Kimlik doğrulamanın siber güvenliğin temel taşı olmasına rağmen Enzoic’in yeni araştırmasına göre risk azaltma stratejileri güncelliğini koruyor.
Saldırı yüzeyinin genişlemesi ve siber tehditlerin karmaşıklığının artmasıyla birlikte kuruluşlar, güvenli ve kullanıcı dostu kimlik doğrulama sağlamakta zorlanıyor. Araştırma, modern stratejilerin ortaya çıkmasına rağmen çoğu şirketin hâlâ geleneksel yaklaşımlara güvendiğini ortaya çıkardı.
Verizon 2023 Veri İhlali Araştırma Raporu’na göre, çoğu kişi şifre yönetimi için en iyi uygulamalara uymakta başarısız oluyor ve bu da ihlallerin %50’sinden fazlasının arkasında ele geçirilen kimlik bilgilerinin bulunması nedeniyle onları açığa çıkarıyor.
Enzoic CEO’su Michael Greene, “Kimlik doğrulama stratejileri kesinlikle siber suçluların hedefindedir” dedi. “Kabul edilen bu güvenlik açığına rağmen kuruluşlar, bir tehdit vektörü olarak kimlik doğrulama mekanizmalarını ortadan kaldıramayan eski stratejiler uygulamaya devam ediyor. Çoğu kuruluş için çok fazla heyecan duyulan şifresiz gelecek yakın zamanda ufukta görünmüyor, bu nedenle kullanıcılar için sorun yaratmayan modern ve sağlam şifre politikalarının benimsenmesi hayati önem taşıyor.”
Şifresiz gerçeklik
Şirketlerin yalnızca %12’si parolasız stratejilere güveniyor; %68’i kimlik doğrulama için öncelikle kullanıcı adlarını ve parolaları kullanıyor. %46’sı önümüzdeki üç yıl içinde şifreleri aşamalı olarak kaldırmayı düşünüyor. Ancak %19’unun herhangi bir planı yok; bu da sorunlara rağmen şifrelerin önemli bir kimlik doğrulama mekanizması olmayı sürdürdüğünü gösteriyor.
Dijital varlıklarını en iyi şekilde korumak için, baskın kimlik doğrulama yöntemi olan parolaları kullanan kuruluşların, daha modern parola politikalarını yansıtacak şekilde güncelleme uygulamalarına öncelik vermesi gerekir. MFA telafi edici bir kontrol olabilir, ancak güçlü şifre önlemlerini değiştirmeyi değil, geliştirmeyi amaçlamaktadır. Kuruluşlar, karanlık ağı yakından izleyerek ve ortamınızda kullanılan açıkta kalan kimlik bilgilerini ortadan kaldırarak, saldırganların ortak giriş noktasına karşı etkili bir şekilde koruma sağlayabilir.
Karanlık ağ ikilemi
%84’ü zayıf ve güvenliği ihlal edilmiş şifrelerden endişe duyuyor. Ancak birçoğu karşılaştıkları riskler konusunda karanlıkta kalıyor. %46’sı şifrelerinin 1/5’inin karanlık web’de olabileceğini düşünüyor, %26’sı kuruluşlarının şifrelerinin karanlık web’de bulunup bulunamayacağından emin değil ve %56’sı MFA ile kullanılabilirlik veya uyumluluk gibi sorunlarla karşılaştı.
Siber saldırı eylemi teşvik ediyor
Ancak bir işletme, kimlik doğrulamayla ilgili bir siber saldırıya maruz kaldığında, bu genellikle savunmayı güçlendirmek için bir itici güç olur.
Bir saldırının ardından:
- %38’i düzenli güvenlik denetimleri ve güvenlik açığı değerlendirmeleri gerçekleştiriyor
- %28’i MFA uyguluyor
- %30’u şifre politikalarını güçlendiriyor
- %26’sı kullanıcıları eğitiyor
- Ancak %10’u bir saldırı meydana geldikten sonra hiçbir değişiklik yapmaz!
Şifreyle ilgili en iyi uygulama bilgi boşluğu
NIST tarafından 2017’de yayınlanan en iyi şifre uygulamaları kılavuzuna rağmen kuruluşların %54’ü çerçeveyi yalnızca son 12 ay içinde öğrendi ve %33 gibi şaşırtıcı bir oran hâlâ bundan haberdar değil. Bu, şirketlerin %74’ünün hâlâ periyodik şifre sıfırlamalara ve güncelliğini yitirmiş karakter kurallarına bel bağlaması tarafından yansıtılmaktadır.
Bu bilgi açığının doğrudan sonucu, şifre stratejilerinin güncelliğini yitirmesi ve saldırı olasılığının artmasıdır.
Greene, “Şirketlerin şifresiz aldatmacanın ötesini görmesi ve kimlik bilgileri güvenliğini güçlendirmek için bugün harekete geçmesi zorunludur” dedi.