Bu Help Net Security röportajında, Zitadel CEO’su Florian Forster, CISO’ların giderek daha fazla dağıtılmış ve uzak iş gücünde kimlik doğrulamayı yönetmede karşılaştığı zorlukları, etkisiz yetkilendirmenin olumsuz sonuçlarını ve bulut dönüşümüne geçişin kimlik doğrulama stratejilerini nasıl etkilediğini tartışıyor.
Etkin olmayan yetkilendirmenin gerçek dünyadaki bazı sonuçları nelerdir ve bunlar nasıl önlenebilir?
Etkin olmayan yetkilendirmenin birden fazla olumsuz sonucu olabilir; bunlardan bazıları şunlardır:
Veri ihlalleri: Yetkisiz kişilerin hassas verilere erişimi olduğunda, bu veriler çalınabilir veya bireysel bir kuruluşa karşı çeşitli şekillerde kötüye kullanılabilir.
Sahtekar: Etkin olmayan yetkilendirme, saldırganların kredi kartı dolandırıcılığı veya kimlik hırsızlığı gibi dolandırıcılık yapmasını kolaylaştırabilir.
Sistem güvenliği: Yetkilendirme düzgün bir şekilde uygulanmadığında, saldırganların bilgileri ele geçirmek veya ele geçirmek için kullanabileceği sistem güvenlik açıkları oluşturabilir.
Uyumluluk ihlalleri: Etkin olmayan yetkilendirme, veri gizliliği yasalarıyla ilgili olanlar gibi uyumluluk ihlallerine yol açabilir. Bu, para cezalarına, cezalara ve diğer yaptırımlara neden olabilir.
Verimlilik kaybı: Çalışanların işlerini yapmak için ihtiyaç duydukları yetkiye sahip olmaması verimlilik kaybına yol açabilir. Bu aynı zamanda çalışanlar arasında sıklıkla gözden kaçan bir nokta olan hayal kırıklığı ve memnuniyetsizliğe de yol açabilir.
Etkin olmayan yetkilendirmeyi önlemenin çeşitli yolları vardır:
Güçlü erişim kontrolü politikaları ve prosedürlerini uygulamak
Erişim kontrol politikaları, kimin hangi kaynaklara ve hangi koşullar altında erişebileceğini tanımlamalıdır. Erişim kontrol prosedürleri bu politikaların uygulanmasını ve icra edilmesini sağlamalıdır.
En az ayrıcalığı kullanma
En az ayrıcalık ilkesi, kullanıcılara yalnızca iş görevlerini yerine getirmek için ihtiyaç duydukları izinlerin verilmesi gerektiğini belirtir. Bu, hassas verilere veya sistemlere yetkisiz erişim riskinin azaltılmasına yardımcı olur. Ancak şirketlerin açık erişim zihniyetine sahip olması durumunda bu, şirket kültürünüzle bir dereceye kadar çelişebilir ve bu da şirket kültürü ve üretkenliği açısından istenmeyen sonuçlara yol açabilir.
Yetkilerin düzenli olarak gözden geçirilmesi
Yetkilerin hala uygun olduğundan emin olmak için düzenli olarak gözden geçirilmesi gerekir. Bu özellikle personel veya iş görevlerinde değişiklik olduğunda önemlidir.
Güvenli kimlik doğrulamayı kullanma
Parolasız veya çok faktörlü kimlik doğrulama, kullanıcıların bir sisteme veya kaynağa erişim sağlamak için iki veya daha fazla kimlik bilgisi sağlamasını gerektirir. Bu, kullanıcının şifresi ele geçirilse bile yetkisiz erişimin önlenmesine yardımcı olur.
Kullanıcıları güvenlik riskleri konusunda eğitmek
Kullanıcılar, etkisiz yetkilendirmeyle ilişkili güvenlik riskleri ve kendilerini nasıl koruyacakları konusunda eğitilmelidir. Bu, onlara güçlü şifreler oluşturma, kimlik avı saldırılarından kaçınma ve şüpheli etkinlikleri bildirme konusunda eğitim vermeyi içerir.
Geliştirmede test otomasyonunu uygulayın
Kendi yazılımlarını oluşturan şirketler, geliştirme hatalarının erişim kontrolünü bozmasını önlemek için yetkilendirme sistemlerinin otomatik testine yatırım yapmalıdır. OWASP’ın 2021’de bozuk erişim kontrolünü Top 10 raporunda 1 numaraya atadığını belirtmekte fayda var.
Uzun vadeli bir denetim izi tutun
Çoğu zaman bir ihlal meydana geldiğinde, birkaç aydan daha uzun süren bir denetim takibinin olması çok önemlidir (kendi deneyimlerimize göre 13 ayı öneriyoruz). Bunun nedeni, bir ihlalden sonra görünür hale gelmesinin uzun zaman alabilmesidir.
Giderek daha fazla dağıtılan ve uzak iş gücünde kimlik doğrulamayı yönetme konusunda CISO’ların bugün karşılaştığı en önemli zorluklar nelerdir?
