İnsan olmayan kimliklerin yaygınlaşması


Entro Security’nin Siber Güvenlikte İnsan Olmayan Kimlikler ve Sırların 2025 Durumu raporuna göre, insan olmayan kimliklerin (İHK) %97’si aşırı ayrıcalıklara sahip, bu da yetkisiz erişimi artırıyor ve saldırı yüzeyini genişletiyor.

insan olmayan kimlikler NHI'lar

Kuruluşların %92’si NHI’larını üçüncü taraflara açıyor ve üçüncü taraf güvenlik uygulamalarının kurumsal standartlarla uyumlu olmaması durumunda yetkisiz erişime neden oluyor.

Şaşırtıcı bir şekilde, tokenların %44’ü vahşi doğada açığa çıkarılmış durumda ve Teams, Jira biletleri, Confluence sayfaları, kod taahhütleri ve daha fazlası gibi platformlar üzerinden gönderiliyor veya saklanıyor. Bu dikkatsiz uygulama hassas bilgileri ele geçirilme ve ifşa olma riskine sokarak daha iyi güvenlik uygulamalarına acil ihtiyaç olduğunu vurguluyor.

Temel bulgular

Araştırma, hem insan hem de NHI’ların ele alınmasında eğilimleri ortaya koyarken, kuruluşlar genelinde önemli yanlış yapılandırmalar ve riskler yaygın:

  • Her insan kimliği için ortalama 92 insan olmayan kimlik vardır. İnsan olmayan kimliklerin ezici bir şekilde çok olması kimlik yönetiminin karmaşıklığını ve güvenlik açıkları potansiyelini artırır
  • Eski çalışanların token’larının %91’i aktif kalmaya devam ediyor ve bu da kuruluşları potansiyel güvenlik ihlallerine karşı savunmasız bırakıyor
  • Kuruluşların %50’si, başlangıçtan itibaren güvenlik açıkları ve yanlış yapılandırmalar oluşturabilecek uygun güvenlik onayı olmadan yeni kasalar kuruyor
  • Kasaların %73’ü yanlış yapılandırılmıştır ve bu da hassas verilere ve tehlikeye atılmış sistemlere yetkisiz erişime ve ifşaya yol açmaktadır
  • NHI’lerin %60’ı aşırı kullanılıyor ve aynı NHI birden fazla uygulama tarafından kullanılıyor, bu da tek bir arıza noktası riskini ve aşırı kullanım durumunda yaygın bir tehlike riskini artırıyor
  • Tüm sırların %62’si çoğaltılıyor ve birden fazla konumda saklanıyor, bu da gereksiz yedekliliğe neden oluyor ve yanlışlıkla ifşa olma riskini artırıyor
  • İnsan olmayan kimliklerin %71’i önerilen zaman dilimleri içerisinde döndürülmüyor ve bu da zamanla tehlikeye girme riskini artırıyor

Bu raporun verileri, yeni kurulan şirketlerden Fortune 100 şirketlerine kadar çeşitli sektörlerdeki milyonlarca gizli bilgi ve NHI’dan toplandı.



Source link