Siber güvenlikte temelden yanlış olan bir şeyler var. Parolalar ve kimlik bilgileri, son altmış yıldır olduğu gibi bugün de erişimi kontrol etmek için kullanılan en yaygın yöntem olmaya devam ediyor, ancak savunma açısından güvenilmezler ve nefret derinlere işliyor.
Erişim kontrolü her zaman tuhaf, eski bir modelin türevi olmuştur. Netenrich CISO’su Chris Morales diyor ve şifrelerden nefret ediyor – hem de çok.
“Yaptığımız tüm paraya ve güzel şeylere rağmen, tüm güvenliğimiz boktan bir şifre yüzünden çöküyor” dedi.
“Sorunumuz, erişimin ya hep ya hiç olması ve şifrenin bildiğiniz bir şey olması.” Morales dedi ki. “Yani eğer bir şey biliyorsanız, güvenilir sayılırsınız ve gidip her şeyi alabilirsiniz.”
Siber Güvenlik Dive’ın görüştüğü üç düzineden fazla siber güvenlik lideri, erişimin ciddi şekilde bozuk bir sistem olduğu yönünde geniş bir kabul görüyor. Ancak işletmeler günümüzde en yaygın biçimleriyle şifreler ve kimlikler olmadan pek bir şey yapamazlar.
Bu sorun yeni değil; internetten daha eski. Zayıf kimlik yönetimi kronik bir durumdur.
“Kimliğin bazı durumlarda oyunun tamamı olduğunu düşünüyorum” Google Cloud’daki CISO ofisinin yöneticisi MK Palmore, Cybersecurity Dive’a şunları söyledi:
Kimlik bilgileri bolluğu
Erişim sistemlerin yapısının temeliyse, şifreler de her şeyi bir arada tutan bağ dokusudur.
Kuruluşların işlerini halletmek için binlerce uygulama ve hizmeti kullanması alışılmadık bir durum değil. Ortalama büyük işletmenin kullandığı 367 yazılım uygulaması ve sistemiForrester’a göre.
Bunların her biri muhtemelen bir kullanıcı adı ve şifreye bağlı, ancak tekli oturum açma yaygınlaşıyor.
Bu kimlik bilgisi bolluğu, parola yöneticileri, tek oturum açma hizmetleri, çok faktörlü kimlik doğrulama ve kimliği doğrulamak ve izinleri uygulamak için tasarlanmış diğer araçları içeren bir kimlik ve erişim yönetimi sistemlerini besliyor.
“Yaptığımız onca paraya ve güzel şeylere rağmen, tüm güvenliğimiz boktan bir şifre yüzünden çöküyor.”
Chris Morales
Netenrich CISO’su
Siber güvenlik uzmanları genellikle şifre yöneticilerinin veya MFA’nın etkinliğini belirtmekten kaçınır çünkü bu araçlar, ne kadar hatalı olursa olsun, yine de bir kuruluşun güvenlik duruşunu güçlendirir.
Bu araçlar kullanıcılar için erişimi kolaylaştırır ve kuruluşlar için riskleri yoğunlaştırır. Geçen yıl meydana gelen çoklu, geniş kapsamlı saldırılar, uyarıcı bir öykü niteliğindedir.
A karşı sürekli saldırı Son Geçiş aylarca farkedilmeden kaldı ve en yüksek profilli güvenlik hatalarından biri 2022 Şifrelenmiş şifreler ve kullanıcı adları da dahil olmak üzere tüm müşteri kasası verilerinin bulut tabanlı bir yedeği, henüz kimliği belirlenemeyen bir tehdit aktörü tarafından çalındığında.
Saldırı, savunmacılar için bu zor durumun altını çizdi.
Kimlik avı ve çalınan ya da ele geçirilen kimlik bilgilerinin kullanılması, iki sorun olmaya devam ediyor en yaygın saldırı vektörleriIBM Security’nin “Veri İhlali Raporunun Maliyeti.”
Kimlik bilgisi manipülasyonu ve kimlik bilgilerine dayalı saldırılar, göre bir krizdir LastPass CEO’su Karim Toubba. “Elimizde bulunan veriler sayesinde arkamızda oldukça ilgi çekici bir hedef olacak [in] süreklilik” Toubba Siber Güvenlik Div’e söyledie.
LastPass bu konuda yalnız değil.
Tek oturum açma sağlayıcısı Okta kimlik avı saldırısına uğradıA çiğneme ve onun vardı GitHub kaynak kodu çalındı geçen sene. Twilio’nun yaygın olarak kullanılan iki faktörlü kimlik doğrulama hizmeti geçen yaz ele geçirildi. birden fazla çalışan aldatıldı Tehdit aktörlerine kimlik bilgilerini sağlama konusunda.
