Güvenlik söz konusu olduğunda, göremediğiniz şeyi koruyamazsınız. Bu nedenle, verilerini görselleştirebilen ve anlayabilen kuruluşlar, siber saldırıları ve ihlalleri engellemek için çok daha iyi bir konumdadır. Gözlemlenebilirlik, işletmelerin siber saldırıları tespit etme ve düzeltme yöntemlerini değiştirmenin en iyi yoludur – o kadar ki, gözlemlenebilirlik pazarının 2026 yılına kadar 2 milyar dolara ulaşması bekleniyor.
Gözlemlenebilirlik, kimlik güvenliği alanında ana tartışma konusu olmasa da, ekiplerin ihlalleri belirlemesine ve önlemesine olanak tanıyan saldırı yüzeyine ışık tutan yapbozun önemli bir parçasıdır. Güvenlik ekipleri, gözlemlenebilirliği kimlik yönetimiyle katmanlaştırarak, kimliğe dayalı tehditler hakkında daha fazla veriye ve saldırıları belirleme ve önleme yarışında yıkılacak daha az siloya erişebilir.
Gözlenebilirliğin Tehdit Manzarasındaki Rolü
Gözlemlenebilirlik, kuruluşların sistemlerini tam olarak görmelerini, anlamalarını ve yönetmelerini sağlar. Örneğin, veri gözlemlenebilirliği, işletme liderlerine sahip oldukları verilerin, bunların nerede saklandığının ve kimlerin erişebileceğinin net bir resmini verir. Ekiplerin sistemlerinin, sunucularının ve uygulamalarının düzgün çalışıp çalışmadığını bilmesini sağlar ve arıza sürelerini veya güvenlik açıklarını belirleyebilir. Yakın tarihli bir rapor, en gelişmiş gözlemlenebilirlik uygulayıcılarının, gözlemlenebilirliğe yeni başlayanlar için kesinti maliyetlerini %90 oranında düşürerek 23,8 milyon dolara kıyasla 2,5 milyon dolara indirdiğini ortaya koydu.
Bu, özellikle kimlik saldırı yüzeyini yönetme söz konusu olduğunda doğrudur. Çalışanların bağlı olduğu uygulamaların ve sistemlerin yayılması katlanarak artıyor ve güvenlik ekiplerinin hangi tür erişimlerin meşru ve hangilerinin riskli olduğunu belirlemek için özel bilgilere ihtiyacı var. Ekipler, bu sistemlerde tam görünürlük elde ederek, zaman içinde erişimle ilgili ölçümleri izleyebilir ve daha net politikalar belirleyebilir.
Normal Temel Çizgisi Oluşturma
Gözlemlenebilirlik yalnızca “normal davranış” için bir temel oluşturmaya yardımcı olmakla kalmaz, aynı zamanda kimlik ve erişim yönetimi (IAM) sistemlerinin ticari operasyonları koruyan ve olumlu iş sonuçlarına doğrudan katkıda bulunan değerli kararlar almak için verileri kullanmasına yardımcı olur. Davranış odaklı yönetişim olarak bilinen bu strateji, bir işletmenin ne yaptığını varsaydığından ziyade, insanların kimliklerini ve erişim ayrıcalıklarını gerçekte nasıl kullandıkları hakkında ayrıntılı veriler alır.
Temel belirlemede en çok üç tür veri önemlidir:
- Metrikler: Tepki süresi, hata oranları, uyarılar vb. gibi temel performans göstergeleri (KPI’ler) dahil olmak üzere performansı ölçme.
- izler: BT ekiplerinin bir uyarının kaynağını bulmasına izin verme (yani, bir oturum açma işleminin hangi bölümünün hatalara karşı savunmasız olduğu)
- Kütükler: Erişim etkinliklerinin kim, ne, nerede, ne zaman ve nasıl sorularını bağlamsal olay bilgileriyle yanıtlama
Örneğin, gözlemlenebilirliği kullanan bir güvenlik ekibi, çalışanların bir sistemde ne zaman oturum açıp kapattıkları, konumları ve tuş vuruşları gibi belirli ölçümleri izleyebilir ve ardından bir temel oluşturmak için 60 veya 90 günlük bir süre içindeki verilere bakabilir. “normal” kullanım için. Bir günlük, bir çalışanın 15 uygulamaya erişimi olduğunu ve düzenli olarak yalnızca beşini kullandığını gösteriyorsa ekip, riski en aza indirmek için kullanılmayan uygulamalara erişimi iptal edebilir.