Bugün CISO’ların karşı karşıya olduğunu gördüğüm en önemli zorluklar şunlardır:
Güvenliği sağlanması gereken cihaz ve uygulamaların sayısı artıyor
Giderek daha fazla çalışanın uzaktan çalışmasıyla birlikte, kurumsal kaynaklara erişmek için daha çeşitli cihazlar ve uygulamalar kullanılıyor. Bu, güvenliği sağlanması gereken tüm cihazların ve uygulamaların takip edilmesini ve hepsinin güçlü kimlik doğrulama yöntemleri kullandığından emin olmayı zorlaştırır.
Kimlik doğrulama cihazları
Şirketler şifresiz (FIDO2) ve hatta Akıllı Kartlar gibi güvenli kimlik doğrulama kavramlarını kullanmaya başlamak istediklerinde, kimlik doğrulama cihazlarını çalışanlarına teslim etmek ek bir yük haline gelir. Çoğu zaman TOFU (ilk kullanımda güven) sürecinin kullanılması ek risklere yol açar. Ancak bu her şirket için geçerli olmayabilir.
Siber saldırıların giderek karmaşıklaşması
Siber saldırılar giderek daha karmaşık hale geliyor ve saldırganlar sürekli olarak geleneksel kimlik doğrulama yöntemlerini atlamanın yeni yollarını arıyor. Bu, CISO’ların kuruluşlarını güvende tutmasını zorlaştırıyor.
Güvenliği kullanılabilirlikle dengeleme ihtiyacı
CISO’ların güçlü kimlik doğrulama ihtiyacını kullanılabilirlik ihtiyacıyla dengelemenin bir yolunu bulması gerekiyor. Kimlik doğrulamanın çok karmaşık veya elverişsiz olması durumunda, kullanıcılar bunu atlama eğiliminde olabilir ve bu da kuruluşu saldırılara karşı savunmasız bırakabilir.
Kaynak eksikliği
Çoğu kuruluş, dağıtılmış bir iş gücünde güçlü kimlik doğrulamayı uygulamak ve yönetmek için ihtiyaç duyduğu kaynaklara sahip değildir. Bu, en son güvenlik tehditlerine ayak uydurmayı ve tüm kullanıcıların güçlü kimlik doğrulama yöntemleri kullanmasını sağlamayı zorlaştırabilir.
Küresel olarak gelişen gizlilik düzenlemeleriyle birlikte, kimlik doğrulama stratejileri etkili ve kullanıcı dostu olurken aynı zamanda uyumlu kalmak için nasıl uyum sağlamalıdır?
Sıfır bilgi kanıtı kavramları gibi, kullanıcı gizliliğini korumak için kullanılabilecek bir dizi kimlik doğrulama yöntemi vardır. Ancak bazı durumlarda kimlik doğrulama işleminin, kimlik doğrulama yöntemini bir özneye güvenilir bir şekilde bağlama hedefiyle çelişebilirler.
Sonuçta bir hizmetin iş durumuna bağlıdır. Muhtemelen anonim bir kullanıcının kimlik doğrulaması uygunsa, bu kavramlar harika çalışacaktır. Ancak gizliliği koruyan bir kimlik doğrulama aracını bir kimliğe bağladığınız (bağlamanız gerektiği) anda, amacı bozar.
Biyometrik kimlik doğrulamanın yükselişiyle birlikte, gizliliği korumak için biyometrik verilerin (herhangi bir tür veya biçimde) ağlar üzerinden paylaşılmamasının önemli olduğunu belirtmekte fayda var. Aynı zamanda, bir kullanıcının cihazında kimlik doğrulaması için anahtar materyali oluşturma aracı olarak biyometrik verileri kullanmaktan da kaçınılmalıdır (kimlik doğrulama için, yani gizli bir depolamanın kilidini açmak için cihaz üzerinde kullanılabilir), çünkü bu, potansiyel olarak istenmeyen bilgilerin açığa çıkmasına yol açacaktır. izlenebilir PII. Bunu açıkça belirtmenin birden fazla nedeni vardır, ancak en önemlisi insanların genellikle biyometrinin şifreyle değiştirilebileceği gibi kolayca değiştirilemeyeceğinin farkında olmamalarıdır.
Bulut dönüşümüne geçiş, işletmelerin kimlik doğrulama stratejilerini nasıl etkiledi?
Bulut dönüşümüne doğru geçiş, daha fazla yönetilen ve yönetilmeyen cihazın, dahili uygulamanın ve üçüncü taraf hizmetlerinin güvence altına alınmasına ihtiyaç duyulmasına yol açtı. Daha iyi/daha güçlü kimlik doğrulama, daha fazla esneklik ve daha fazla otomasyona duyulan ihtiyaç, şüphesiz en büyük zorluklardan biridir. Bu sorunu çözmek için işletmeler MFA, parolasız, risk tabanlı kimlik doğrulama, biyometrik kimlik doğrulama, sıfır güven güvenliği ve SSO stratejileri gibi yeni kimlik doğrulama stratejilerini benimsiyor.
