Saldırganlar, siber saldırıları gerçekleştirmek için güvenliği ihlal edilmiş kimliklerden her zamankinden daha fazla yararlanıyor. Onları durdurmak zor ama etkilerini sınırlamak öyle olmak zorunda değil.
Grady Summers, Üründen Sorumlu Başkan Yardımcısı, SailPoint
Dört yıldızlı bir general ve bir şef Pentagon’a girer. Bir şakanın başlangıcı gibi geliyor, ama değil. İki birey arasındaki farklılıkları göz önünde bulundurun, aynı zamanda benzerlikleri de göz önünde bulundurun. İkisi de aynı binada çalışıyor. Her ikisi de devlet tarafından istihdam edilmektedir. Her ikisinin de muhtemelen binaya girmelerini sağlayan ve bina içinde nereye gidebileceklerini belirleyen bir anahtar kartı vardır.
Tabii ki, benzerlikler burada bitiyor. Generalin, işiyle ilgili hassas materyaller ve bilgiler içeren binanın daha güvenli alanlarına erişimi var. Öte yandan, şef muhtemelen binanın mutfak, depo veya yemek servis edilen alanlar gibi generalin asla gitmeyi düşünmeyeceği bölümlerine erişebilir. Şefin erişim kartı, savaş odasına erişim sağlamayacaktır ve generalin kartının, bir şefin farklı ekipler için yemek sunabileceği her alana erişim sağlamaması büyük bir ihtimaldir. Bunların hepsi son derece mantıklı – neden tek bir anahtar kartın kaybolması nedeniyle tüm binanın tehlikeye girmesi riskini alasınız?
Bu terimlerle ifade edildiğinde, bariz görünüyor. Öyleyse neden bu kadar çok kuruluş aynı mantığı kimlik güvenliklerine uygulamakta başarısız oluyor? Kuruluşlar, kullanıcılara, cihazlara, uygulamalara ve diğer kimliklere işlerini yapmak için ihtiyaç duyduklarından çok daha fazla ayrıcalıklar vererek, bir kimliği tehlikeye atan saldırganların işini çok kolaylaştırıyor. Ne yazık ki, kimliklerden taviz vermek günümüzün saldırganlarının çoğu için bir uzmanlık alanıdır; bu, kimlik güvenliğini iyileştirmenin modern kuruluşlar için her zamankinden daha yüksek bir öncelik olması gerektiği anlamına gelir.
Zayıf Kimlik Güvenliği Tehlikesi
Sistemler giderek daha karmaşık hale geliyor ve bu karmaşıklık arttıkça görünürlük daha da zorlaşıyor. Pek çok işletme zaten dijital dönüşümlerden geçiyor olsa da, son iki yıl, özellikle kimlik güvenliği söz konusu olduğunda, bu eğilimi önemli ölçüde hızlandırdı. Uzaktan çalışmanın norm haline gelmesiyle, yeni kullanıcıların ve cihazların artık her gün tanıdık olmayan yerlerden kurumsal ağlara erişmesi gerekiyor. BT ekiplerinin, çalışanların uzaktan çalışmak için ihtiyaç duyduğu Slack ve Zoom gibi yeni uygulamaların güvenliğini sağlamakla da uğraşması gerekiyor. Ve tabii ki bulut kullanımı, karışıma tamamen yeni altyapı ve uygulamalar ekleyerek genişlemeye devam ediyor.
BT ortamlarının karmaşıklığı arttıkça potansiyel tehditler de ortaya çıkıyor. Kullanıcıların birden çok sunucu, bulut ortamı, dosya paylaşım uygulaması ve diğer konumlardaki verilere erişmesi gerekebilir. Yüzlerce veya binlerce çalışanı olan bir kuruluşta, her bir kullanıcı için erişim hakları ve ayrıcalıkları belirlemek, özellikle iş operasyonları dikkate alındığında inanılmaz derecede göz korkutucu bir görev gibi görünebilir. Ve asıl sorun şu: Hiçbir BT ekibi üretkenliğin önünde bir engel olarak görülmek istemez. Aşırı provizyona yol açan sorunun özü budur. Gerekenden daha fazla erişim vermek, erişim isteklerini duruma göre belirlemekten daha kolaydır. Bu, kimlikleri geniş ölçekte manuel olarak yönetmeyi zorlaştırır.
Ne yazık ki, aşırı tedarik olumsuz sonuçlara yol açabilir. Eski dostumuz şefin savaş odasının kapısını açan bir anahtar kartı varsa, o anahtar karta erişimi olan herkes bir önlük giyebilir, bir sandviç tabağı kapabilir ve çok gizli istihbaratla kaçabilir. Bir kurumsal BT ortamında, hemen hemen aynıdır. Yazılım geliştiricilerin insan kaynakları dosyalarına erişimi olmalı mı? Halkla ilişkiler ekibi satın alma siparişlerini onaylayabilmeli mi? Çalışanlar aşırı büyük erişim seviyelerine sahip olduğunda, kaosa kapı açar. Herkes şifresini vermesi için kandırılabilir – bu her gün olur. Ancak bir idari asistanın kimliğini tehlikeye atmak, davetsiz bir kişinin mali kayıtlara veya kişisel bilgilere erişmesine izin vermemelidir. Hiçbir bireysel kimlik, bir saldırgana kalenin anahtarlarını vermemelidir.
