Bu Help Net Security röportajında, CSA’da Küresel Araştırma Başkan Yardımcısı John Yeoh, insan olmayan kimliklerin (NHI) oluşturduğu büyüyen güvenlik zorluklarını ele alıyor. NHI’ler artık insan kimliklerini 20’ye 1 oranında geride bırakırken, kuruluşlar bu dijital varlıkları etkili bir şekilde güvence altına almakta zorlanıyor.
Yeoh, daha iyi görünürlük, yaşam döngüsü yönetimi ve tutarlı güvenlik stratejilerine olan ihtiyaç da dahil olmak üzere bu sorunun çözümüne ilişkin görüşlerini paylaşıyor.
Kuruluşların yalnızca %15’i insan olmayan kimlikler aracılığıyla saldırıları önleme konusunda oldukça emin hissediyor. Bu düşük güven düzeyine hangi faktörlerin katkıda bulunduğuna inanıyorsunuz?
Sistemler daha dijital ve karmaşık hale geldikçe, insan olmayan kimliklerin (NHI’ler) kapsamı muazzam bir şekilde büyüdü. NHI’ler, makinelerin, uygulamaların ve cihazların sistemler, hizmetler veya diğer makinelerle etkileşime girmesini sağlayan dijital profiller ve kimlik bilgileri içerir. Genellikle bunları iyi takip etmedik çünkü bunlar, anlamaya alıştığımız insan ve makine kimliklerinin ötesinde.
En önemli etken, modern bir ortamda var olan NHI’lerin çokluğudur. Botlar, hizmet hesapları, API ve gizli anahtarlar ve OAuth belirteçleri içeren bu NHI’ler, genellikle insan kimliklerinden 20’ye 1 oranında daha fazladır ve yalnızca AI modellerinin uygulanmasıyla artmalıdır.
Şaşırtıcı olmayan bir şekilde, NHI’lerin yüksek hacmi, kuruluşların karşılaştığı güvenlik zorluklarının sayısını önemli ölçüde artırır. Her NHI, kendi izinleri ve rolleriyle görevleri yürütür ve potansiyel olarak hassas verilere ve kritik sistemlere erişebilir, bu da saldırı yüzeyini katlanarak artırır.
Birçok kuruluş, NHI’ler için açıkça tasarlanmamış araçların bir karışımına güvenir ve bu da parçalanmış güvenlik stratejilerine yol açar. Daha tutarlı ve etkili bir NHI güvenlik stratejisi nasıl görünürdü?
NHI’leri kimlik stratejilerinize dahil etmek bir başlangıçtır. Tutarlı bir strateji, Astrix Security ile birlikte yayınlanan CSA anket raporunda vurgulananlar gibi NHI’lerle ilgili en önemli zorlukların üstesinden gelmekle başlar. Bu, ortamınızdaki NHI’lerin tam keşfini ve görünürlüğünü, rollerini ve sorumluluklarını, dokundukları dahili ve harici sistemleri, erişimlerini ve ayrıcalıklarını ve her NHI’nin yaşam döngüsünü içerir.
Görünürlüğe ek olarak, bir güvenlik stratejisi, NHI’lerin oluşturulması, sona ermesi ve yenilenmesi ve erişim, ayrıcalıklar ve yetkilendirme mekanizmaları gibi benzersiz özelliklerini izleme, yönetme ve otomatikleştirme becerisini içerir. Ayrıca, güvenlik ihlalleri olduğunda bir yanıt mekanizmasını algılama, izole etme ve başlatma becerisini de içermelidir. İdeal olarak, birleşik ve merkezi bir görünüme sahip olmak parçalanmış çabaları azaltır ve kuruluşların NHI ortamlarını güvenlik açısından görüntülemelerine ve önceliklendirmelerine olanak tanır.
Bazı ortamlarda Ulusal Sağlık Enstitüleri (NHI) insan kimliklerinden 20’ye 1 oranında daha fazla sayıda olduğu göz önüne alındığında, güvenlik yönetimi açısından hangi benzersiz zorlukları ortaya çıkarıyorlar?
