Kimliği Sola Kaydırın: Kimlik Temelli İhlalleri Önleme


“Sola Kaydırmak” Ne Demektir?

“Sola kaydır”, sorunları bir süreçte daha erken yakalayıp çözmeye öncelik veren, böylece kusurları en aza indiren ve kaliteli çıktıyı artıran güçlü bir kavramdır. Güvenlikte, metodoloji, algılama ve düzeltme döngülerinde geleneksel olarak ele alınan güvenlik açıklarını bulmak ve bu sorunları önceden ele almak için kullanılıyor. AppSec alanında popüler hale gelmesine rağmen, aynı derecede güçlü bir sola kaydırma uygulaması kimlik yönetiminde gelişiyor. Kimlik, bulut tabanlı dünyadaki yeni güvenlik alanıdır. Riski azaltmak için politika ve otomasyon kullanımıyla tanımlanan yeni bir erişim kontrolü paradigması keşfetmemiz gerekiyor.

Bugünün Dünyası: Üretkenlik Uğruna Onay Kutusu Uyumluluğu ve IAM

Diğerlerinin yanı sıra, ayrıcalık yükseltmeden yetkisiz erişime kadar manşetlere çıkan kimlik tabanlı saldırılar konusunda hiçbir eksiklik yoktur. Uyumluluk, genel güvenlik uygulamalarının iyi bir işareti olsa da, her zaman gerçek risk azaltmanın bir göstergesi değildir. Üç aylık veya yıllık erişim incelemeleri, hassas erişime sahip aşırı yetkilendirilmiş ve devre dışı bırakılmış kullanıcıları “keşfeder” ve her seferinde aylarca güvenlik açıkları bırakır. Üç aylık zamanlama, “kutuyu işaretlemek” için yeterli olsa da, gerçek risk azaltma, çoğu uygulama için (kimlik sağlayıcınıza bağlı olsun ya da olmasın) zamanında ve daha sık inceleme yapılmasını gerektirecektir. Artan sayıda SaaS ve IaaS teklifi, grup yayılmasının etkisi ve bunun için gereken manuel çaba düzeyi, çoğu işletme için daha sık incelemeleri maliyet açısından engelleyici hale getiriyor.

Verimlilik için güvenlik ticareti yapan bir dünyaya kök saldık. Aşağı yöndeki erişim değişikliklerini yönetmekten kaçınabilmemiz için mümkün olduğu kadar çok doğum hakkı erişimi sağlıyoruz, ancak yine de uyumluluğun gerektirdiği şekilde bu erişimi düzenli olarak kontrol ediyoruz. Erişim değişiklikleri gerektiğinde, günlerce veya haftalarca kuyrukta bekleyen yardım masası biletleri aracılığıyla duvarın üzerinden atılırlar. Güvenlik açısından bakıldığında, uyumluluk ve erişimin yönetimi için çok fazla enerji harcanıyor, ancak risk azaltma konusunda henüz yüzeysel değil.

Düşüncelerinizi Değiştirin: Riski Gerçekten Azaltan Erişim Kontrolleri

Uyumluluk ve IAM’de daha iyi güvenlik sonuçları, mühendisler gibi otomatikleştirmemizi ve yeni yaklaşımlar benimsememizi gerektiriyor. Uyarı verme, üç aylık incelemeler ve biletleme, zaten gerçekleştikten sonra aşırı ayrıcalığı belirleyen ve ele alan, ağır tespit ve düzeltme taktikleridir. Sola kaydırmak için erişimin kontrol edilme biçimini modernize etmemiz gerekiyor. Modern erişim kontrollerini tasarlamak, tüm teknolojilere kimlik merkezli bir bakış açısı, demokratikleştirilmiş erişim kararı verme, en az ayrıcalık politikasını kod olarak tanımlama yeteneği ve hepsinden önemlisi, alabildiğimiz her yerde otomasyon gerektirecektir. Erişimi güvence altına almak için ilkelere dayalı ilk yaklaşım gereklidir: Kullanıcılar, işlerini yapmak için ihtiyaç duydukları sürece erişime sahip olmalıdır ve artık erişime sahip olmamalıdır. Bunu uygulamak zordur, ancak işte birkaç başlangıç:

1. Erişim yönetiminin demokratikleştirilmesi, ancak kontrol politikasının merkezi olarak uygulanması. Sistem sahipleri, kullanıcıların neden erişime ihtiyaç duyduğu konusunda en iyi bilgiye ve bağlama sahiptir ve BT, biletleme aracısı olmaktan hoşlanmaz. Sistem sahipleri tarafından verilen erişim kararları, sınıflandırmalara dayalı erişimi yönetmek için merkezi olarak tanımlanmış bir politika ile dengelenmelidir. Politika, mümkünse kodda tanımlanmalı ve değişiklik yönetimi süreçleriyle yönetilmelidir.

