BT liderleri, kuruluşlarının BT güvenlik risklerine maruz kalmasını ve saldırı yüzeyini en aza indirmek için iç süreçlerini ele almalıdır. İş BT ortamları geliştikçe bu durum daha da karmaşık hale geliyor.
Liderlerin yalnızca hangi çalışanların ve iş rollerinin hangi BT sistemlerine erişim gerektirdiğini değil, aynı zamanda belirli bir BT kaynağına dahili veya harici bir sisteme erişim izni verildiğinde insan dışı erişim kontrollerini de dikkate alması gerekir.
Bununla birlikte, ISACA San Francisco Şubesi başkan yardımcısı ve ISACA yeni ortaya çıkan trendler çalışma grubu üyesi Varun Prasad’ın da belirttiği gibi, BT’lerinin giderek artan boyutu ve karmaşıklığı nedeniyle şirketler belirli geleneksel erişim yönetimi süreçlerini gözden kaçırma veya acele etme eğiliminde oluyorlar. manzara.
Prasad, “Ortamdaki tüm varlıklara erişim yetkilerinin uygun yönetim personeli tarafından periyodik olarak gözden geçirilmesi önemlidir” diyor ve bunun bir “onay kutusu” etkinliği olmaması gerektiğini, ayrıcalık erişim sızıntısını tespit etmek için erişim yetkilerinin kapsamlı bir değerlendirmesini içermesi gerektiğini ekliyor.
Prasad, incelemeye dahil edilen hesapların ve yetkilerin, üretim sistemlerine erişim sağlayanların ötesine geçmesi gerektiğine inanıyor. Aynı zamanda insan olmayan tüm kimlikleri ve kaynak kodu depolarına, anahtar depolarına, gizli kasalara ve veri depolarına erişimin gerekli olduğu yerleri de içermelidir.
Siber güvenlik olaylarının ana nedeninin çoğunlukla insan hatası olduğu göz önüne alındığında Prasad, hesap provizyonu, provizyonun kaldırılması ve erişim incelemeleri gibi temel süreçlerin otomatikleştirilmesini öneriyor. Önerdiği bir diğer iyi uygulama da kuruluşun merkezi kimlik erişim yönetimi (IAM) platformunu, çalışanların işten çıkarılmasını otomatikleştirmenin bir yolunu sunan kurumsal insan kaynakları yönetimi sistemi ile arayüz oluşturmaktır.
Ortamdaki tüm varlıklara erişim yetkilerinin uygun yönetim personeli tarafından periyodik olarak gözden geçirilmesi önemlidir.
Varun Prasad, ISACA
“Tüm erişim haklarının iş sorumluluklarıyla orantılı olmasını sağlamak için erişim inceleme süreci de periyodik aralıklarla otomatikleştirilmelidir” diye ekliyor.
Sosyal mühendislik, birisinin şifresini çalmak için iyi anlaşılmış bir saldırı vektörü olsa da Prasad, son siber saldırı modellerinin analizinin, kimlik avı ve sosyal mühendislik kullanarak siber saldırganların çok faktörlü sistemlere erişmek için oluşturulan benzersiz kodları da çalabildiğini gösterdiğini belirtiyor. kimlik doğrulama (MFA).
Süreçteki insan unsurunu ortadan kaldıracağından, kuruluşları geleneksel kod tabanlı MFA yöntemlerini kullanmak yerine kimlik avına karşı dayanıklı MFA tekniklerini uygulamaya çağırıyor. Kimlik avına karşı popüler MFA teknikleri arasında web tabanlı kimlik doğrulama (WebAuthn) ve genel anahtar altyapısı (PKI) tabanlı kimlik doğrulama yer alır.
Forrester’a göre kanıtlanmış makine öğrenimi ve yapay zeka modellerinin mirasını temel alan üretken yapay zeka (GenAI), kuruluşların şirket içi uygulamalarda, hizmet olarak yazılım (SaaS) uygulamalarında ve bulut altyapı platformlarında yeni kimlik tehditlerini tanımlamasına yardımcı olabilir.
Forrester tarafından belirlenen bir IAM eğilimi, bazı araçların bu tehditleri engellemek için otomatik olarak kimlik ve erişim politikaları oluşturmasıdır. Bazı IAM sistemleri, teknik bilgisi olmayanların sorguları ve raporlamayı daha kolay çalıştırabilmesini sağlamak için GenAI’yi de kullanıyor.
