Kimlik güvenliğinin neden genellikle kullanıcı güvenliğiyle eşanlamlı olduğunu anlamak kolaydır. Sosyal mühendislik taktikleri, tehdit aktörlerinin cephaneliğinin temel dayanağını oluşturur ve bunları bir dereceye kadar içermeyen bir saldırı bulmak nadirdir. Ayrıcalıklı kullanıcı kimlik bilgilerini ele geçirmek genellikle saldırganların hedefidir; faile krallığın anahtarlarını verir ve tüm kötü niyetli etkinlikleri gerçekleştirmesine olanak tanır.
Kimlik güvenliğinin uygulanmasının nispeten basit olduğu da bir gerçektir. Kullanıcı verilerinde gezinmek, diğer türdeki ağ meta verilerine göre daha kolaydır ve kullanıcı kimlik bilgilerini yönetmek, ayrıcalıklı hesap oturumlarını izlemek vb. için pek çok köklü sistem mevcuttur.
Ancak kullanıcı kimliği herhangi bir stratejinin temel unsuru olsa da, ortalama ağı oluşturan diğer tüm kimlikleri unutmak tehlikelidir. Cihazlar, uygulamalar ve hizmetler aynı zamanda saldırganların izlenmediği takdirde yararlanabileceği kimlikler de taşır.
Hizmet hesapları bunun en iyi örneğidir: yükseltilmiş ayrıcalıklara sahiptirler ve genellikle gözden kaçırılırlar, bu da onları ağ içinde yanal hareket için kolay hedefler haline getirir. Kerberoasting ve Altın Bilet saldırıları gibi teknikler bu hesaplardan yararlanarak saldırganların sistemlere fark edilmeden yayılmasını sağlayan kimlik bilgilerini çıkarır.
Ağdaki her cihazın yalnızca donanımını değil aynı zamanda işletim sistemi, yapılandırması, çalıştırdığı uygulamalar ve diğer sistemlerle nasıl etkileşime girdiği gibi faktörleri de içeren bir kimliği vardır.
Ağlar giderek daha karmaşık ve birbirine bağlı hale geldikçe, tehdit aktörlerinin bu kimlikleri keşfetmesi ve istismar etmesi daha kolay hale geldi.
Dolayısıyla kimliğin tanımının da değişmesi gerekiyor. Kuruluşlar, çevrelerini korumak için yaklaşımlarını tüm varlıkları kapsayacak şekilde genişletmeli ve bunları kullanıcı kimlikleri kadar sıkı bir şekilde güvence altına almalıdır.
Kimliği sıfır güven ve segmentasyon stratejilerine genişletme
Sıfır güven, kimliğin sıklıkla yalnızca insan kullanıcılara sabitlendiği siber güvenlik stratejisinin en iyi örneğidir.
Modelin sürekli doğrulama süreci, cihazlar ve uygulamalar da dahil olmak üzere tüm ağ bileşenlerini kapsamalıdır. Kontrol edilen sadece “kimin” hareket edebileceği değil, aynı zamanda varlıkların ağ üzerinde “nerede” ve “nasıl” hareket edebileceğidir.
Sıfır güven segmentasyonu (ZTS), ağ içindeki yanal hareketi kontrol ederek kimlik tabanlı güvenliği arttırmada hayati öneme sahiptir. ZTS, trafiği kimliğe göre bölümlere ayırarak yalnızca doğrulanmış varlıkların (kullanıcılar, cihazlar veya uygulamalar) kritik kaynaklara erişebilmesini sağlar. Mikro bölümleme olarak da bilinen bu ayrıntılı kontrol, sistemler arasında güvenli yollar oluşturarak saldırganların bir alanı ihlal ettikten sonra ağ üzerinde serbestçe hareket etmesini engeller.
Kimlik, güvenlik stratejisinin her katmanına bağlanmalıdır ve sıfır güven bunun gerçekleşmesine yardımcı olur. Kimliğe dayalı segmentasyon uygulandığında sistemlerin birbirleriyle konuşabileceği şeyleri sınırlayarak saldırganlara karşı kritik bir bariyer oluşturur.
Kuruluşlar, hem kimlikleri hem de ağları sıfır güven yoluyla güvence altına alarak, bir saldırının etkinliğini önemli ölçüde azaltırken operasyonel fizibiliteyi de geliştirebilir.
Eksiksiz bir kimlik merkezli güvenlik stratejisi oluşturma
Kapsamlı, kimlik merkezli bir güvenlik stratejisi oluşturmak için kuruluşların tehdit bilgisine sahip bir yaklaşımla başlaması gerekir. Bu, onların en kritik varlıklarını belirlemeyi, risklerini anlamayı ve güvenlik açıklarını gidermek için kimlik tabanlı kontrolleri uygulamayı içerir. Her bir varlığın önemi, bir ihlalin potansiyel etkisiyle birlikte değerlendirilmelidir.
Yüksek riskli alanlara öncelik verilmesi, kuruluşların kaynakları ağın en savunmasız yönlerini korumaya odaklamasına olanak tanır. Bu, kimliğe dayalı kontrollerin ilk olarak nereye uygulanması gerektiğini belirlemeye yardımcı olur. Sonuçta uyarlanabilir, çok katmanlı bir strateji, modern tehditlere karşı genel dayanıklılığı güçlendirir.
Bu çok katmanlı yaklaşımın bir kısmı, kullanıcı kimliğinin bulmacanın sadece bir parçası olduğunun kabul edilmesidir. Gerçek zamanlı, uyarlanabilir bir güvenlik duruşunu sürdürmek için cihazın durumu, erişim kalıpları ve davranışı gibi bağlamsal sinyallerin entegre edilmesi gerekir. Güvenlik ekipleri bu sinyalleri sürekli olarak politikaları ayarlamak ve ortam geliştikçe etkili kalmalarını sağlamak için kullanabilir.
Güvenli bir gelecek için kimliği yeniden düşünmek
Siber tehditler geliştikçe kuruluşların güvende kalabilmek için acilen kullanıcı merkezli kimlik modellerinin ötesine geçmesi gerekiyor. Güvenlik ekipleri, daha geniş bir kimlik görüşünü benimseyerek daha güçlü ve daha dayanıklı savunmalar uygulayabilir. Kimlik tabanlı kontrollerin segmentasyonla birleştirilmesi, saldırı yüzeyini önemli ölçüde azaltır ve saldırganın güvenlik açıklarından yararlanma yeteneğini sınırlar.
Kimlik stratejilerini genişletmeyi başaramayan kuruluşlar savunmasız kalacak, bunu yapanlar ise modern tehditlere karşı daha sert bir hedef oluşturacak.