İşletmelerin dijital dönüşüme giderek daha fazla yatırım yaptığı ve buluta geçiş yaptığı günümüzün dijital ortamında kimlik güvenliği derin bir şekilde gelişiyor.
Bulut teknolojilerinin hızla benimsenmesi ve BT ile OT ortamlarının birleştirilmesiyle birlikte çevre kavramı geçerliliğini yitirdi. Gerçekte kimlik artık yalnızca güvenliğin bir bileşeni değildir. Saldırıların gerçekleştiği savaş alanıdır – Kimlik dır-dir saldırı yüzeyi.
İnsan ve makine kimliklerinin yarattığı devasa hacimle (makine kimliklerinin sayısı insan kimliklerini 45’e 1 gibi şaşırtıcı bir oranda geride bırakıyor) bu genişleyen kimlik manzarası, kötü niyetli aktörler için fırsatlarla dolu geniş bir saldırı yüzeyi oluşturdu.
Son zamanlardaki haberimize göre 2023 CyberArk Kimlik Güvenliği Tehdit Ortamı raporuKuruluşların %98’i bu yıl kimlikle ilgili uzlaşmaların yaşanacağını öngörüyor ve kimlik bilgilerine erişim, Avustralya’daki kuruluşların %39’u için kritik bir risk alanı olmaya devam ediyor.
Makine kimliklerinin hassas verilere insan kimliklerine göre daha fazla erişime sahip olması (%48’e karşı %39) gerçeğiyle birleşen kimliklerin çoğalması, önemli bir zorluk teşkil ediyor. Bu kombinasyon, acımasız saldırganların yenilikçiliğiyle birlikte siber güvenlik risklerini ve dolayısıyla saldırı sıklığını artırıyor. Geçen mali yılda ACSC, 76.000’den fazla siber saldırı raporu aldı; bu, önceki yıla göre yaklaşık yüzde 13 artış gösterdi.
Kimlik güvenliğindeki boşlukların ve yatırım önceliklerinin belirlenmesi bu nedenle çok önemlidir; ancak bunun, kuruluş içinde teşvik edilen güçlü bir siber güvenlik kültürüyle eşleştirilmesi gerekir.
İnsan Kimliklerini Yönetmek – Çalışanlar ve üçüncü taraf kimlikleri
Sağlam bir siber güvenlik stratejisi ve doğru teknoloji yatırımları hayati öneme sahiptir ancak bunların etkinliği, hem çalışanların hem de üçüncü taraf kullanıcıların siber güvenlikle ilgili en iyi uygulamaları anlamalarına ve taahhütlerine bağlıdır.
Yönetim bu denklemde önemli bir rol oynamaktadır. Güvenli uygulamalarla doğru örneği oluşturarak siber güvenlik kültürünün oluşturulmasından sorumludurlar. Ayrıca, riskli davranışları proaktif bir şekilde tespit eden ve ele alan, kurumun güvenlik duruşunu güçlendirmek için işlevler arası işbirliğini teşvik eden süreçleri tanımlamaları gerekir.
Eğitim elbette bulmacanın bir parçasıdır. Ayrıcalıklı Erişim Yönetimi (PAM) veya sıfır güven modelinin uygulanması, bir şirketin güvenlik duruşunu iyileştirmeye ve ‘insan riski’ unsurunu daha iyi yönetmeye yönelik siber güvenlik stratejisinin temel bileşenleridir.
Ancak farklı ortamlar farklı güvenlik yöntemleri gerektirdiğinden tanımı da gelişmektedir. Bulutta, PAM üzerinde uçtan uca tam kontrol ve görünürlük elde etmek için güçlü bir temel gereklidir.
Buradaki zorluklardan biri, dijital dönüşümün hızlı doğasının güvenliğin çoğu zaman buna ayak uyduramaması anlamına gelmesidir. Kuruluşların şirket içi dünyayı nasıl koruyacaklarını anlamak için 20 yılları vardı; standart bir planları vardı. Pandeminin başlamasından bu yana, bulut ve DevOps yaygın bir şekilde benimsendi ve kuruluşlar hızlı bir şekilde uyum sağlamak zorunda kaldı; bunun dezavantajı, bu kimlikleri nasıl güvence altına alacaklarını bulmak için 20 yıllarının olmamasıydı.
Yeni saldırgan yöntemlerini yönetme
Sürekli gelişen teknoloji ortamına rağmen saldırı yolları oldukça tutarlı kalıyor. Kimlik güvenliği saldırı zinciri, kötü niyetli aktörlerin kimlikleri tehlikeye atmak ve oyunsonunu gerçekleştirmek için takip ettiği sık kullanılan yoldur. Kimlik bilgileri çalınır, rakipler daha fazla kimlik bilgisi elde etmek için yanlara doğru hareket eder ve ardından kazandıkları ayrıcalıkları artırıp kötüye kullanırlar.
