Dünya Çapında Açık Uygulama Güvenliği Projesi (OWASP), uygulamalar, API’ler, botlar ve otomatik sistemler gibi yazılım varlıklarına güvenli kaynaklara erişim yetkisi sağlamak için kullanılan ilk “İnsan Dışı Kimlikler (NHI) İlk 10’unu yayınladı.
Kuruluşlar giderek daha fazla otomatik sistemlere, uygulamalara ve bulut tabanlı altyapıya güvendikçe, hizmet hesapları, API anahtarları ve makine kimlik bilgileri gibi insan dışı dijital kimliklerin hızla çoğalması, geniş ve çoğu zaman yeterince adreslenmeyen bir saldırı yüzeyi oluşturdu.
Kuruluşlar artık genellikle insan muadillerine göre 10 ila 50 kat daha fazla NHI’ye sahip ve bu da artan bir güvenlik endişesi yaratıyor.
Verizon’un Veri İhlal Araştırmaları Raporu’na göre kimlik bilgileri siber olaylarda önde gelen saldırı vektörü olmaya devam ettiğinden, kimlik bilgilerindeki bu hızlı artış güvenlik ihlali potansiyelini artırdı.
NHI örnekleri şunları içerir:
- Mikro hizmetler tarafından veritabanı uygulamalarına erişmek için kullanılan API anahtarları.
- Birden fazla alt sistemi birbirine bağlayan arka uç sistemlerdeki hizmet hesapları.
- Bulut kaynaklarına erişmek için otomatik hizmetlerle ilişkili roller.
- Korunan uygulama kaynaklarına erişmek için botlar tarafından kullanılan belirteçler.
OWASP NHI İlk 10 Neden Önemlidir?
Kuruluşlar, NHI ile ilgili siber güvenlik risklerine ilişkin farkındalığı artırmayı, uygulanabilir rehberlik sağlamayı ve güvenlik açıklarını azaltmaya yönelik stratejiler sunmayı amaçlayan yeni OWASP listesini dikkate almalıdır.
Microsoft’un Gece Yarısı Blizzard Saldırısı (2024), İnternet Arşivi’nin Zendesk Destek Platformu Hack’i (2024) ve Okta Destek Sistemi İhlali (2023) dahil olmak üzere son zamanlardaki yüksek profilli ihlaller, NHI’lerin güvenliğini sağlamanın kritik öneminin altını çiziyor.
Girişim, kimlik yönetimiyle ilgili geleneksel siber güvenlik önlemlerinin, otomatikleştirilmiş varlıkların artık baskın bir rol oynadığı modern ortamlar için yetersiz olduğunun artan bir şekilde kabul edildiğinin altını çiziyor.
OWASP’ın İlk 10 listesi, kuruluşların güvenlik duruşlarındaki iyileştirmelere öncelik vermelerine yardımcı olmak için en yaygın NHI risklerini ve ilgili hafifletme önlemlerini özetlemektedir.
OWASP NHI Top 10’dan öne çıkanlar
1. Uygunsuz Ayrılma
Kuruluşlar, uygulamalar, hizmetler veya otomatik iş akışları kullanımdan kaldırıldıktan sonra NHI kimlik bilgilerini devre dışı bırakmakta sıklıkla başarısız oluyor. Bu yetim hesaplar, saldırganların yetkisiz erişim elde etmesi için ana hedef haline gelebilir.
Azaltma: Standartlaştırılmış NHI çıkarma süreçlerini uygulayın, kullanılmayan kimlik bilgilerinin devre dışı bırakılmasını otomatikleştirin ve aktif NHI’lerin düzenli denetimlerini gerçekleştirin.
2. Gizli Sızıntı
API anahtarları ve belirteçleri gibi hassas kimlik bilgileri genellikle kod depoları, yapılandırma dosyaları veya CI/CD işlem hatları aracılığıyla açığa çıkar ve bu da onları saldırılara karşı savunmasız hale getirir.
Azaltma: Geçici kimlik bilgilerini kullanın, gizli yönetim araçlarını kullanın, gizli bilgilerin tespitini otomatikleştirin ve anahtarları düzenli olarak değiştirin.
3. Savunmasız Üçüncü Taraf NHI’ler
Eklentiler veya SaaS uygulamaları gibi üçüncü taraf entegrasyonlar genellikle yükseltilmiş izinler gerektirir ve bu da onları saldırganlar için yüksek değerli hedefler haline getirir.
- Azaltma: Üçüncü taraf satıcıları titizlikle inceleyin, izinleri sınırlayın, üçüncü taraf davranışlarını izleyin ve kimlik bilgilerini döndürün.
4. Güvenli Olmayan Kimlik Doğrulama
Eski protokoller veya statik kimlik bilgileri gibi eski veya güvenli olmayan kimlik doğrulama yöntemleri önemli bir risk olmaya devam ediyor.
- Azaltma: OAuth 2.1 ve OpenID Connect (OIDC) gibi modern protokolleri benimseyin ve güncelliğini yitirmiş kimlik doğrulama mekanizmalarını aşamalı olarak kaldırın.
