Kimlik ve erişim yönetimi (IAM), işletmeler için zor ve kalıcı bir zorluktur. Kuruluşların, kimlikleri etkili bir şekilde koruma ve yönetme ile çalışanlar, müşteriler ve tedarikçiler için kullanım kolaylığı arasında bir denge kurması gerekir. Çok fazla kimlik ve erişim kontrolü katmanı koyarsanız sonuç “sürtüşme” olur: çalışanların işlerini yapmasını zorlaştıran süreçler.
PA Consulting’de bulut ve veri güvenliği uzmanı Scott Swalling, “Birçok kuruluş kimlik yolculuğuna yalnızca kısa vadeli hedeflerin, zayıf kimlik verilerinin, olgunlaşmamış kimlik mimarisinin ve zayıf kullanıcı doğrulamasının birleşimiyle başlıyor” diye uyarıyor.
“Kötü bir IAM yaklaşımı, en iyi ihtimalle, bunu kullanıcılarınız ve idari personeliniz için hantal ve sinir bozucu hale getirebilir. IAM yeteneklerinden tam olarak yararlanamayan zahmetli süreçler, kullanıcıların – her zaman olduğu gibi – bu durumların etrafından dolaşacak yollar bulmasına neden olacak ve bu da güvenlik sorunlarına ve potansiyel ihlallere yol açacaktır.”
Çok faktörlü kimlik doğrulama (MFA) ve biyometri gibi önlemlerin genişletilmesine rağmen erişim, veri uyumluluğu ve gizliliğin yanı sıra kurumsal güvenlik açısından da zayıf bir nokta olmaya devam ediyor. İşletmeler sabit bir çevreden esnek çalışmaya, bulut ve web uygulamalarına geçtikçe IAM daha da kritik hale geldi.
Sorunun boyutu son derece gerçektir. Verizon’un 2024’e göre Veri ihlali araştırmaları raporuTemel web uygulamalarına yönelik saldırıların %77’sinde çalınan kimlik bilgileri kullanıldı. Google’ın 2023’ü Tehdit ufukları raporu İhlallerin %86’sının çalıntı kimlik bilgilerini içerdiğini tespit etti.
Gartner’da IAM’ye odaklanan başkan yardımcısı analisti Akif Khan, “Kimliğin öncelikli olduğu bir güvenlik kültürüne geçiş yapmamız gerekiyor” diye uyarıyor. “Kullanıcılarınızı tanımlamazsanız herhangi bir güvenliğe sahip olmanız zordur. Sistemlerinize kimin eriştiğini bilmiyorsanız, onların sistemlerinize erişmesi gerekip gerekmediğini nasıl bileceksiniz?”
Khan, IAM’in, kuruluşların güvenli bir çevreye sahip olduğu şeklindeki eski fikrin yerini aldığını öne sürüyor. Yalnızca çevre güvenliğine güvenmenin riskleri açıktır. Bu yılın haziran ayında, Ticketmaster ve Santander’deki veri ihlallerinin, güvenli olmayan Snowflake bulut hesaplarından kaynaklandığı tespit edildi.
Ayrıcalıklı hesapların güvenliğini sağlamak, güçlü kimlik yönetimi ve sıfır güven gibi girişimlerle el ele gider. Ancak sıfır güven, önemli miktarda uzun vadeli yatırım gerektirdiğinden, CIO’lar ve CISO’lar aynı zamanda kimlik bilgilerine yönelik mevcut güvenliği iyileştirmenin ve kimlik için risk temelli yaklaşımlara geçmenin yollarını aramalı.
Bu, kuruluşları politika tabanlı erişim kontrollerine ve riske uyarlanabilir erişim kontrollerine doğru ilerlemeye teşvik ediyor. Bu sistemler, bir eylemin yüksek riskli görünmesi durumunda firmaların çok faktörlü kimlik doğrulamasını zorunlu kılmasına veya eylemi tamamen engellemesine olanak tanır. Ancak bu, kuruluş çapında net bir IAM stratejisine bağlıdır.
PA’dan Swalling, “Kaynaklarınıza kimlerin erişebileceği konusunda net bir görünürlük ve kontrole sahip olduğunuzdan emin olmak için temel bilgileri doğru şekilde edinin” tavsiyesinde bulunuyor. “Kimlik verilerinin iyi olduğundan emin olun. Bunu sağlam ayrıcalıklı erişim yönetimiyle birleştirmek, mümkün olan yerlerde otomasyon ve makine öğreniminden yararlanmak, idari görevleri kolaylaştıracak ve geliştirecek ve kullanıcıların hayal kırıklığını azaltacaktır.”