Kimlik Güvenliği İçin “Kur ve Unut” Yok
Mandiant CEO’su Kevin Mandia’nın uzlaşmanın kaçınılmaz olduğunu ve akıllı şirketlerin önlemenin işe yarayacağını varsaymak yerine hazırlık, tespit ve müdahaleye odaklanması gerektiğini söylediğini ilk duyduğumda on beş yıl önce bir CISO’ydum. 15 yıl geçmesine ve “uzlaşma kaçınılmazdır” artık tartışmalı bile olmamasına rağmen, görünüşe göre günümüzün güvenlik araçlarının çoğu, saldırıların potansiyel etkilerini azaltmak yerine, öncelikle saldırıları durdurmaya veya önlemeye odaklanıyor. Odağı hafifletmeye kaydırmak, felsefede bir değişikliği temsil eder, ancak bu, işletmeler için olumlu sonuçlar doğuracaktır. Bu, önleyici araçların gerekli olmadığı anlamına gelmez – kesinlikle gerekliler – ancak bunlar, gözden kaçan saldırıların etkisini azaltmaya yardımcı olan araçlarla birlikte en etkili şekilde kullanılabilirler.
Bugün ihlallerin %61’inin kimlik bilgisi verilerini içerdiği göz önüne alındığında, bu süreç, bireysel kimliklerin yalnızca erişmeleri gereken ağ verilerine ve alanlarına erişiminin sağlanmasıyla başlar. Bu, bir pazarlama çalışanının bir kimlik avı e-postasının kurbanı olması durumunda bazı pazarlama verilerinin ele geçirilebileceği, ancak saldırganın ödeme bilgilerine veya personel dosyalarına erişemeyeceği anlamına gelir.
Çok sayıda kimliği manuel olarak yönetmek zor olsa da, modern teknoloji neyse ki bunu kolaylaştırdı. Günümüz kuruluşlarının artık kullanıcılar ve diğer kimlikler için ayrı ayrı erişim ayrıcalıkları sağlamasına gerek yoktur. Yapay zeka (AI) ve makine öğrenimi (ML), davranış kalıplarını tanımlayabilen ve farklı iş işlevlerine uygun erişim derecelerini anlayabilen yeni otomatik araçların büyümesini destekledi. Hatta modern çözümler, benzer kullanıcılardan tekrarlanan erişim istekleri görürlerse veya belirli bir erişim türünün neredeyse hiç kullanılmadığını fark ederlerse, zaman içinde öğrenebilir ve uyum sağlayabilir. Kimlik güvenliği, “kur ve unut” çözümü değildir. İhtiyaçlar ve işlevler zamanla değişir ve iyi bir kimlik güvenliği çözümü de değişmelidir.
Patlama Yarıçapını Kontrol Altına Alın ve Manşetlerden Uzak Durun
Güçlü bir kimlik güvenliği çözümü, bireysel kimlikler için işlerini yapma yeteneklerini engellemeyecek şekilde doğru düzeyde erişim sağlar. Ve gerçekten, neden olmasın ki? Şef, anahtar kartının savaş odasının kapısını açmadığını muhtemelen asla bilemeyecek; denemek için bile bir sebepleri yok. Aynı şekilde, generalin de şefin gittiği yere ulaşmak için hiçbir nedeni yoktur. Erişimlerinin engellenmesi performanslarını hiçbir şekilde etkilemeyecektir. Kendi işlerini yapmak için asla ihtiyaç duymayacakları alanlara erişim vermeleri için hiçbir neden yoktur.
Otomasyon, farklı kimlikler için net erişim parametreleri oluşturarak ve güvenliği ihlal edilmiş bir kimliğin neden olduğu hasarın kontrol altında tutulmasını sağlayarak aynı ilkeyi günümüz kuruluşları için geniş ölçekte uygulamayı mümkün kıldı. Önleyici araçlar önemli olmakla birlikte, kuruluşların saldırıları hafifletmek için daha fazla kaynak ayırması gerekir. Mandiant, ihlallerin kaçınılmaz olduğunu ilan ederken erken davranmış olabilir ama bu doğruydu. Ancak her ihlalin büyük olması gerekmez. Otomasyon sayesinde günümüzün kimlik araçları, kuruluşların bir sonraki ihlallerinin manşetlerden uzak kalmasını sağlamalarına yardımcı olabilir.
yazar hakkında
Grady Summers, 20 yılı aşkın süredir teknoloji ve liderlik pozisyonlarında bulunuyor ve şu anda SailPoint’te Üründen Sorumlu Başkan Yardımcısı olarak görev yapıyor. Grady, SailPoint’in kimlik portföyü genelinde güçlü ve tutarlı uygulama sağlayarak SailPoint’in teknoloji yol haritası ve çözüm stratejisini yönlendirmekten sorumlu olacak. En son Grady, FireEye’da Ürünler ve Müşteri Başarısından Sorumlu Başkan Yardımcısıydı. Bundan önceki iki görevinde Grady, Ernst and Young’da firmanın bilgi güvenliği uygulamasına liderlik etmeye yardımcı olan bir Müdür ve devasa bir küresel siber güvenlik kuruluşunu yöneten General Electric’te Bilgi Güvenliği Başkanı (CISO) idi.
Daha fazla bilgi için www.sailpoint.com adresini ziyaret edin.