5. Aşırı ayrıcalıklı NHI’lar
Pek çok NHI’ye aşırı izinler veriliyor; bu, en az ayrıcalık ilkesinin yaygın bir ihlalidir ve bu da ele geçirilen bir hesaptan kaynaklanan potansiyel zararı artırır.
Azaltma: En az ayrıcalığı uygulayın, düzenli izin denetimleri gerçekleştirin ve Tam Zamanında (JIT) erişim politikalarını benimseyin.
6. Güvenli Olmayan Bulut Dağıtım Yapılandırmaları
CI/CD işlem hatlarında ve bulut ortamlarındaki yanlış yapılandırmalar (örneğin, sabit kodlanmış kimlik bilgileri veya uygunsuz şekilde saklanan sırlar) güvenlik olaylarının önde gelen nedenleridir.
Azaltma: Kimlik bilgileri yönetimi için dinamik olarak oluşturulmuş belirteçlere, güvenli CI/CD ardışık düzenlerine geçiş yapın ve AWS Secrets Manager gibi araçları kullanın.
7. Uzun Ömürlü Sırlar
Aşırı uzun geçerlilik sürelerine sahip statik kimlik bilgileri, saldırganların zaman içinde güvenlik açıklarından yararlanma fırsatları yaratır.
Azaltma: Anahtarları sık sık değiştirin, kısa ömürlü kimlik bilgileri kullanın ve sıfır güven ilkelerini dahil edin.
8. Ortam İzolasyonu
Geliştirme, test etme ve üretim ortamları arasındaki ayrımın zayıf olması, ihlal durumunda ardı ardına gelen arıza riskini artırır.
Azaltma: Sıkı izolasyon politikaları uygulayın, ortama özel erişim kontrolleri uygulayın ve hassas kaynakları ayırın.
9. NHI’nin Yeniden Kullanımı
Kimlik bilgilerinin birden çok uygulama veya ortamda yeniden kullanılması, tek bir kimlik bilgisinin tehlikeye atılması durumunda daha da artan güvenlik risklerine yol açar.
- Azaltma: Her uygulamaya veya ortama benzersiz NHI’ler atayın ve kimlik bilgisi kullanımının sıkı denetimini zorunlu kılın.
10. NHI’ların İnsanlarda Kullanımı
Geliştiriciler veya yöneticiler bazen otomatik süreçlere yönelik NHI’leri kötüye kullanarak etkinliğin izlenmesini zorlaştırır ve içeriden gelen tehditlerin olasılığını artırır.
- Azaltma: NHI’lerin insanlar tarafından kullanılmasını yasaklayın, NHI faaliyetlerini izleyin ve geliştiriciler ve yöneticiler arasında risklere ilişkin farkındalığı artırın.
NHI Risklerini Ele Alma Neden En Önemli Önceliktir?
Rapor, NHI’lere yönelik pek çok güvenlik uygulamasının doğası gereği karmaşık olmadığını, ancak onları zorlu kılan şeyin modern kuruluşlardaki ölçekleri olduğunu vurguluyor.
Birden fazla Kimlik Sağlayıcının (IdP), hibrit bulut kurulumlarının ve kapsayıcılı iş akışlarının bulunduğu ortamlardaki NHI’lerin büyük hacmi, gelişmiş araçlar olmadan manuel yönetimi neredeyse imkansız hale getirir.
OWASP’ın tavsiyeleri, otomasyonu teşvik ederek, en iyi güvenlik uygulamalarına bağlı kalarak ve NHI faaliyetlerini izlemek ve güvence altına almak için gelişmiş kimlik bilgisi yönetimi platformlarından yararlanarak bu zorlukların üstesinden gelmeyi amaçlamaktadır.
OWASP, açıklamasında “Siber tehditlerin hızlı evrimi, NHI risklerini yönetmek için proaktif ve yapılandırılmış bir yaklaşım gerektiriyor” dedi.
Kuruluşlar otomasyonu, bulut tabanlı teknolojileri ve SaaS uygulamalarını benimsemeye devam ettikçe, NHI’lerin sayısı insan kimlik bilgilerini daha da aşacak. OWASP NHI Top 10, 2025’in giderek dijitalleşen ve birbirine bağlanan ortamında bu kimlikleri güvence altına almak ve riskleri en aza indirmek için hayati bir yol haritası sunuyor.
İşletmeler için bu, mevcut boşlukların değerlendirilmesi, düzeltici eylemlere öncelik verilmesi ve modern kimlik yönetimi ve güvenlik çözümlerine yatırım yapılması anlamına gelir. Sonuçta, NHI’leri güvence altına alma yeteneği, onların siber tehditlere karşı dayanıklılığının belirlenmesinde çok önemli bir rol oynayacaktır.
OWASP NHI Top 10 ve uygulanması hakkında daha fazla bilgi edinmek için OWASP’ın resmi web sitesini ziyaret edin. Siber güvenlik trendleriyle ilgili sürekli güncellemeler için AppSec, yapay zeka ve tedarik zinciri güvenliği alanlarında binlerce profesyonele ulaşan Resilient Cyber Newsletter gibi kaynaklara abone olun.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!
Ayrıca Okuyun: