Kuruluşlar yıllarca insan kimlik güvenliğini güçlendirmek için harcamış olsa da, dijital altyapımızda kritik bir kırılganlık artmaktadır. Günümüz girişimindeki her insan kimliği için, şimdi gölgelerde faaliyet gösteren yaklaşık 50 makine kimliği var. Bu insan olmayan kimlikler (NHIS)-API anahtarlarından hizmet hesaplarına, sertifikalardan otomasyon botlarına kadar-birçok kuruluşun göz ardı ettiği büyük bir güvenlik zayıflığı haline gelmiştir.
Okta, Cloudflare ve İnternet arşivindeki olaylar da dahil olmak üzere yüksek profilli ihlal dizisi, ortak bir iş parçacığını paylaşıyor: tehlikeye atılmış makine kimlikleri. Yine de birçok kuruluş NHI güvenliğini sonradan düşünmeye devam ediyor.
Endüstri araştırması bu zorluğun kapsamını ortaya koymaktadır: Kuruluşların% 46’sı insan olmayan hesaplara veya kimlik bilgilerine sahip olduklarını bilir ve% 26’sı bu tür uzlaşmalar yaşayabileceklerinden şüphelenmektedir. Daha da önemlisi, işletmelerin% 66’sı tehlikeye atılan makine kimliklerinden kaynaklanan başarılı saldırılar yaşadı. Bunlar sadece izole olaylar değil – kuruluşların% 25’i bu tür saldırılarla karşılaştı.
Sorun üç kat:
- İlk olarak, benzeri görülmemiş bir ölçekle uğraşıyoruz. Bulut dönüşümü ve yapay zeka, makine-makine iletişimi patlaması yarattı. Her kapsayıcı uygulama, her mikro hizmet ve her otomatik iş akışının kendi kimliğine ihtiyacı vardır. İşletmeler AI benimsemelerini hızlandırdıkça ve daha fazla işletme ajanı kullandıkça, makine kimliklerinin ve sırların bu çoğalması sadece hızlanacaktır. Bu kimlikler sadece doğrusal olarak büyümez, aynı zamanda katlanarak çoğalırlar. Ve tüm bu kimliklerin uygulamaların çalışması için düzenli olarak birbirlerine erişmesi gerekir.
- İkincisi, geleneksel güvenlik araçları bu gerçeklik için inşa edilmedi. Kuruluşlar insan IAM çözümlerine büyük yatırım yaparken, birçoğu NHI yönetimi için gereken temel yeteneklerden yoksundur: tespit, yaşam döngüsü yönetimi ve ayrıntılı erişim kontrolü. Mevcut araçlar genellikle modern altyapıyı güvence altına almakta yetersiz kalır.
- Üçüncüsü ve belki de en eleştirel olarak, güvenlik ekipleri ve DevOps arasında tehlikeli bir kopukluk var. Geliştirme döngülerini hızlandırmak için acele ederken, makine kimlikleri genellikle geçici olarak oluşturulur ve en az ayrı prensipleri ihlal eden varsayılan izinler ile oluşturulur. Bu, bulut ortamlarında önemli güvenlik boşlukları oluşturur.
Çıkarımlar açıktır. Kurul düzeyinde dikkat gerektiren NHI güvenlik olaylarının% 57’si ile bu artık teknik bir sorun değil-hemen dikkat gerektiren iş açısından kritik bir konu.
Üç kritik eylem, kuruluşların bu zorlukları ele almasına yardımcı olabilir:
- Makine kimliklerinin sürekli keşfi ve envanterini uygulayın. İlişkileri, izinleri ve çevre genelinde kullanım kalıplarını anlamak da dahil olmak üzere kapsamlı görünürlük esastır.
- Sır yönetimi ve makine kimlik güvenliğine birleşik bir yaklaşım benimseyin. Bunlara ayrı alanlar yerine entegre olarak ele alınması karmaşıklığı azaltır ve görünürlüğü artırır.
- Mümkün olduğunca “gizli” mimarileri ve geçici kimlik bilgilerini kucaklayın. Modern güvenlik mimarileri, dinamik, kısa ömürlü kimlik bilgileri ile sıfır ayakta ayrıcalıklar (ZSP) sağlar ve ayrıca Spifee gibi potansiyel uzlaşma etkisini sınırlayan ortaya çıkan “gizli olmayan” çerçeveleri destekler.
Makine kimlik yönetimi yeni güvenlik sınırı haline geldi. Yapay zeka ve otonom sistemler gelişmeye devam ettikçe, makine-insan kimliklerinin oranı sadece artacaktır. Güvenlik stratejilerini uyarlayamayan kuruluşlar buna göre önemli risklerle karşı karşıyadır.
Veriler kendisi için konuşuyor – sırlar ve makine kimliği güvenliği derhal dikkat gerektiriyor. Bu konuya odaklanmış kurullar ile güvenlik liderleri, kuruluşlarının geleceğini korumak için şimdi harekete geçmelidir.
Hakkında: Oded Hareven, dünyanın ilk birleşik sırları ve makine kimlik platformu olan Akeyless Security’nin CEO’su ve kurucu ortağıdır.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!