Ancak saldırganın fırsatı sürekli inovasyonla beslenir. Siber güvenlik ortamı, genişleyen bir saldırı vektörüyle boğuşuyor ve CyberArk Lab’ın son araştırması, yapay zeka araçlarının siber riskleri önemli ölçüde artırmak için kullanılmasının rahatsız edici olasılığını vurguluyor. Yapay zeka tabanlı araçların ortaya çıkışı ve yaygın erişilebilirliği, üretken yapay zeka saldırıları, derin sahtekarlıklar, biyometrinin atlanması, polimorfik kötü amaçlı yazılımlar ve basamaklı tedarik zinciri saldırıları gibi yeni trendlerin ortaya çıkmasına yol açtı.
Yapay zeka araçlarının demokratikleştirilmesinin, çaylak tehdit aktörlerinin güvenlik açıklarını hızlı bir şekilde tespit etmek ve potansiyel olarak fidye yazılımı saldırılarını düzenlemek için yapay zekadan kolayca yararlanabileceği yeni bir çağın başlamasını sağlaması bekleniyor. Bu araçlar ağ mimarisini değerlendirecek ve tespit edilmekten kaçınmak için otonom olarak uyum sağlayacak ve insan ile yapay zeka arasında yaklaşan bir savaşa zemin hazırlayacak.
Bu araçlar aynı zamanda siber güvenlik uzmanlarının siber saldırılara karşı savunmalarını stratejik olarak planlamalarına da olanak tanırken, bunun olumsuz tarafı ise yapay zeka tabanlı araçlardan kaynaklanan tehditlerin, büyüklüğü ne olursa olsun herhangi bir şirketin kendi başına üstesinden gelebileceği çok yönlü ve kapsamlı olmasıdır. Örneğin, ankete katılan güvenlik profesyonellerinin %89’u 2023 CyberArk Kimlik Güvenliği Tehdit Ortamı raporu Yapay zeka destekli tehditlerin 2023’te kuruluşlarını etkilemesi bekleniyor; yapay zeka destekli kötü amaçlı yazılımlar bir numaralı endişe olarak gösteriliyor.
ChatGPT ve diğer benzer yapay zeka tabanlı araçlar, karmaşık polimorfik kötü amaçlı yazılımlar oluşturarak güvenlik açıklarını silahlandırmak için kullanılıyorsa, o zaman herhangi bir kuruluşun yapması gereken ilk şey, herhangi bir kimliği (insan ve makine) güvence altına alarak tüm kaynaklarını korumaktır. Sonuçta, kötü amaçlı yazılımlara veya kimlik avına karşı ilk ve son savunma hattı, tüm kimliklerin erişimini güvence altına almaktır. Ve bu eğilimler proaktif siber güvenlik önlemlerine olan ihtiyacın altını çiziyor.
Yeniliğe yenilikle karşı koymak için kimlik güvenliğinin geleceği sıfır güven kavramında yatmaktadır. Ortam geliştikçe kimliklerin sürekli olarak doğrulanması ve birden fazla güvenlik katmanının eklenmesi etrafında döner.
Bu yeni trendler yüzünden olmasa da, kuruluşların siber güvenlik duruşlarını ve temel güvenlik uygulamalarını iyileştirmeleri için yeniden acil bir durum ortaya çıkmaları, bu kuruluşların Yönetmeliğe uygun olmadıklarının tespit edilmesi durumunda ortaya çıkabilecek yasal ve düzenleyici sonuçlardır. Avustralya Kritik Altyapı Risk Yönetimi Programı.
Avustralya ekonomisinin hiçbir sektörü siber saldırıların etkilerinden muaf değildir. Bununla birlikte, son CyberArk teknik incelemesinde de tartışıldığı gibi, kritik altyapılara yönelik siber saldırılar kamu güvenine zarar verdiğinden ve ülkenin sosyal ve ekonomik refahı üzerinde önemli bir etkiye sahip olduğundan, kritik altyapı endüstrileri daha da fazla inceleme altındadır: “Avustralya’nın Kritik Altyapı Güvenliği Yasasının Ele Alınması”. Kritik altyapının tehlikeye atılması, diğer şeylerin yanı sıra, ülkenin ulusal savunmayı yürütme ve ulusal güvenliği sürdürme yeteneğini de etkiliyor.
Sonuç olarak, tüm kimliklerin güvence altına alınması, Hükümet gereklilikleri ile uyumlu olarak hayati bir uyumluluk unsuru olan tutarlı risk azaltımının sağlanması için esastır.
Sürekli değişen bu dijital ortamda, kimlik güvenliğinin gelişen doğasını anlamak ve ortaya çıkan trendlerin önünde kalmak yalnızca bir seçenek değildir; bu bir zorunluluktur. Kuruluşlar yalnızca yenilikçi yaklaşımları benimseyerek karmaşık kimlik güvenliği ağında gezinmeyi ve sürekli değişim çağında değerli varlıklarını korumayı umut edebilir.
Neden Kimlik Güvenliğinin korunmasını benimseme zamanının geldiğine dair daha fazla bilgiye ve kritik altyapı sektörlerinde faaliyet gösteren kuruluşlara yönelik kaynaklara erişmek için CyberArk’ın web sitesini ziyaret edin. Burada.