Bu Help Net Security röportajında, Okta Kıdemli Başkan Yardımcısı ve CSO Yardımcısı Charlotte Wylie, hibrit BT ortamlarında kullanıcı kimliklerini yönetmenin zorluklarını tartışıyor.
Güvenlik politikalarını birleştirmek için bulut SSO ve MFA teknolojileri de dahil olmak üzere kapsamlı güvenlik kontrollerini dengelemeyi ve benimsemeyi vurguluyor. Wylie ayrıca şifre yorgunluğuyla mücadele, IAM çözümlerini entegre etme, operasyonel teknolojiyi güvence altına alma ve kimlik güvenliği politikaları oluşturma stratejilerini de vurguluyor.
Kuruluşlar, özellikle bulut ve şirket içi sistemlerde kullanıcı kimliklerini yönetirken, hibrit BT ortamlarında güvenliği kullanıcı rahatlığıyla nasıl dengeliyor?
Hibrit BT ortamı, çalışanların, yüklenicilerin, iş ortaklarının ve daha fazlasının geniş bir cihaz ve iş yeri ağı üzerinden işbirliği yaptığı günümüzde kuruluşlar için standart haline geldi. Şirketler de her zamankinden daha fazla uygulama kullanıyor; büyük kuruluşlar ortalama 231 uygulama dağıtıyor. Dünyanın dört bir yanından uygulamaları veya hizmetleriyle ilgilenen tüm şirketleri hesaba kattığınızda, tüm bu kullanıcıları yönetme ve güvenlik anormalliklerini izleme sorumluluğu göz korkutucu bir görev olabilir.
Güvenlik nedeniyle kullanıcı deneyiminden ödün verilmesine gerek yoktur. Doğru paydaşlara, doğru erişimin doğru zamanda sağlanması ve ihtiyaçlarının sürekli olarak yeniden gözden geçirilmesi arasındaki dengenin kurulması, güvenliğin tüm bu eylemlerin merkezinde yer aldığı düşünceli olmayı, etkinleştirmeyi ve toplu sözleşmeyi gerektirir.
Bulut ve şirket içi sistemler arasındaki boşluğun kapatılması, bulutta tek oturum açma (SSO) ve çok faktörlü kimlik doğrulama (MFA) teknolojilerinin şirket içi uygulamalara genişletilmesini gerektirir; bu da kuruluşların hibrit ortamlardaki güvenlik politikalarını birleştirmesine ve merkezi olarak yönetmesine olanak tanır. . Hem bulut hem de şirket içi sistemleri destekleyebilecek kapsamlı güvenlik kontrollerinin benimsenmesi, modern BT yönetiminin anahtarıdır. Sürekli kullanıcı kimlik doğrulaması ve yetkilendirmesi uygulamak, kuruluşların güvenliklerini tehdit eden kimlik tabanlı saldırıları azaltmalarına yardımcı olur.
Çoklu dijital kimliklerin yükselişiyle birlikte, parola yorgunluğuyla mücadele etmek ve parola yönetimiyle ilişkili riskleri azaltmak için hangi stratejiler kullanılabilir?
Parolasız bir strateji, parola yorgunluğunu azaltmak için en iyi çözümü sunar. Şifrelerin getirdiği zayıf hesap güvenliği ve kullanıcı deneyimi, üretkenlik kaybı ve artan maliyet gibi zorluklar, şirketler şifresiz hale geldiğinde ortadan kalkar. Sihirli e-posta bağlantıları, tek kullanımlık şifreler (OTP’ler), sosyal girişler ve şifre anahtarları, kullanıcılara geleneksel kullanıcı adı ve şifreyle girişlere karşı birden fazla alternatif sunar.
Dünyanın dört bir yanındaki şirketler şifresiz teknolojiyi benimsedi ve bunun güvenlik ve üretkenlik avantajlarını görüyor. Ancak birçok şirket hâlâ şifre kullanıyor ve esasen kullanıcıların %100’ü hesaplarından en az biri için hâlâ şifre kullanıyor. Etkili bir parola yönetimi stratejisi, şirketlerin bulut yolculuklarının herhangi bir aşamasında mevcut parola süreçlerini değerlendirmelerine ve gelecekte parolaları nasıl koruyacaklarını belirlemelerine olanak tanır.
Şirketlerin sağlıklı bir şifre yönetimi kültürü aşılaması da önemlidir. Bu, otomasyon ve self-servis fonksiyonların artırılmasının yanı sıra, kullanıcıların şifre gücü ve geçerlilik süresine ilişkin politikaların belirlenmesiyle başlar. Örneğin, şifre güncellemelerinin dizinler arasında senkronize edilmesi, aşağı akış uygulamalarının güncellenmiş kimlik bilgilerini kullanabilmesini sağlar. Self servis parola sıfırlama ve değişiklikleri, BT üzerindeki yükü azaltabilir ve kullanıcı deneyimini iyileştirebilir.
