Kimlik güvenliği, aralarında Microsoft, Okta, Cloudflare ve Snowflake’in de bulunduğu son zamanlardaki ihlallere bakıldığında ön planda ve merkezdedir. Kuruluşlar, kimlik güvenliğine hem stratejik hem de teknolojik açıdan yaklaşma şeklimiz açısından bir değişiklik yapılması gerektiğinin farkına varmaya başlıyor.
Kimlik güvenliği, erişimin sağlanmasından daha fazlasıdır
Kimlik güvenliğini öncelikli olarak uygulamalara ve hizmetlere erişimin sağlanması ve sağlanmasının kaldırılmasıyla ilgili olarak, genellikle parça parça olarak görme şeklindeki geleneksel görüş artık yeterli değildir. Bu görüş, Permiso Güvenlik Kimlik Güvenliği Durumu Raporu’nda (2024) geniş bir tema olarak yansıtılmıştır; bu raporda, güvenlik riskini tanımlama becerisine duyulan güvenin artmasına rağmen kuruluşların neredeyse yarısının (%45) “endişeli” kaldığı veya Mevcut araçlarının kimlik güvenliği saldırılarını tespit edip bunlara karşı koruma sağlaması konusunda “son derece endişeli”.
Permiso’nun yaptırdığı anket yaz boyunca gerçekleştirildi ve güvenlik ve risk karar alma süreçleri üzerinde doğrudan kontrol veya etkiye sahip 500’den fazla BT güvenlik ve risk uygulayıcısıyla röportaj yapıldı. Bulgular, siber risk azaltma kontrollerine yönelik artan yatırım, olgunluk ve güvene rağmen kuruluşların artan kimlik tehditleri karşısında endişelerini sürdürdüğünü gösteriyor.
Temel bilgiler şunları içerir:
- SaaS en riskli ortam olarak görülüyor.
- Kuruluşların %93’ü tüm ortamlardaki kimliklerin envanterini çıkarabildiklerini, ayrıca anahtarları, belirteçleri, sertifikaları ve herhangi bir ortamda yapılan değişiklikleri takip edebildiklerini belirtti.
- %85’i parçalanmış kimlik doğrulama sınırlarının ötesinde “kimin ne yaptığını” belirleyebiliyor.
- %45’i mevcut araçlarının kimlik güvenliği saldırılarını tespit edip bunlara karşı koruma sağlaması konusunda “endişeli” veya “son derece endişeli”.
- Kimliğe bürünme saldırılarının önde gelen tehdit vektörü olduğu geçen yıl %45’i bir kimlik güvenliği olayına maruz kaldı.
Sahte kimlikleri tespit edebilir misiniz?
Kuruluşların %86’sı en riskli kimliklerini (insan ve insan olmayan) tanımlayabildiklerini belirtmesine rağmen, neredeyse yarısı (%45) geçen yıl bir kimlik güvenliği olayına maruz kaldı; kimliğe bürünme saldırıları önde gelen tehdit vektörüydü; bu da sosyal mühendisliğin tabanlı saldırılar kuruluşlar için yaygın bir tehdit olmaya devam ediyor.
İhlal edilenlerin sonuçlarına bakıldığında, kişisel olarak tanımlanabilir bilgileri (PII) ve fikri mülkiyeti (IP) içeren hassas verileri hedefleyenler, ihlal edilenlerin %54’ü için listenin başında yer aldı. Kuruluşların %46’sı, tehdit aktörlerinin de ayrıcalıkları artırdığını ve hem satıcı hem de müşteri tarafında tedarik zincirlerinin peşine düştüğünü (%45) belirtti.
İnsan kimlikleri yumuşak bir hedef olmaya devam ediyor
Bir başka ilginç bulgu da insan kimliklerinin en riskli olarak görülmesi ve çalışanların listenin başında yer almasıydı. Piyasadaki abartılı reklamın aksine, insan olmayan kimlikler (API anahtarları, OAuth belirteçleri, hizmet hesapları) insan emsallerine göre daha az riskli görülüyor.
Kimlik güvenliği silolanmış
Kuruluşların, hibrit ve çoklu bulut gerçekliği için kimlik güvenliği sorumluluğunun neleri gerektirdiğini anlayıp anlamadıkları açık değildir. Çoğu kuruluşun ortalama 2,5 genel bulut kullanmasına rağmen, BT ekibi (%56) kuruluşun birden fazla ortamda kimlik güvenliğinin sağlanmasından birincil sorumlu olarak belirlendi. Bu, kimliğin hâlâ erişim sağlama ve yetkilendirmeyi kaldırmayla sınırlı olarak görülmesini yansıtıyor olabilir. Permiso Ortak CEO’su ve Kurucu Ortağı Jason Martin’e göre bu bulgu, “kimlik güvenliğinin geleneksel olarak, erişimin sağlanması ve kimliklerin güvenliğinin sağlanması da dahil olmak üzere, BT sistemlerinin koruyucuları olarak görülen BT’nin genel sorumlulukları kapsamına girmesiyle açıklanabilir. Yalnızca Az sayıda kuruluşta kimliklerin güvenliğinin sağlanmasında birincil paydaş olarak güvenlik departmanını görüyoruz.”
Güvenlik bütçeleri de izole edilmiş gibi görünüyor; SaaS (%87) ve IaaS (%81) ortamları, tüm ortamlara (%46) kıyasla güvenlik harcamalarının büyük kısmını alıyor. Araç kullanımı açısından bakıldığında, odak noktasının büyük bir kısmını IaaS katmanının (%66) gördüğü, AWS GuardDuty ve CNAPP çözümleri gibi bulut tabanlı güvenlik araçlarının kullanıldığı görülüyor.
Çoğu kuruluşun karşılaştıkları siber tehditlere karşı “riskin farkında” olduğu görülse de, kimlik tehditlerini ortaya çıktıkça tespit etme ve bunlara yanıt verme becerisine sahip olma konusunda kat etmemiz gereken çok yol olduğu açıktır. Aslında, kimlik bilgilerinin ele geçirilmesini, hesabın ele geçirilmesini ve içeriden gelen tehditleri tespit edip önleyebilmek, kuruluşların başlıca endişeleri olarak gösterildi.
Evrensel kimlik güvenliğine doğru
Önde gelen tehdit vektörü olarak insan ve insan olmayan kimliğin yeni gerçekliğini güvence altına almak için insan, süreç ve teknoloji açısından neyin gerekli olduğunu yeniden tasarlamak hepimize, satıcılara, kuruluşlara ve daha geniş güvenlik topluluğuna kalmıştır. Bu bağlamda, kimlik güvenliğini yalnızca uygulamalara ve hizmetlere erişim sağlamak veya erişimi kaldırmaktan, onu stratejik bir iş kolaylaştırıcı olarak görmeye dönüştürmeliyiz.
Permiso Security, bu zorluğun üstesinden gelmek ve tüm ortamlardaki tüm kimlikler için birleşik kimlik güvenliğini gerçeğe dönüştürmek için doğdu.
Raporun tamamına buradan ulaşabilirsiniz: https://hero.permiso.io/state-of-identity-security-survey-report-2024
Permiso’nun bu stratejiyi kuruluşunuza taşımaya nasıl yardımcı olabileceği hakkında daha fazla bilgi edinin.