kimlik bilgilerinin görevlerini tamamlamak için ihtiyaç duymadıkları bilgilere erişmesini önlemek için bu yöntemlerle daha da sinerji içinde çalışır.
- Değişiklik Yönetiminin Uygulanması Değerlendirmelerini Çizelgeleyin
Teknik ekiplerin altyapılarının nasıl çalıştığını denetlemeye devam etmesini sağlayın. Yılda birkaç kez, çalışanlar MFA ile ilgili deneyimleri hakkında veri toplamalı ve bunun varlıklarını kolaylaştırılmış bir şekilde koruduğunu düşünüyorlarsa. Çalışanların MFA deneyimleri hakkında dile getirebilecekleri bazı endişeler şunlardır:
- Uygulama yığını çok kullanışsız veya kullanıcı dostu değil
- Diğer MFA biçimlerini tercih ederler
- Tutarsız kimlik doğrulama makbuzları raporları
- Nadir güncelleme bildirimleri
Bir BT ekibi iyileştirmeler bulursa, ekipleri değişiklikleri belirli taraflara devretmeye ve bu değişikliklerin kapsamlı bir şekilde belgelenmesini sağlayan bir değişiklik yönetimi yapısıyla bunları kurabilir. Değişikliklerin kimde ve ne zaman gerçekleştiğini not etmek, yeni ayarlamalar yapan herkes için içgörü sağlar — engellerle karşılaşırlarsa ve engelleri aşmak için diğer ekip üyeleriyle işbirliği yapmaları gerekirse yardımcı olur.
Güvenlik için MFA Neden Gereklidir?
Sağlam bir savunma güvenlik stratejisine bağlı kalmak, analistlerin ve diğer çalışanların teknolojiyi daha güvenli kullanmalarını sağlar. İşletmeler, personellerini bilgilendirmeye devam ederek ve bir ihlale yanıt vermeleri gerektiğinde saldırı önlemleri için yöntemleri sağlamlaştırarak süreklilik planlarının farklı yönlerini güçlendirmek için enerji ve kaynak ayırabilir.
yazar hakkında
Zac Amos, siber güvenlik ve teknoloji endüstrisini ele aldığı ReHack’te Özellik Editörüdür. İçeriğinin daha fazlası için onu takip edin twitter veya Linkedin.