“Vatandaş yöneticiler ve iş kullanıcıları, ‘Kimlik yetkisi perspektifinden hangi beş uygulama en risklidir?’ gibi sorular sorabilir. ve IAM sistemlerinden doğal dilde yanıtlar alın,” diyor Forrester analistleri 2024’te kimlik ve erişim yönetimini şekillendirecek en önemli trendler rapor.
IAM’yi yönetmek için kullanılan platformlar, araçlar ve yardımcı programlardaki (bazıları Forrester’ın bahsettiği entegre yapay zeka ve analitiği sunan) önemli ilerlemelere rağmen Prasad, erişim yönetiminin hala güvenlik uygulayıcıları için en önemli önceliklerden biri olduğunu, çünkü bunun için çok fazla alan bulunduğunu söylüyor. gelişim.
Örneğin Cloud Security Alliance’ın verilerine göre IAM ile ilgili riskler, bulut bilişime yönelik en büyük iki tehdit arasında yer alıyor. Prasad ayrıca Kimlik Tanımlı Güvenlik İttifakı’nın 500 büyük kuruluşla yaptığı ankete de işaret ediyor; bu ankette bunların %84’ünün geçen yıl kimlikle ilgili bir ihlalden etkilendiği ortaya çıktı.
En azından IAM perspektifinden bakıldığında iyi haber, Amazon Web Services ve Microsoft Azure gibi genel bulut hizmet sağlayıcılarının, bulut ortamlarına erişmek için kimlik avına karşı dayanıklı MFA uygulama yetenekleri sağlamasıdır. Prasad, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) bu teknikleri kimlik avına karşı koruma için altın standart olarak gördüğünü ve bunların sıfır güven stratejisinin bir parçası olarak kullanılmasını zorunlu kıldığını söylüyor.
Güvenli kültür
Prasad, IAM teknolojisinin ötesinde, şirketlerin güçlü bir güvenlik bilincine sahip kültür oluşturmasını ve temel IAM hijyenini uygulamasını, yani en az ayrıcalık ilkesini izlemesini, tüm kimlikleri izlemesini, kullanımı izlemesini ve yetkileri düzenli aralıklarla gözden geçirmesini öneriyor.
Veri ihlallerinin ve siber olayların ardındaki IAM ile ilgili çok sayıda temel neden göz önüne alındığında, iyi yönetilen bir IAM ortamının iyi yönetilen bir IAM ortamının temeli olması nedeniyle BT ortamında IAM yönetişim süreçlerinin sorunsuz ve verimli bir şekilde operasyonel hale getirilmesinin kritik önem taşıdığını ekliyor. güçlü siber güvenlik duruşu.
Bu nedenle, IAM esasen statik bir savunma alanı sağlar ve siber kimlik avı ve fidye yazılımı saldırılarına karşı savunmanın merkezinde yer alması gerekirken, PA Consulting’den siber güvenlik uzmanı Andrew Peel ve veri ve bulut güvenliği uzmanı Scott Swalling, kuruluşları şu çağrıda bulunuyor: ihlal edileceğini kabul edin. BT güvenlik liderlerinin, sıfır güven gibi yaklaşımlar da dahil olmak üzere tehdit tespitini ve yanıtını proaktif bir şekilde sağlamak için daha geniş güvenlik operasyonları yeteneklerini kullanmalarını öneriyorlar.
Peel ve Swalling, kuruluşların, teşebbüs edilen veya mevcut bir uzlaşmanın göstergesi olabilecek sinyalleri tespit etme ve analiz etme yeteneklerini geliştirmelerini önermektedir. Örneğin, kullanım ve ihlallere ilişkin trend analizi, güvenlik açıklarını belirlemek ve düzeltmek için kullanılabilir.
Bu temelde insanların karşılaştığı bir zorluktur, yalnızca teknolojik bir sorun değil. Güvenlik stratejimizde insan faktörlerini ön planda tutarak siber saldırılara, kimlik avına ve fidye yazılımlarına karşı daha etkili ve dayanıklı bir duruş oluşturabiliriz
Mike Gillespie, Advent IM/CSCSS
“IAM ve ayrıcalıklı erişim yönetimi günlüklerini yakalayan güvenlik bilgileri ve etkinlik yönetimi gibi tehdit algılama araçları, yerleşik taktiklerle bir araya getirildiğinde, hakların artırılması gibi anormal etkinlikleri tespit edip bunlara yanıt vererek başarılı bir kimlik avı kampanyasının etkisini azaltabilir” diyorlar. .
