İnsan Dışı Kimlikler Hız Kazanıyor, Hem Yönetim Hem Güvenlik Gerektiriyor


YORUM

İnsan müdahalesi olmadan internet üzerinden iletişim kuran sistemlerdeki büyüme son yıllarda dramatik olmuştur. Nesnelerin İnterneti (IoT), insan müdahalesi olmadan daha fazla makineden makineye (M2M) iletişim sağlıyor. Ayrıca, uzaktan çalışma ve e-ticaretin giderek artan şekilde benimsenmesiyle desteklenen dijital dönüşüm ihtiyacını destekleyen uygulama geliştirmede de bir patlama var. Bu, yazılım kodu parçalarının ağlar arasında daha önce hiç olmadığı kadar özerk bir şekilde etkileşime girdiği anlamına gelir.

Sistem kimliklerini, ne oldukları ve çevrimiçi olduklarında ne yapıp ne yapamayacakları anlamında yönetmeye ihtiyaç vardır. Örneğin, hem veri gönderip hem de alabilirler mi? Nereye gönderebilirler? Hangi ciltlerde ve formatlarda? Başka bir yerde bulunan verilere erişebilirler, kopyalarını çıkarabilirler ve bunları kuruluş dışındaki alıcılara bile iletebilirler mi? Daha da önemlisi, kimlikleri son kez çevrimiçi olduklarından bu yana değişti mi, örneğin ekstra erişim hakları veya daha önce mevcut olmayan yeni bir yazılım nedeniyle mi? İnsan olmayan kimliklerin (NHI) halihazırda insan kimliklerini 50’ye bir (50:1) oranında geride bıraktığı tahmin ediliyor. Giderek daha fazla iş sürecinin yapay zeka (AI)/üretken yapay zeka (GenAI) tarafından otomatikleştirilmesi ve yapay zeka destekli hizmetler tarafından erişilmesiyle, NHI büyümesinin daha da hızlanarak tehdit ortamında daha fazla genişlemeye yol açması bekleniyor.

İlgili:Kimlik Düzenlemesi İlgi Kazanıyor

NHI Yönetimi Neden Gereklidir?

NHI’ler, kurumsal teknoloji yığınındaki uygulamalar, hizmetler ve makineler gibi varlıklara bağlı dijital kimlikler olarak tanımlanabilir. Bunlara botlar, API anahtarları, hizmet hesapları, OAuth belirteçleri, bulut hizmetleri ve makinelerin veya yazılımın kimlik doğrulaması yapmasına, kaynaklara erişmesine ve bir sistem içinde iletişim kurmasına olanak tanıyan diğer kimlik bilgileri dahildir.

Etkili NHI yönetimine (NHIM) duyulan ihtiyaç birkaç temel faktörden kaynaklanmaktadır:

  • BT altyapıları daha karmaşık hale geliyor: Modern BT altyapıları, birçok durumda otonom olarak çalışan bir dizi IoT cihazı da dahil olmak üzere çok sayıda birbirine bağlı sistem, bulut hizmeti ve cihaz içeren karmaşıklıkları ile karakterize edilir. Bu tür ortamlardaki insan dışı varlıkların kimliklerinin yönetilmesi, hesap verebilirliğin, izlenebilirliğin ve güvenliğin sağlanması açısından önemlidir.

  • Otomasyonda artış: Kuruluşlar, süreçleri kolaylaştırmak, verimliliği artırmak ve manuel müdahaleyi azaltmak için otomasyonu giderek daha fazla benimsiyor; ajansal yapay zeka ise bu eğilimi daha da yoğunlaştırıyor. Botlar, komut dosyaları ve otomatik iş akışları da dahil olmak üzere insan dışı varlıklar, görevleri özerk bir şekilde yürütür ve yetkisiz erişimi ve kötüye kullanımı önlemek için uygun kimlik yönetimini gerektirir.

  • Siber güvenlik tehditlerinde artış: Siber suçlular genellikle NHI’leri, özellikle de insan müdahalesi olmadan çalışan IoT alanındakileri hedef alır ve güvenlik açıklarından kötü niyetli amaçlarla yararlanmaya çalışır. Zayıf kimlik doğrulama mekanizmaları, yanlış yapılandırılmış izinler ve yetersiz izleme, insan olmayan varlıkları saldırılara açık hale getirerek veri ihlallerine, sistem risklerinin aşılmasına ve hizmet kesintilerine yol açabilir.

İlgili:CISO’lar Yönetim Kurullarıyla Nasıl Etkili İletişim Kurabilir?

Satın Alımlara Hazır, Yeni Oluşan Bir Pazar

Çoğu oyuncunun startup olması gerçeğinin de gösterdiği gibi, NHI pazarı hâlâ gelişiyor. Bu, aşağıdaki gibi şirketleri içerir:

  • Aembit; Andromeda Güvenliği; Astriks; AxisNow; Netlik Güvenliği; Debriyaj Güvenliği; Korşa; Giriş Güvenliği; Natoma; Vaha; P0 Güvenliği; SlashID; TrustFour; Güvenli değil; Veza; Beyaz Kuğu Güvenliği

Bu satıcıların bazıları daha spesifik olarak NHI güvenliğine odaklanırken diğerleri, genellikle NHI yönetişimi olarak tanımlanan daha geniş NHIM yetenekleri sağlar. 2025 yılında bu alandaki önde gelen oyuncuları karşılaştıran ve karşılaştıran bir rapor sunmayı planlıyoruz.

Omdia, NHI pazarındaki oyuncuların çoğunun yeni kurulan şirketler olması nedeniyle, daha büyük kimlik güvenliği platformu satıcıları tarafından satın alınmaya hazır olduklarına inanıyor. Aslında, ayrıcalıklı erişim yönetimi (PAM) satıcısı Delinea’nın bu yılın Ocak ayında satın aldığı Authomize gibi bir veya iki startup zaten satın alındı. Mayıs 2024’te CyberArk (PAM’de pazar lideri), Venafi’yi 1,5 milyar dolara satın aldı. Venafi, NHI uzmanları arasında bir istisnaydı çünkü sertifika yaşam döngüsü yönetimi (CLM) ve anahtar yönetimi geçmişi sayesinde çok daha uzun süredir varlığını sürdürüyordu.

İlgili:Güvenlik Ekibinin Çoğu Ofis Dışındayken Tehditleri Yönetmek

Sonuçlar

Sürece hiçbir insanın dahil olmadığı, internet üzerinden iletişim kuran cihazların sayısındaki artış, bu sistemlerin kimliklerini yönetme ihtiyacı konusunda farkındalığı artırdı. Omdia, önümüzdeki yıllarda NHI büyümesinin hızlanacağına ve tehdit ortamını daha da artıracağına inanıyor. Kuruluşlar, bulutun, mikro hizmetlerin ve DevOps’un benimsenmesi gibi eğilimlerin, kurumsal ortamlarda NHI’lerin büyümesini tetiklediğinin farkında olmalıdır. Omdia ayrıca, makine kimliklerinin sayısının halihazırda insan kimliklerini 50:1 oranında aşması nedeniyle, kimlik güvenliği pazarında satıcılar için fırsatların hala çok büyük olduğuna inanıyor. Bu rakamın gelecekte artması muhtemeldir.





Source link