Şirketin yalnızca ABD’li çalışanları ve Kuzey Amerikalı tedarikçileri varsa ve Singapur’dan bir oturum açma girişimi varsa, bunu kırmızı bayrak olarak kaydetmek ve araştırmak daha kolaydır. Verilerde ve bunlarla ilişkili kalıplarda daha iyi gözlemlenebilirlik, işletmelerin potansiyel ihlalleri hızlı ve verimli bir şekilde tespit etmesine yardımcı olabilir.
Gözlemlenebilirlikten en iyi şekilde yararlanmak için, bir işletmenin yönettiği kimlikler hakkında genel bir anlayış elde etmek için bu üç tür veri birlikte kullanılmalıdır.
Üçüncü Taraf Gözlenebilirliği
Veri gözlemlenebilirliği sistemlerin içine yerleştirilmelidir; genellikle öyledir, ancak müşteriler farklı yetenekler talep ettikçe içeriği değişir. Örneğin, müşteriler bir hizmet olarak kimlik doğrulama istiyorsa ve bir kimlik doğrulama modülü takmayı ve bunu üçüncü bir tarafın halletmesine izin vermeyi seçerlerse, gözlemlenebilirliklerini bir dereceye kadar üçüncü tarafa teslim ederler. Bu müşteriler, uygulamanın kimlik doğrulama modülleriyle ilgili performans ölçümlerine erişemezler ve üçüncü taraftan ayrıntılı ayrıntılar istemedikçe temel davranışın gerçekte nasıl göründüğünü bilemeyebilirler.
Bir güvenlik ekibi, kimlik güvenliği altyapısını ne kadar inşa etse de satın alsa da, gözlemlenebilirliğin en baştan yerleşik olduğundan emin olmalıdır. Örnek olarak Netflix’i ele alalım: Şirket, yılın başında, kullanıcıların uygulamaya ev ağlarıyla ilişkili olmayan cihazlardan erişmesini engellemek için şifre paylaşımını ortadan kaldırmak için bir plan başlattı. Şirket, kullanıcı tepkisi üzerine bu planından hızla vazgeçse de, orijinal fikir, kimlik güvenliği için gözlemlenebilirliğin nasıl kullanılacağına dair ilginç bir vaka çalışması sunuyor. Doğru bir kimlik yönetimi politikası belirlemek için Netflix’in kullanıcı verilerini – kullanıcıların en çok oturum açtığı yerden günün en çok hangi saatinde izleyeceklerine kadar her şeyi – işleyebilmesi, görselleştirebilmesi ve tam gözlemlenebilirliği elde edebilmesi gerekirdi.
Peki, bu örnekten ne çıkarabiliriz? İşletmeler, bu verileri kullanmak ve doğru politikalar belirlemek için veri öncelikli gözlemlenebilirlik çerçevesini nasıl kurabilir? Güvenlik için veri öncelikli bir gözlemlenebilirlik yaklaşımı oluşturmaya gelince, tüm kuruluşların bu en iyi uygulamaları izlemesi gerektiğini öneriyorum:
- Kurumsal iş önceliklerine dayalı temel gözlemlenebilirlik ölçütleri
- Gözlemlenebilirlik, veri erişimi ve yönetişim kültürü konusunda yöneticilerin katılımı ve kurum çapında eğitim
- Temel ve “anormal” davranışı belirlemek için kullanılabilecek veri kaynaklarını (metrikler, günlükler ve izler gibi) merkezileştirmeye ve standartlaştırmaya yönelik bir ardışık düzen
- Uyarı gürültüsünü ayıklayabilen analiz araçları ve otomatikleştirilmiş süreçler (RPA yazılım robotları gibi)
İşletmeler, kimlik yönetimi konusunda ihtiyaç duydukları verilerin çoğuna zaten sahiptir. Gözlenebilirlik için bir altyapı uygulayarak, güvenlik ekipleri gürültüyü aşabilir ve erişim ve kimlik tabanlı tehditler hakkında daha iyi kararlar alabilir.