DROPBOX, Microsoft, Okta-sadece bunların hepsi büyük yazılım şirketleri değil, her biri tehlikeye atılan bir kimlik nedeniyle bir tedarik zinciri saldırısına kurban etti. Güvenlik endüstrisi onlarca yıldır insan kimliklerini korumaya öncelik verdi, ancak Gen-AI araçlarının akışı ve otomasyondaki artışla, tamamen yeni bir saldırı yüzeyi açarak yeni kimlikler ortaya çıktı: insan olmayan kimlikler (NHIS). NHIS sömürünün odak noktası olmaya devam ettikçe, kuruluşlar güvenlik stratejilerini “Kendinizi potansiyel tehditlere karşı nasıl koruyorsunuz?” Diye sormaktan dönmelidir. “Kendinizi kendi satıcılarınıza karşı nasıl koruyorsunuz?”
İnsan olmayan kimlik saldırısı yüzeyi: büyük ve (değil) sorumlu
İnsan kullanıcı kimlikleri iyi kurulmuş olsa da, çok faktörlü kimlik doğrulama (MFA), IP kısıtlamaları ve diğer sağlam protokoller, insan olmayan kimlikler, genellikle API anahtarları, oauth jetonları, hizmet hesapları ve diğer sırlar, farklı bir meydan okuma. Bu kimlik bilgileri, genellikle önemli ayrıcalıklara ve minimum gözetim ile bir ağ içinde görevleri iletişim kurmak ve gerçekleştirmek için uygulamalar, hizmetler ve otomatik süreçler tarafından kullanılır.
İnsan olmayan kimlikler genellikle kapsamlı ve izin veren doğaları nedeniyle güvenlik açıkları ile doludur. Günlük olarak oluşturulan her 1000 çalışan için yaklaşık 20.000 insan olmayan kimlik vardır-bu da güvenlik ekiplerinin NHI’ları izlemeye ve yönetmeye devam etmesi için inanılmaz derecede yüksek bir çubuk yükseltir. Sonuç olarak, bilgisayar korsanları bu zayıflıklardan yararlanır ve genellikle kritik sistemlere ve hassas verilere yetkisiz erişim sağlar.
Tedarik zinciri saldırıları çekirdektir
Bu hikaye, son birkaç ay içinde bile birkaç kez, Okta ve Microsoft’tan Dropbox ve Snowflake’e kadar, tedarik zinciri saldırıları siber suçlular için tercih edilen bir yöntem haline geldi. Yazılım sağlayıcılarını hedefleyerek, bilgisayar korsanları sadece bir tanesine değil, değerli verilerle zengin birden fazla ağa “altın bilet” kazanırlar. Bu sorunu birleştirmek, uygulamaların ve araçların çoğalmasıdır. Otomasyon ve bulut ortamları ile, bir işletmenin ekosistemi, sistemlerine erişimi olan binlerce farklı satıcı olmasa da yüzlerce’den yapılmıştır. Her şey otomatik ve bulut tabanlı olduğu için kuruluşlar tüm bu satıcılara doğru görünürlüğe sahip değildir. Bu bağlantıların tek başına hacmi – ve herkesin bu hizmetleri ekleyebileceği gerçeği – otomatik araçlar olmadan izlemeyi ve izlemeyi imkansız hale getirir.
Kimlik Mücadelesini ele almak
Her satıcı, araç, uygulama vb., Jeton yönetimini ve uygulama rızasını farklı şekilde ele aldığından, olay müdahale çabaları genellikle güvenlik platformlarının parçalanmış doğası nedeniyle yetersiz kalır. Peki bir kuruluş NHI’larını nasıl korumaya başlar? Üçüncü taraf satıcılarınız ve genel güvenlik duruşunuz üzerinde bir ele almaya başlar.
- Kapsamlı bir güvenlik stratejisi uygulayın: BT yöneticileri, geliştiriciler ve bulut mimarları dahil olmak üzere çeşitli rollerde gizlilik, üçüncü taraf risk yönetimi (TPRM) ve güvenlik çabalarını hizalayın. Bu, bir saldırı durumunda güvenlik önlemlerini artırmak ve olay müdahale ekiplerinin etkinliğini artırmak için gereklidir.
- Bağlı tüm NHI’lerin sürekli ve gerçek zamanlı envanterine sahip olduğunuzdan emin olun: Her NHI bağlantısını ve bakış açısını görebiliyorsanız, güvenlik ekipleri riskli bağlantıları daha iyi kavrayacak ve tehdide öncelik verebilecek.
- Odak iyileştirme çabaları: Bir NHI’nın erişebileceği hizmetler ve kaynaklar hakkında ayrıntılı bilgi verin. Mümkün olduğunca spesifik olun, böylece boşluklar ve potansiyel riskler yok.
- Mümkün olduğunca proaktif olun: Etkinlik günlükleri oluşturun, otomatik iş akışları oluşturun ve güvenlik ekipleri için araştırma kılavuzları sağlayın. Tüm bunlar, herhangi bir atipik NHI aktivitesini veya diğer potansiyel riskleri gerçek zamanlı olarak yönetmeye yardımcı olacaktır.
Bulut güvenliği ve otomasyon fırlatılmaya devam edecek, ancak insan olmayan kimlikler ve bunların ilişkili riskleri de olacak. Hacker’ları geride bırakmanın ve hem iç hem de harici olarak kendi ortamınızın kontrolünü geri almanın zamanı geldi. Bir dahaki sefere bir satıcıyla etkileşime girdiğinizde, NHIS’i merkezi bir tartışma konusu haline getirin. Bu kimlikleri güvence altına almak için stratejileri ve taktikleri hakkında bilgi alın. Bu zorlukları işbirliği içinde ele almak, bunları kendi başınıza yönetmeye çalışmaktan çok daha etkilidir.
Yazar hakkında
Idan Gour, işletmenin insan dışı kimlikleri güvence altına almak için güvenilir çözümü olan Astrix Security’nin CTO ve kurucu ortağıdır. Gour, İsrail Askeri İstihbarat Birimi 8200’deki stratejik roller ve derin içgüdündeki yazılım geliştirme pozisyonları da dahil olmak üzere askeri ve kurumsal ortamları kapsayan on yılı aşkın siber güvenlik ve liderlik uzmanlığına sahiptir. Idan’a çevrimiçi olarak ulaşılabilir: [email protected] ve @astrixsecurity ve şirket web sitemizde https://astrix.security/.