Günümüzün siber güvenlik ortamında kimlik artık sadece bir kimlik doğrulama meselesi değil; burası savaş alanıdır. Modern siber savunmaların giderek daha fazla kimlik merkezli olması gerekiyor. Saldırganların geçerli kimlik bilgilerinden ödün vererek geleneksel savunmaları giderek daha fazla aşmasıyla, “kimlik yeni çevredir” ifadesi stratejik bir gerçeklik haline geldi. Kuruluşların, özellikle Sürekli Tehdit Maruziyeti Yönetimi (CTEM) programları kapsamında kimlik merkezli yaklaşımlara yönelmesi gerekiyor.
Kimlik Odaklı R’nin Yükselişiisk
Modern ihlaller artık kötü amaçlı yazılımların hakimiyetinde değil. Düşmanlar artık “giriş” yerine “giriş” taktiklerini tercih ediyor. Bazı raporlar, siber olayların %80’e kadarının güvenliği ihlal edilmiş kimlik bilgilerini içerdiğini göstermektedir. Daha da endişe verici olanı, gözlemlenen saldırıların %79’unun kötü amaçlı yazılım içermemesi ve Active Directory (AD) ve Azure AD gibi kimlik sistemleri aracılığıyla geçerli erişim yollarını kullanmasıdır.
Gerçek dünyadan örnekler sonuçları vurgulamaktadır:
Bu olaylar, geleneksel savunmaların (örneğin, güvenlik duvarları, uç nokta güvenliği ve yama yönetimi) artık tek başına yeterli olmadığını doğrulamaktadır. Kimlik güvenliği, herhangi bir CTEM çerçevesinde birinci sınıf bir disipline yükseltilmelidir.
CTEM: Yeni Bir Güvenlik İşletim Modeli
Gartner tarafından ana hatlarıyla belirtildiği gibi CTEM, gelişen tehditlere maruz kalmayı azaltmak için tasarlanmış beş aşamalı, yinelenen bir döngüdür. Aşamaları (Kapsam Belirleme, Keşif, Önceliklendirme, Doğrulama ve Mobilizasyon), siber riskin proaktif, sürekli yönetimini sağlar. Başarılı olmak için her aşamanın açıkça kimlik hususlarını içermesi gerekir:
- Kapsam belirleme: Şirket içi, SaaS ve çoklu bulutta insan kullanıcılardan insan olmayan kimliklere (NHI’ler) kadar kimlikle ilgili tüm varlıkları tanımlayın.
- Keşif: Zayıf yapılandırmaları, aşırı ayrıcalıkları, atıl hesapları ve kimlik bilgileri risklerini belirleyin.
- Önceliklendirme: Riskleri iş etkisine göre sıralayın. Örneğin, korumasız bir etki alanı yöneticisi hesabı, yama uygulanmamış bir sistemden daha fazla risk oluşturur.
- Doğrulama: Özellikle kimlik tabanlı kırmızı ekip oluşturma yoluyla, açığa çıkmaların kötüye kullanılabilir olup olmadığını doğrulamak için saldırıları simüle edin.
- Seferberlik: Denetimleri sıkılaştırarak, en az ayrıcalık uygulayarak, MFA’yı uygulayarak ve kimlik hijyenini iyileştirerek bulgulara göre hareket edin.
Gartner, CTEM’i benimseyen kuruluşların 2026 yılına kadar ihlal yaşama olasılığının üç kat daha az olacağını öngörüyor. Ancak bu, kritik bir açığın, yani kimlik riskinin kapatılmasına bağlı.
İDVarlık Yayılımı: Genişleyen Saldırı Yüzeyi
Modern işletmeler binlerce kimliği (örneğin insan, makine ve hizmet tabanlı) yönetir. Uzaktan çalışma, SaaS’ın benimsenmesi ve hibrit bulut mimarileri nedeniyle kimlik yayılımında patlama yaşandı. API belirteçleri ve hizmet hesapları gibi insan dışı kimliklerin sayısı artık bazı kuruluşlarda insan kullanıcılardan 50’ye 1 oranında daha fazladır.
Bu yayılma, parçalanmayı ve karmaşıklığı beraberinde getiriyor:
- Hareketsiz veya artık kullanılmayan hesaplar, çıkıştan sonra da varlığını sürdürüyor.
- Aşırı izin verilen roller, en az ayrıcalık ilkelerini ihlal eder.
- Gölge kimlikler ve tutarsız IAM politikaları kör noktalar haline gelir.
Bu faktörlerin tümü, giderek genişleyen bir kimlik saldırısı yüzeyine katkıda bulunur. Bu da keşif, kimlik bilgileri hırsızlığı ve ayrıcalık artışına güvenen saldırganlar için mükemmel bir hedeftir.
IAM’in Ötesinde: Kimliğin Ortaya Çıkışı Risk Zekası
Geleneksel Kimlik ve Erişim Yönetimi (IAM), kimlik doğrulama, yetkilendirme ve yaşam döngüsü yönetimine odaklanır. Her ne kadar gerekli olsa da, IAM sistemleri büyük ölçüde önleyici ve politikaya dayalıdır. Kimliğin kötüye kullanımını izlemiyor, davranışsal anormallikleri tespit etmiyor veya dış tehdit ekosistemlerinde açığa çıkan kimlik bilgilerini tespit etmiyorlar.
Kimlik Risk İstihbaratının devreye girdiği yer burasıdır.