Kuruluşlar kimliklerini ve kimlik bilgilerini kontrol etmek için bulut sistemlerini kullanmaya başlayınca bu ilginç bir tartışma haline geliyor. Risk açısından bakıldığında bazı özel hususlara ihtiyaç vardır.
- Kimlik sistemine erişilemezse ne olur? Bunun, servis sağlayıcıyla bir anlaşmazlık veya bununla ilgili operasyonel sorunlar gibi birçok nedeni olabilir. Şirketlerin bu riske yönelik acil durum planları oluşturması gerekiyor.
- Kimlik sistemi tehlikeye girerse ne olur? Adli tıp işlemlerinin ardından bilgi alınabiliyor mu? Bunun güncel bir örneği Microsoft’un yakın zamanda yaşadığı ihlaldir.
Kuruluşlar eski protokolleri desteklemekle yeni kimlik doğrulama teknolojilerini benimsemek arasındaki gerilimi nasıl yönetiyor?
Kuruluşlar, eski protokolleri desteklemek ile yeni kimlik doğrulama teknolojilerini benimsemek arasındaki gerilimi zaman içinde eski protokolleri aşamalı olarak kaldırarak, hem eski protokolleri hem de yeni kimlik doğrulama teknolojilerini aynı anda kullanarak veya tüm kullanıcıları ve uygulamaları desteklemek için tek bir kimlik doğrulama sistemi kullanarak yönetiyor. Bir kuruluş için en iyi yaklaşım, kuruluşun özel ihtiyaçlarına ve koşullarına bağlı olacaktır.
Ancak dikkate alınması gereken bazı önemli hususlar vardır:
- Ücret: Eski protokollerin desteklenmesi operasyonel bir yük haline gelebilir. Birden fazla sistemin çalışır durumda olması gerektiğinden.
- Riskler: Kullanıcılar belirli hizmetler için hâlâ tek faktörlü oturum açmayı kullanıyorsa, eski protokollerin desteklenmesi, güvenli kimlik doğrulama (özellikle parolasız) yönünde çalışmak için bir sorun haline gelebilir. Bu ortamları mimarinin geri kalanından yalıtmak daha verimli olabilir. Ancak bu, eski bir hizmete erişmesi gereken kullanıcı sayısına bağlı olabilir.
Kuruluşların, bu faktörleri dikkatli bir şekilde göz önünde bulundurarak, eski protokolleri desteklemek ile yeni kimlik doğrulama teknolojilerini benimsemek arasındaki gerilimi ve kullanıcıları üzerindeki etkisini nasıl giderecekleri konusunda bilinçli kararlar alması gerekir.
Kuruluşlar makine kimliği stratejileri geliştirirken makine kimlik bilgilerini etkili bir şekilde yönetmek için hangi en iyi uygulamalar ortaya çıkıyor?
Kuruluşlar olarak makine kimlik bilgilerini etkili bir şekilde yönetmek için aklıma gelen en iyi uygulamalardan bazıları şunlardır:
(Makine) kimlik yönetiminin kullanımı: Bu, kuruluşların kimlik bilgilerinin sağlanması, rotasyonu ve yetkilendirmesinin kaldırılması da dahil olmak üzere makine kimlik bilgilerinin yönetimini otomatikleştirmesine yardımcı olabilir. Bu, insan hatası riskini azaltır ve makine kimlik bilgilerinin güvenliğini artırır.
Güvenli depolamayı kullanma: Makine kimlik bilgilerinin yetkisiz erişime karşı korunması için güvenli bir şekilde saklanması gerekir. Bu, simetrik veya asimetrik şifreleme gibi çeşitli şifreleme yöntemleri kullanılarak veya HSM’ler veya yazılım tabanlı ürünler gibi özel gizli depolama çözümleri kullanılarak yapılabilir.
Makine kimlik bilgilerini düzenli olarak değiştirin: Makine kimlik bilgilerinin ele geçirilmesi riskini azaltmak için düzenli olarak değiştirilmelidir. Dönme sıklığı, makinenin eriştiği verilerin hassasiyetine bağlı olacaktır.
Güvenli kimlik doğrulamayı kullanın: Güvenli kimlik doğrulama, gizli depolamaya veya kimlik sistemine yetkisiz erişimi önlemek için makine kimlik bilgilerinin korunmasına yardımcı olabilir.
Şüpheli davranışlara karşı makine etkinliğini izleyin: Kuruluşlar, tekrarlanan başarısız oturum açma girişimleri veya yetkisiz kaynaklara erişim gibi şüpheli davranışlara karşı makine etkinliğini izlemelidir. Bu, yetkisiz erişimin tespit edilmesine ve düzeltici önlem alınmasına yardımcı olabilir.
Bu alanda yolculuğa başladıktan sonra dikkate alınması gereken daha fazla şey olsa da, bu en iyi uygulamalar, makine kimlikleriyle çalışırken harika bir temel oluşturur.