“Bir şeyi merkezileştirdiğinizde iyi bir hedef vermiş olursunuz” dedi Michael Sikorski, Palo Alto Networks Birim 42’de CTO ve Başkan Yardımcısı. “Kraliyet mücevherleri tek bir yerde.”
Kimliğin kötüye kullanılması sistem bütünlüğünü bozar
Kimlik doğrulama eksiklikleri siber saldırıları körükler ve yetkisiz kullanıcılara erişim izni verildiğinde kötü şeyler olabilir ve olacaktır.
Tehdit aktörleri, kurumsal sistemlere meşru görünen erişim elde ederek veri hırsızlığı, fidye yazılımı ve gasp kampanyaları gibi her türlü tahribata neden olur.
“Bütün bu ihlaller, tüm bu saldırılar, bunların büyük çoğunluğu, özellikle kullanıcı kimlik doğrulaması ve şifreler olmak üzere, zayıf bilgi tabanlı kimlik bilgilerinden kaynaklanıyor.” FIDO Alliance İcra Direktörü Andrew Shikiar şunları söyledi.
“Temel sorun, birincil kimlik doğrulama faktörü olan paroladır” Şikiar söz konusu. “60 yıldır kullanıcı kimlik doğrulaması için bu uygun olmayan yönteme güveniyoruz.”
Erişimi onaylamak veya reddetmek için uygulanan ikili mekanizma şifreleri, sorunun kökeninin altını çiziyor.
Erişim her senaryoda ilk savunma hattı olmayabilir. Cloudflare CEO’su Matthew Prince dedi, ancak “bu en önemli savunma hattıdır çünkü endişe duyduğumuz diğer tüm güvenlik sorunlarını çok daha kolay yönetilebilir hale getirir.”
IBM Security X-Force’a göre, karanlık ağda satılan varlıkların büyük çoğunluğunu, yani neredeyse %90’ını oluşturan kimlik bilgileri konusunda işlerde patlama yaşanıyor. Liste başına neredeyse 11 $ ortalama fiyata satılıyorlar.
“Bazı durumlarda kimliğin oyunun tamamı olduğunu düşünüyorum.”
MK Palmore
Google Cloud’da CISO ofisinin yöneticisi.
Genellikle kimlik avı ve veri sızıntılarıyla açığa çıkan bu kimlik bilgilerini ele geçiren siber suçluların potansiyel getirisi çok büyük.
Verizon’a göre çalınan kimlik bilgileri ihlaller için en popüler giriş noktasıdır:Veri İhlali Araştırmaları Raporu.” Ele geçirilen kimlikler tehdit aktörleri tarafından istismar edildi Tüm ihlallerin 5’te 4’ü Geçen yıl CrowdStrike tarafından incelendi.
Tehdit aktörleri de geçerli hesap kimlik bilgileriyle kritik altyapılara saldırıyor. Onlar sorumluydu Kritik altyapıya yönelik tüm saldırıların yarısından fazlası Siber Güvenlik ve Altyapı Güvenliği Ajansı’na göre 2022 mali yılında kuruluşlar.
Sistem erişimi ve kimlik hayati öneme sahiptir ve bunu hem saldırganlar hem de savunucular biliyor.
“Kimlik ve erişim yönetimi siber güvenliğin açık ara en önemli bileşenidir çünkü siber güvenliğin çekirdeğidir. Her şey burada başlıyor” Keeper CEO’su ve Kurucu Ortağı Darren Guccione şunları söyledi.
Organizasyonlar riski tasarım yoluyla sınırlayabilir
Kimlik tuzaklarından kaynaklanan riskleri sınırlamak, yakın vadede şifreleri tamamen ortadan kaldırmaktan daha gerçekçi olabilir, ancak bu izinlerle ilgilidir ve bu da zorluklarla doludur.
BT altyapısına erişimin hala çok geniş olduğunu ve ayrıcalıklı hesapların fazla dikkate alınmadan dağıtıldığını söyledi John Dwyer, IBM Security X-Force araştırma başkanı.
Fidye yazılımı başarılı çünkü tehdit aktörleri bu düz mimariden yararlanıyor ancak “en iyi uygulama, tüm kariyerim boyunca bunlardan hiçbirini yapmamak oldu.” Dwyer saiD.
Sistemlere erişime izin vermek karmaşıktır ancak siber güvenliğin yeni temellerinden biri olarak kabul edilmesi gerekmektedir. Kelly Shortridge, Fastly’nin CTO ofisinde kıdemli baş mühendis.