2. Erişim gerekçesi ve sınırlı süreli erişim. Kullanıcılar yalnızca bir iş yaparken, bir işlevi yerine getirirken, bir ekibe katkıda bulunurken, çağrı üzerine çalışırken vb. erişime ihtiyaç duyar. Gerekçe, bir kullanıcının o anda neden özel erişime ihtiyaç duyduğunun bağlamıdır. Bu gerekçe olmadan, erişim gerekli değildir ve otomatik olarak kaldırılır.

3. Kullanıcı erişim incelemelerini (UAR’lar) otomatikleştirme. UAR’lar, ayakta kalan ayrıcalıkları azaltmada ve uygunsuz hesapları ve erişimi belirlemede son derece etkilidir. Sorun, manuel UAR’ların sık çalıştırılması için çok zaman ve emek yoğun olmasıdır, bu da süresi dolmuş hesapların ve ayrıcalıkların belirlenmesinde ve iptal edilmesinde gecikmeler anlamına gelir. Otomatik kullanıcı erişimi incelemeleriyle, erişimin %10 ila %25’inin düzenli olarak aşırı sağlanmış, uygunsuz veya kullanılmamış olarak işaretlendiğini ve ardından kaldırıldığını tespit ettik.

4. Self servis ve tam zamanında erişim provizyonu. Çalışanlar, ihtiyaç duydukları anda kapsamlı uygulama ve kaynak kataloglarından erişim talebinde bulunabilmelidir. SSO sağlayıcısına bağlı olsun ya da olmasın, hesaplar ve izinler manuel olarak dokunulmadan sağlanabilmelidir. Politika süreci yönlendirmelidir, böylece düşük ayrıcalıklı erişim, döngüde bir insan olmadan otomatik olarak verilebilir ve daha yüksek ayrıcalıklı erişim, doğru onaylayıcılara hızlı ve verimli bir şekilde yönlendirilebilir.

İlerlemek, En Az Ayrıcalıklı Düşünme, Araçlar ve Otomasyonla Sola Kaymak

Erişimin karmakarışık olduğunu anlamalı ve bu gerçeği en az ayrıcalık ilkesiyle ve bunu uygulayacak otomasyonla kucaklamalıyız. Katılık ve merkezileşmeye değil, politika ve delegasyona odaklanmalıyız. Kullanıcılar rolleri ve ekipleri değiştirir. Bazen geçici erişim ve izinlere ihtiyaç duyarsınız. Çalışanlar gelir ve gider. Önemli olan, ilke tarafından yönetilen ve otomasyonla yürütülen ortamınızın, ekibiniz için gerekli olan minimum hassas erişim düzeyine her zaman ve öngörülebilir şekilde geri dönmesidir. Ancak o zaman kimliğin saldırı yüzey alanını azaltabilir ve ilk etapta ihlalleri tespit etmekten kaçınmaya geçebilirsiniz.

yazar hakkında

Alex Bovee

Alex Bovee, modern kimlik yönetişimi ve erişim kontrolüne odaklanan bir teknoloji şirketi olan ConductorOne’ın kurucu ortağı ve CEO’sudur. Güvenlik ve kimlik geçmişiyle, son olarak Okta’nın sıfır güven ürün portföyünü ve ondan önce Lookout Mobile Security’de kurumsal cihaz güvenlik ürünlerini yönetti. Kimlik merkezli otomasyon ve erişim kontrolü yoluyla şirketlerin daha güvenli ve üretken olmalarına yardımcı olmak için ConductorOne’ı kurdu. Boş zamanlarında gitar çalmayı ve çocuklarını etkinliklere götürmeyi seviyor.



Source link