Bir sektör ve toplum olarak, sonunda hem dijital hem de fiziksel kimliklerimizi korumada ilerleme kaydediyoruz. İyi haber şu ki, birçok kişi artık Çok Faktörlü Kimlik Doğrulama’nın (MFA) farkında, güçlü parolalara olan ihtiyacı anlıyor ve kimlik güvenliğini destekleyen çok sayıda araca erişebiliyor.
Bu tartışmayı bilinen bir sandviç gibi düşünün. Olumlu bir haberle başladık ve söz veriyorum, iyi bir haberle de bitireceğiz. Ama orta kısma, yani hâlâ karşılaştığımız zorluklara geçelim.
Fidye yazılımları dikkat çekici bir oranda büyümeye devam ediyor. Bu saldırıların eskisi kadar duyurulmadığını görsek de, örneklerin ölçeği büyüyor. Ve önemli faktörlerden biri de kötü adamların artık fidye yazılımı kodu yazmak zorunda olmaması, bunun bir hizmet olarak kolayca erişilebilir olması. Günümüzde fidye yazılımlarının kullanım kolaylığı ve erişilebilirliği son derece endişe verici.
Kripto para ödemelerinin, 2023’te 1 milyar doların üzerinde eşdeğer ödemeyle büyüdüğü tahmin ediliyor. Bunu tedarik zinciri saldırılarına genişletin ve bu ayak izi yönetilemez hale gelir. Kimlik Tanımlı Güvenlik İttifakı her yıl kimlik güvenliğindeki eğilimler hakkında bir araştırma anketi yürütüyor.
MFA, tek seferlik doğrulama kodları ve donanım belirteçleri etkili olsa da, insanlar sıklıkla kimlik doğrulama yorgunluğu çekerler. Şirketler, çalışanlar ve tüketiciler için artan sürtüşmeyi önlemek amacıyla MFA’yı açmakta tereddüt edebilirler. Kimliklerin birlikte çalışabilirliğini ve taşınabilirliğini iyileştirmeye odaklanmamız gerekir; bu, sorunun kapsamını yönetilebilir bir boyuta indirebilir.
Kimlik yönetimindeki en büyük zorluklardan biri kimlik yayılmasıdır. Anket yaptığımız kuruluşların %93’ü kimlik yayılmasını yönetmek için aktif olarak adımlar atıyor. Bulut SaaS hizmetlerinin yaygınlaşması üretkenliği artırdı ve ayrıca her hizmetle birlikte yeni bir kimlik veya hesap oluşturuyor. Bu, her birini benzersiz bir şekilde yönetmek veya güvenlik profilinizi düşürüp hepsini aynı şekilde yönetmek arasında bir seçim yapmayı zorluyor. Kimlik patlaması, fark ettiğimizden daha pahalıya mal oluyor. Kuruluşların yalnızca %15’i müşteri veya çalışan türüne ve ihtiyacına göre kimlik başına maliyetin belirli ölçümlerini izliyor. Kontrol edilmeyen kimlik yayılması daha yüksek maliyetlere ve daha fazla güvenlik açığına yol açıyor.
Bu yıl kimlik paydaşlarının şaşırtıcı bir şekilde %84’ü kimlikle ilgili olayların işlerini doğrudan etkilediğini söyledi. Birincil maliyet, olayları ele almak için temel işlerinden uzaklaşmalarıydı. Neredeyse aynı orandakiler, bir olaydan kurtulma maliyetlerinin önemli bir etkiye sahip olduğunu belirtti.
Sandviçin ortasındayken, ana bileşene odaklanalım: kimlik avıyla ilgili saldırılar. Bu saldırılar, diğer herhangi bir olay türünün neredeyse iki katı etkiye sahiptir. Hepimiz düşünmeden bir bağlantıya tıkladığımızda dikkatimizin dağıldığı anlar yaşarız ve bu saldırılar tam da o zaman gerçekleşir.
Bu sandviçe biraz sos ekleyelim ve diğer lezzet dilimini üstüne koyalım. Son ankette, katılımcıların %73’ü dijital kimlikleri etkili bir şekilde yönetmenin ve güvence altına almanın en önemli üç öncelikleri arasında olduğunu belirtti. Bu, doğru yönde ilerlediğimizi gösteriyor.
Katılımcıların etkileyici bir %97’sinin bir olay müdahale planı var ve çoğu bunu geçen yıl bir kereden fazla kullanmak zorunda kaldı. %3 küçük olsa da yine de çok fazla. Bir plana sahip olmak çok önemlidir çünkü her saldırıyı durduramasanız da etkili bir şekilde yanıt vermeye hazır olabilirsiniz.
Sizi iki önemli gerçekle baş başa bırakacağım. İlk olarak, kimlik paydaşlarının %93’ü güvenlik sonuçlarının olayların iş üzerindeki etkisini azaltabileceğini söyledi. Daha da cesaretlendirici olanı, işletmelerin %99’u önümüzdeki 12 ay içinde güvenlik sonuçlarına daha fazla yatırım yapmayı planladıklarını bildirdi.
Kimliklerimizi korumada iyi bir ilerleme kaydediyoruz. Kimlik yayılması ve artan saldırılar gibi zorluklara rağmen, zemin kaybettiğimizi hissedebiliriz, eğrinin önünde kalmak için sadece biraz daha hızlı koşmamız gerekiyor.
Jeff Reich Hakkında
Jeff Reich, 2023’ten beri Identity Defined Security Alliance’ın İcra Direktörüdür ve elli yıldır güvenlik ve kimlik topluluğunda aktif olarak yer almaktadır. Siber güvenlik farkındalığı ve eğitimi konusunda tanınmış bir savunucudur. IDSA’ya Cloud Security Alliance’dan katılmıştır. CSA’dan önce ARCO, CheckFree, Dell ve Rackspace’te güvenlik ve risk işlevlerini oluşturmuş ve inşa etmiştir. Jeff aynı şeyi birçok finansal hizmetler şirketinde ve beş girişimde yapmıştır. Siber güvenlik uzmanı ve sektör lideri olarak çok sayıda ödül ve sertifika almıştır; bunlar arasında 1993’te ISC2’den CISSP sertifikası ve 2011’de ISSA Distinguished Fellow unvanı yer almaktadır. Jeff, 2015 yılında ISSA Onur Listesi’ne dahil edilmiştir. Jeff’e çevrimiçi olarak https://www.linkedin.com/in/jreich/ ve https://www.idsalliance.org/ adreslerinden ulaşılabilir.