Bu uygulamaya bağlı kalan kuruluşlar, sistemlerini, bir tehdit aktörünün geliştiricinin kimlik bilgilerini alması etkisini azaltacak şekilde tasarlayabilir ve Savunma stratejilerini dayanıklılık etrafında yeniden yönlendirinShortridge dedi.
Shortridge, “Başarısızlık kaçınılmazdır, aynı zamanda her zaman oluyor” dedi. “Buna hazırlanabilmemiz,” nezaketle yanıt verebilmemiz ve gelişen koşullara uyum sağlayabilmemiz gerekiyor.
Siber güvenlik yetkilileri, IAM’in faydalarını kabul ederken aynı zamanda kuruluşları bu politika ve araçlarda ortaya çıkan birçok sorun konusunda uyarıyor.
“Tüm bu farklı teknolojileri bir araya getirme sürecini gerçekten çok karmaşık hale getirdik.”
Kimlik yönetişimi ve uyumu, altyapının güçlendirilmesi, MFA ve izleme, en muhtemel tehditlerden bazılarını önleyinCISA ve Ulusal Güvenlik Ajansı’na göre.
CISA’lar gönüllü siber güvenlik performans hedefleri ayrıca kuruluşları, varsayılan parolaları değiştirerek, kullanıcı ve ayrıcalıklı kimlik bilgilerini ayırarak, gereksiz erişimi iptal ederek, MFA’yı destekleyerek ve uzun ve benzersiz parolalar gerektirerek hesap güvenliği risklerini azaltmaya teşvik edin.
Bu tavsiyeyi ve parola yöneticileri ve tek oturum açma gibi yaygın olarak kabul edilen diğer en iyi uygulamaları tehdit ortamının gerçekliğiyle eşleştirmek, savunucular için hala zor.
“Tüm bu farklı teknolojileri bir araya getirme sürecini gerçekten çok karmaşık hale getirdik.” Rapid7 CSO’su Jaya Baloo söz konusu.
Karşılanmadı siber güvenliğin temelleriKimlik bilgilerine dikkat etmek, işler ters gittiğinde tekrar tekrar ortaya çıkmak gibi.
“Hala temelleri yapmadığımız pek çok örnek var” Palmore söyledi. “Engelleme ve mücadeleyi doğru şekilde yapmayan birçok kuruluş var.”
Parolasız bir gelecek için yavaş ilerleme
Erişim şifrelemesini genişletme ve dünyayı parolalardan kurtarma çabaları sürüyor ancak değişim zor ve görev olağanüstü.
gibi bazı çabalar Kimlik avına karşı dayanıklı MFAAsimetrik genel ve özel anahtar çifti, biyometri veya FIDO2 standardı gibi kriptografik tekniklere dayanan sistemler, daha yüksek düzeyde güvence sağlayabilir.
A tarafından geliştirilen şifresiz standart FIDO İttifakıKısaca geçiş anahtarları da destek ve ivme kazanıyor.
“Şifre sorununu çözmek için birlikte çalışmasını isteyeceğiniz hemen hemen her şirket bu yapıda birlikte çalışıyor.” Shikiar dedi ki.
Sorunun boyutu çok büyük; amacın arkasında sektör uyumu, tüm uç noktalarda yetenek, uygulama ve hizmetlerde geliştirme ve yaygın kullanıcı benimsemesi gerekiyor.
“Temel sorun, birincil kimlik doğrulama faktörü olan paroladır. Kullanıcı kimlik doğrulaması için bu uygun olmayan yönteme 60 yıldır güveniyoruz.”
Andrew Şikiar
FIDO Alliance İcra Direktörü
Siber Güvenlik Dive’ın röportaj yaptığı çok sayıda CISO, kuruluşlarında şifresiz geçişe ilgi duyduklarını ifade etti. Ancak birçok kritik sistem bu kimlik doğrulama protokolünü desteklemediğinden ve muhtemelen hiçbir zaman desteklemeyebileceğinden, parolasızlığa giden yol, teknolojinin ve altyapının daha yeni sürümleri ortaya çıkana kadar beklemek zorunda kalacak.
G, “Bir kuruma ve onun bilgilerine erişen bir kimliğin tamamen kusursuz olduğunu hissettiğimiz bir noktaya %100 ulaşıp ulaşamayacağımızı bilmiyorum” dedi.Arry Barlet, Illumio’nun federal saha CTO’su.
“Gerçek dünyada yaşamaya çalışıyorum” Barlet dedi ki“ideal dünya değil.”