Özellikle eski sistemleri ve modern uygulamaları kullanan kuruluşlar için yeni IAM çözümlerini mevcut BT altyapılarıyla entegre etmeye yönelik en iyi uygulamalar nelerdir?
Yeni IAM çözümlerini mevcut hibrit ortamlarına entegre ederken BT liderlerinin akılda tutması gereken birkaç husus vardır; bunlar arasında aşağıdaki dört temel nokta yer almaktadır:
- Kuruluşlar, mevcut sistemlerinin, hesap hacimlerinin ve eski sistemleri tarafından kullanılan yetkilendirme ve kimlik doğrulama araçlarının envanterini çıkararak başlamalıdır.
- Ayrıca liderler, sistemlere erişimi yönetmek için kullanılan sağlama ve yetkilendirmeyi kaldırma süreçlerini doğrulamalıdır. Mevcut durumu anlamak, sistemlere kritiklik ve kullanıma göre öncelik vererek IAM yığınını ortam genelinde modernize etmeye yönelik bir strateji planlamak için çok önemlidir.
- Bu sistem envanterinin ilgili yol haritalarıyla birlikte değerlendirilmesi de önemlidir. Sistemler değiştirilecek, kullanımdan kaldırılacak, kullanımdan kaldırılacak veya çalışmaya devam edecekse, bu oyun planları kuruluşların gelecekte ihtiyaç duyulmayacak gereksiz yatırımları öngörmesine ve önlemesine yardımcı olacaktır.
- Güvenlik açısından bakıldığında, kuruluşların modern uzaktan, mobil erişim ve MFA gibi modern kullanım durumlarını desteklemek için hem eski sistemlerde hem de modern uygulamalarda güvenlik kontrollerinin ve politikalarının uygulanmasına eşit şekilde öncelik vermesi de önemlidir.
Kuruluşlar, operasyonel teknoloji (OT) ve kritik altyapı ortamlarında kimlik ve erişim yönetiminin benzersiz zorluklarını nasıl yönetiyor?
Uygun siber hijyenin sağlanması, özellikle operasyonel teknolojinin ve kritik altyapı ortamlarının güvenliğinin sağlanması söz konusu olduğunda geniş bir uygulama yelpazesini kapsar. Bu ortamlardaki zorluklar benzersizdir ve Colonial Pipeline fidye yazılımı saldırısının da gösterdiği gibi, güvenlik açıklarının sonuçları çok büyük sonuçlar doğurabilir.
Bu sektöre yönelik saldırıların ortak paydası erişimdir, bu nedenle kimlik bu kuruluşlar için en önemli öncelik olmalıdır. Saldırganlar daha ayrıcalıklı erişimle daha fazla zarar verebilir; bu nedenle kuruluşların, tüm insan ve makine hesapları için en az ayrıcalığı sağlayacak şekilde ağ genelinde politikalar belirleyen ve dağıtan güçlü bir IAM stratejisine ihtiyacı vardır. Kritik altyapıyı güvence altına almak için kuruluşlar, ayrıcalıklı erişim yönetimi (PAM) adı verilen ve özellikle ele geçirildiğinde daha tehlikeli olabilecek güçlü hesaplara yüksek koruma uygulayan farklı bir yönetim düzeyi uygulayabilir.
İş odaklı SaaS ve uzaktan çalışmanın yükselişiyle birlikte kuruluşlar kimlik güvenliği politikalarını ve yönetim yapılarını nasıl oluşturabilir?
Hibrit çalışma işletmeler için yeni norm haline geldi. Çalışanların hem uzaktan hem de ofis ortamında çalışması nedeniyle güvenlik ekipleri, tüm çalışanları, yüklenicileri ve iş ortakları için çalıştıkları her yerden güvenli erişim sağlama konusunda zorlanıyor.
Kuruluşlar, SSO ve MFA’yı çalışanlarına dağıttıktan sonra daha ayrıntılı erişim politikaları oluşturabilir. Bu politikalar, hesap risklerini en aza indirmek için oturum açma girişiminin kullanıcı, cihaz, ağ ve konum bağlamını dikkate alır. Şirketler ayrıca, doğru kişilerin çalıştıkları her yerden doğru kaynaklara doğru erişime sahip olmasını sağlamak için kimlik yönetimi araçlarını da kullanabilir.
Ağ engelleme listeleri bu tür politikaların uygulanmasına harika bir örnektir. Bir kuruluşun kötü ağlardan, tor tarayıcılarından veya belirli coğrafi konumlardan erişimi kısıtlaması gerekiyorsa, bir kullanıcı listelenen ağlardan birinden oturum açmaya çalıştığında erişimi reddedecek veya MFA isteyecek bir politika uygulayabilir.