NHI’lerin sayısıyla başlıyor. Bulut ve yapay zekanın yükselişi de dahil olmak üzere daha karmaşık sistemlere güvendikçe NHI’ler insan kimliklerini geride bırakmaya devam edecek. Bunları keşfetmek ve izlemek onları korumanın kritik bir parçası haline gelecek.
NHI’lerin yaşam döngüsü, tek görevler için kısa vadeli veya bir sistemin sürekli operasyonları için uzun vadeli olarak sağlanabilmeleri bakımından da benzersizdir. NHI’lerin oluşturulması, sona ermesi ve yenilenmesi ve sağlanması hızı, insan kimliklerinden kaynaklanan benzersiz bir zorluk olacaktır.
NHI’ler ayrıca insan kimliklerinden farklı yetkilendirme mekanizmalarına sahip olacak. İnsan kimlikleri, token ve sertifika gibi teknikler kullanan NHI’lere uygulanmayan parolalar ve biyometri gibi yetkilendirme tekniklerini kullanarak Çok Faktörlü Kimlik Doğrulama ve Tek Oturum Açma işlemlerini uygulayacaktır. Bu tür kimlik doğrulama yöntemlerini kimlik bilgilerini döndürme veya değiştirme ve ardından erişimi ve ayrıcalıkları izleme ve ayarlama yeteneğiyle yönetmek, NHI kimlik doğrulamasının benzersiz bir yönüdür.
NHI’nin davranış kalıpları da insanlarınkinden daha öngörülebilirdir, bu da insanların belirli zamanlarda aktif olduğu ve çeşitli davranışlar sergileyeceği anlamına gelir. Bu arada, NHI’ler günün her saati aktif olabilir ve erişimleri ve rolleri konusunda çok belirleyici olacaktır. Bu belirleyici ilkeler nedeniyle, yanlış bir şekilde sağlandığında, NHI’ler güvenlik politikalarını ihlal edebilecek ve ortamları ifşa edebilecek parametreler içinde çalışacaktır.
NHI’ların bu benzersiz yönlerinin ve NHI Güvenlik Raporu’nda belirtilen ek özelliklerin izlenmesi ve otomatikleştirilmesi, NHI ortamlarının güvenliğinin sağlanması açısından hayati önem taşıyacaktır.
Kuruluşların %20’sinden azı API anahtarlarını devre dışı bırakmak ve döndürmek için resmi süreçlere sahiptir. Bu süreçleri kolaylaştırmak ve güvenlik risklerini azaltmak için hangi en iyi uygulamaları önerirsiniz?
Resmi süreçlerin uygulanması, NHI’lerin yaşam döngüsü yönetiminin önemli bir parçası olmalıdır. NHI’lerin sağlanması, görevleri veya sorumlulukları belirtmeyi, uygun erişim ve izinleri sağlamayı ve NHI için kimlik bilgilerinin yetkilendirilmesini veya atanmasını içerir. Bu süreçte kimlik bilgisi rotasyonu da dahil olmak üzere sürekli izleme ve düzenli denetimler, NHI’nin performansını değerlendirmeye veya anormallikleri bulmaya yardımcı olur ve NHI’nin amaçlanan kapsamı içinde çalıştığından emin olur. Kullanım kalıpları, olası güvenlik risklerini belirlemek ve azaltmak için analiz edilebilir.
NHI (Ulusal Sağlık Sigortası) güvenliği konusunda sıkıntı çeken kuruluşlara vereceğiniz en önemli üç öneri nedir?
Öncelikle, ortamınızdaki NHI’ları keşfetmek ve kategorilere ayırmak için otomatik araçlar kullanın. Bu, ortamınızdaki tehditleri, güvenlik açıklarını ve riskleri değerlendirmek için güvenlik ekipleri tarafından görülebilmesi gereken gölge BT’nin benzersiz bir yönüdür.
İkinci olarak, bu NHI’ların ortamınızda nasıl bağlantı kurduğunu ve etkileşime girdiğini izleyin; böylece ortamınızı ifşa edebilecek hassas sistemleri, makineleri, uygulamaları ve hizmetleri belirleyebilirsiniz.
Son olarak, güvenlik ekiplerinizin düzeltme ve azaltma faktörlerine başlayabilmesi için tüm güvenlik açıklarını, riskleri ve açığa çıkma durumlarını öncelik sırasına koyun ve sıralayın.