Cisco’nun EMEA kimlik çözümleri yöneticisi Mustafa Mustafa, hayal kırıklığına uğramış kullanıcıların hazır kurbanlara dönüştüğünü ve MFA sel saldırılarına yönelik gerçek bir risk taşıdığını kabul ediyor.
Sıfır güven
Cisco, sıfır güven güvenlik modelinin savunucusudur, ancak Mustafa, çok az kuruluşun bunu tam olarak başardığını kabul ediyor.
Aslında Cisco araştırması, işletmelerin %86’sının sıfır güven ile başladığını ancak yalnızca %2’sinin olgunluğa ulaştıklarını söylediğini ortaya çıkardı. Engeller karmaşıklığı ve tutarsız kullanıcı deneyimini içerir.
Mustafa, “İlkemiz kimseye güvenmemek, herkesi doğrulamaktır” diyor. “Sıfır güven politikasını uygulamanın tek yolu, belirli bir ağ içindeki veya dışındaki tüm kullanıcıların, cihazların ve uygulamaların her zaman ve konumda sürekli olarak doğrulanmasıdır.” Bu, çok faktörlü kimlik doğrulamanın, en az ayrıcalıklı erişimin ve mikro segmentasyonun dağıtılmasını içerir.
Sıfır güvenin çabaya değer olduğunu savunuyor. Güvenliği, uyumluluğu ve risk yönetimini geliştirir, ancak aynı zamanda (doğru şekilde uygulandığında) operasyonları basitleştirir ve potansiyel olarak kuruluşların yönetim masraflarını, maliyetleri ve kullanıcılar için gecikmeleri ve hayal kırıklıklarını azaltmasına olanak tanır. Ayrıca hibrit ve uzaktan çalışmanın yönetilmesini kolaylaştırır.
Bu arada işletmelerin MFA, kimlik yönetimi ve yönetimi, ayrıcalıklı erişim yönetimi ve tek oturum açma gibi konulara yatırım yapmaya devam etmesi gerekiyor. Bu, CIO’ları iki “şeritte” çalışmaya zorlayabilir; biri kimlik ve erişim konusunda güvenliği artırmak için, diğeri ise daha uzun vadeli, sıfır güvene geçiş hedefi için.
Zamanla bu, bir ihlalin kanıtı olabilecek olağandışı kullanıcı davranışını veya eylemlerini tespit etmek için yapay zekadan (AI) daha fazla faydalanmayı ve yalnızca kimlik yerine riske dayalı IAM’ye doğru bir hareketi içerecektir. Buna bazen uyarlanabilir kimlik doğrulama da denir.
Kimlik koruma sağlayıcısı Silverfort’un CISO’su John Paul Cunningham, “Gerçek zamanlı risk değerlendirmelerini entegre ederek kuruluşlar, yalnızca kimliğe dayalı olarak değil, bağlama dayalı olarak erişim verebilir” diyor. “Bu değişim, kimlik doğrulama ve yetkilendirme yönetiminin operasyonel yükünü ve veri yükünü azaltacaktır. Sonuçta bu modeli benimsemek işletmelerin güvenliği güçlendirmesine, kullanıcı deneyimlerini iyileştirmesine ve kimlik güvenliğini sürdürme maliyetini düşürmesine olanak tanıyacak” diyor.
Uygulamada kuruluşların erişim katmanları için en azından şimdilik güvenlik katmanlarına güvenmeleri muhtemeldir.
Dijital cüzdanlar
“Daha ileri görüşlü kuruluşlar kimliğe öncelik veriyor. Ancak farklı sistemleri bir araya getirme zorluğu hala devam ediyor” diyor Cunningham. “Geleceğe baktığınızda yeni platformlar inşa edebilirsiniz, ancak insanlar hala birçok eski mimariye sahip.”
Ancak işletmelerin yine de ilk etapta bir kullanıcının (çalışan, tedarikçi veya müşteri) kimliğini doğrulaması gerekiyor. Burada, genellikle hükümet destekli bir planın parçası olan küresel kimlik cüzdanlarına (GIW’ler) yönelik hareket yardımcı olabilir.
Çoğu zaman dijital hükümet girişimleriyle ilişkilendirilen GIW’ler, günlük erişim yönetimi için en uygun araç olmayabilir, ancak personelin veya müşterilerin katılımında rol oynayabilir ve potansiyel olarak sahtekarlık ve kimlik bilgileri hırsızlığını önleyebilir. Microsoft’un Entra Verified ID’sinin şirketin Authenticator uygulamasına entegre edilmesiyle GIW’ler ve IAM arasında halihazırda bir miktar yakınlaşma var.