Peel ve Swalling’e göre, siber, kimlik avı ve fidye yazılımı saldırılarıyla başarılı bir şekilde mücadele edilecekse, tutarlı bir kimlik merkezli güvenlik yaklaşımının bir kuruluşun savunmasının temel bir parçası olması gerekiyor. Kaynaklara erişimi kontrol etmek için yüksek kaliteli kimlik verileri ve teknoloji hizmetlerinin kullanımının, proaktif tehdit algılama ve yanıt yetenekleri ve kullanıcı eğitimi ile birlikte kullanılmasının, hızla gelişen siber saldırılara karşı tasarlanmış bir güvenlik duruşu için hayati önem taşıdığına dikkat çekiyorlar.
Bağımsız güvenlik danışmanlığı Advent IM’in genel müdürü ve kurucu ortağı ve C3i Stratejik Siber Uzay ve Güvenlik Bilimi Merkezi’nin (CSCSS) başkan yardımcısı Mike Gillespie, “İnsan sorununu tek başına teknolojiyle çözemeyiz” diyor.
Gillespie, sonuçta erişime ihtiyaç duyan, kimliklerinin yönetilmesi gereken ve kimliğinin doğrulanması gereken kişiler olduğundan güvenliğin daha insan merkezli bir yaklaşıma geçmesi gerektiğine inanıyor ve şu anda yanlışlıkla olsa bile başarısızlıklara olanak sağlayanlar da onlar. .
“Bunun yalnızca teknolojik bir sorun değil, temelde insanlara yönelik bir sorun olduğunun farkına varmalıyız. Güvenlik stratejimizde insan faktörlerini ön planda tutarak siber saldırılara, kimlik avına ve fidye yazılımlarına karşı daha etkili ve dayanıklı bir duruş oluşturabiliriz” diyor Gillespie.
Ortaya çıkan tehditler
Geçtiğimiz yıl birçok IAM teknolojisi sağlayıcısı siber saldırganların hedefi oldu. Bunun, BT karar vericilerinin IAM ürün ve hizmetleri sağlayıcılarını nasıl seçtikleri konusunda sonuçları vardır.
Analist Forester, kuruluşların IAM sağlayıcılarından dahili operasyonel süreçleri ve güvenlik uygulamalarının yanı sıra bulut tabanlı SaaS IAM tekliflerini destekleyen güvenlik konusunda güvence aradıklarını bildirdi.
İçinde 2024’te kimlik ve erişim yönetimini şekillendirecek en önemli trendler Forrester raporuna göre, müşteriler artık IAM sağlayıcılarının SOC 2, FedRAMP, ISO 27002 ve PCI gibi düzenlemelere ve çerçevelere uymasını talep ediyor.
Ayrıca müşteriler, IAM sağlayıcısının iş gücünün incelendiğine dair güvence arıyor. Rapor, BT güvenlik şeflerinin istisnasız tüm iş gücü işletme ve yönetici kullanıcıları için çok faktörlü kimlik doğrulama talep etmesini ve tasarım gereği güvenli ve varsayılan olarak güvenli ilkelerini benimseyen IAM sağlayıcılarına öncelik vermesini önermektedir.
Genel olarak, IAM gibi teknolojiler siber saldırılarla mücadelede destekleyici bir rol oynasa da bireylerin doğru seçimleri yapmasına bağlıdır. Etkili bir savunma oluşturmak için Gillespie, kuruluşların doğru teknolojiyle desteklenen, iyi eğitimli, güvenlik bilincine sahip personeli güçlendirmesi gerektiğini söylüyor.
“BT’nin keyfi olarak erişim kısıtlamaları getirmesini sağlamak yerine, ekiplerimizi erişim ihtiyaçlarını belirlemeye dahil edelim” diye ekliyor.
Gillespie, işbirliğine ve anlayışa öncelik vererek hem kişileri hem de çalıştıkları kuruluşları gerçekten koruyan bir güvenlik çerçevesi oluşturmanın mümkün olduğunu söylüyor.