Gartner’a göre, 2026 yılına kadar dünya çapında 500 milyondan fazla insan telefon tabanlı dijital kimlik cüzdanlarını kullanacak. Bu, önemli bir büyümeyi temsil ediyor ve özellikle devlet hizmetleri için kimlik doğrulamayla ilgili bir dizi sorunu hafifletecek.
“Prensip olarak telefonunuzda bir kimlik cüzdanı olabilir ve bu, kimlik doğrulama uygulamasından çok da farklı değildir. Bu kullanılabilir” diyor Khan. “Bu bir Microsoft Kimliği değil, Microsoft uygulamasındaki bir kimlik.”
Dijital kimlik ve platformlar arasındaki birlikte çalışabilirlik konusundaki açık standartların, devlet kurumları arasında benimsenmesini ve dolayısıyla vatandaşlar tarafından benimsenmesini teşvik etmesi muhtemeldir. Küresel kimlik cüzdanı teknolojisi, tüm avantajlarına rağmen işletmelerin kendi başlarına kurmaları için muhtemelen çok pahalı olacaktır. Avantajlarının bir kısmı da ölçek ve devlet tarafından verilen kimlik belgesinin getirdiği güvendir.
Khan, “Piyasa taşınabilir dijital kimliğe doğru ilerliyor, böylece kullanıcılar kimliklerini tekrar tekrar doğrulamak zorunda kalmayacak, bunun yerine mobil cihazlarda bu kimliği doğrulayan bir kimlik cüzdanına sahip olacaklar” diyor.
Halihazırda üçüncü taraf kimlik doğrulama hizmetleri için ödeme yapan işletmeler, GIW aracılığıyla paradan bile tasarruf edebilir. “Reklamların nasıl biriktiği bunun anahtarı olacak” diyor. Kuruluşların aynı zamanda cüzdandaki kimlik varlığını da kabul etmesi gerekir; bu da yine devlet desteğinin, açık standartların ve birlikte çalışabilirliğin bu kadar önemli olmasının nedenidir. GIW’leri kullanmak, işe alım veya yeni müşterilere hizmet sağlama gibi çok çeşitli alanlarda avantajlar sağlayabilir.
Khan, “Teknik açıdan bakıldığında, birisini daha hızlı bir şekilde işe dahil etmenin bir yolu varsa, bu son derece mantıklıdır” diyor. “Rekabetçi bir pazarda kuruluşlar bunu keşfetmeye çalışacaklardır.”
Yine de GIW’ler, dahili kimlik ve kimlik doğrulama sistemlerinin yerini almaktan ziyade, IAM ortamının bir parçası olmaya hazır görünüyor. “Bir kimliğiniz var ve o kimliğin ‘Gartner çalışanıyım’ gibi özellikleri var. Daha sonra bilgi katmanlarından oluşan erişim haklarına yönelik nitelikleriniz olur” diyor Khan. “Hepsi cüzdanda olmayabilir.” Firmaların yine de ayrıntıları kendi kimlik altyapılarına göre kontrol etmeleri gerekecek.
Kimlik cüzdanlarının kurumsal kullanımına ilişkin beklentiler ve IAM’in gelecekteki gelişiminin büyük bir kısmı, kuruluşların güvence altına alması gereken bilgi türüne ve erişim düzeylerine bağlı olacaktır.
Silverfort’tan Cunningham, “Dijital cüzdanlar, katılım veya kimlik doğrulama gibi tek seferlik olayların ötesine geçerek günlük kimlik doğrulamada önemli bir rol oynayabilir” diyor. “Kuruluşlar, dijital cüzdanları günlük kimlik doğrulama aracı olarak benimseyerek, kullanıcı rahatlığını ve üretkenliğini artırırken güvenlik duruşlarını da güçlendirebilirler.”
En azından başlangıçta sağlık hizmetleri, hükümet, yardımlara erişim ve sınır kontrolünde artış görmeyi bekliyor.
Ancak dijital cüzdanlar aynı zamanda MFA’yı güçlendirebilir ve zor durumdaki veri güvenliği ekiplerine, sıfır güven de dahil olmak üzere uzun vadeli seçeneklere bakarken biraz nefes alma alanı sağlayabilir.
Cunningham, “Dijital cüzdanlar, MFA’da ek bir faktör, sertifika tabanlı belirteçlere benzer benzersiz bir tanımlayıcı ve parolalar ve kriptografik anahtarlar gibi hassas veriler için güvenli bir depolama çözümü olarak hizmet ediyor” diyor.
İyi kullanıldığında güvenliği ve kullanım kolaylığını artırırken aynı zamanda kuruluşların destek maliyetlerini de azaltabilirler.