Genellikle Gartner’ın yeni ortaya çıkan Kimlik Tehdidi Tespiti ve Yanıtı (ITDR) disipliniyle uyumlu olan Kimlik Riski İstihbaratı, kimlik davranışlarına, yanlış yapılandırmalara ve risk göstergelerine yönelik gerçek zamanlı, tehdit odaklı görünürlük sağlar. Temel yetenekler şunları içerir:
- Kimlik bilgisi maruziyeti izleme: İhlal veritabanlarında ve karanlık web kaynaklarında sızdırılan kimlik bilgilerinin tespit edilmesi.
- Kullanıcı davranışı analitiği: Ani ayrıcalık artışı veya anormal oturum açma coğrafyaları gibi anormalliklerin belirlenmesi.
- Kimlik tehdidi tespiti: Kaba kuvvet, MFA yorgunluğu veya oturum ele geçirme girişimlerini işaretleme.
Güvenlik ekipleri, yalnızca nasıl sağlandıklarını değil, kimliklerin nasıl kullanıldığını ve kötüye kullanıldığını sürekli olarak değerlendirerek, yalnızca IAM’in gözden kaçırabileceği tehditlere öncelik verebilir.
Örnek Olay İncelemeleri: Ne Zaman IdenRisk İstihbaratı Çalışmaları
- Teksas Karşılıklı Sigorta Dark Web forumlarını açığa çıkan kullanıcı kimlik bilgileri açısından izlemek için bir tehdit istihbarat platformu kurdu. Uyarılar, anında düzeltme yapılmasını sağlayarak yönetim kurulu üyelerinin ve poliçe sahiplerinin uzlaşmasını etkin bir şekilde önledi.
- Borden Ladner Gervais (BLG) gerçek zamanlı, risk tabanlı koşullu erişim uygulandı. Bir yapay zeka motoru, kimlik risklerini dinamik olarak puanladı ve yüksek riskli oturum açma girişimlerini engelleyerek müşteri verilerinin korunmasını sağladı.
Her iki kuruluş da proaktif kimlik görünürlüğünün potansiyel tehditleri yönetilebilir risklere dönüştürdüğünü gösteriyor.
Kimlik Riskini Operasyonelleştirme ICTEM’de istihbarat
Kimlik riskini CTEM programlarına etkili bir şekilde entegre etmek için şu önerileri göz önünde bulundurun:
- Kimlik öncelikli bir güvenlik duruşu benimseyin: Veriler, uç noktalar ve ağların yanı sıra kimlik korumasına da öncelik verin.
- MFA’yı evrensel olarak uygulayın: Özellikle hizmet hesapları ve idari roller için. FIDO2 veya uygulama tabanlı Tek Kullanımlık Şifre (OTP) gibi kimlik avına karşı dayanıklı yöntemleri tercih edin.
- Tüm kimliklerin ve ayrıcalıkların envanterini çıkarın: Kimlik varlıklarını keşfetmek, haritalamak ve sürekli olarak değerlendirmek için otomatik araçları kullanın.
- Kimlik etkinliğini gerçek zamanlı olarak izleyin: Güvenlik Operasyon Merkezi (SOC) iş akışlarınızda kimlik doğrulama günlüklerini, ihlal verilerini, ayrıcalık yükseltmelerini ve IAM değişikliklerini ilişkilendirin.
- ITDR yeteneklerini dağıtın: Geleneksel IAM kontrollerini atlayan kimlik tabanlı tehditleri tespit edin.
- En az ayrıcalık ve Tam Zamanında (JIT) erişimi uygulayın: Statik izinleri azaltın, patlama yarıçapını tehlikeye atmadan sınırlayın.
- Kimlik verilerini maruz kalma puanlamasına ve olay müdahalesine entegre edin: Kimlik bilgileri hırsızlığını, kimliğin kötüye kullanımını ve bulut yetkisinin kötüye kullanımını içerecek şekilde başucu kitaplarını güncelleyin.
Stratejik Bir İthetkili
Kimlik saldırısı yüzeyi artık uç noktalar veya altyapı kadar, belki de daha da kritik. Bulut verilerinden dahili sistemlere kadar her şeye erişim sağlayan kimliklerle saldırganlar mevcut tüm zayıflıklardan yararlanıyor.
Kuruluşlar, Kimlik Risk İstihbaratını CTEM’e yerleştirerek çok önemli bir açığı kapatıyor. Pasif kontrol uygulamasından aktif, istihbarat odaklı savunmaya geçiş yapıyorlar. IAM, ITDR ve CTEM uygulamalarının bu yakınlaşması yeni bir çağın sinyalini veriyor: kimlik öncelikli güvenlik.
Bunun farkına varan güvenlik liderleri yalnızca ihlalleri azaltmakla kalmayacak, aynı zamanda modern tehditlerle birlikte gelişen uyarlanabilir, dayanıklı siber güvenlik programları da oluşturacak.
Yazar Hakkında
Andres Andreu, Constella Intelligence’da hem Operasyon Direktörü (COO) hem de Bilgi Güvenliği Direktörü (CISO) olarak görev yapıyor. Kendisi 4X CISO’dur ve CISSP, ISSAP ve Boardroom Sertifikalı Nitelikli Teknoloji Uzmanı (QTE) gibi kimlik bilgilerine sahip seçkin bir siber güvenlik lideridir. Çeşitlilik içeren kariyeri, yasal dinleme teknolojisine yaptığı katkılar, Hearst, Ogilvy & Mather ve 2U, Inc./edX’te kurumsal liderlik ve Bayshore Networks’te (Opswat tarafından 2021’de satın alındı) kurucu yönetici olarak girişimcilik başarısına yaptığı katkılardan dolayı üç ABD Adalet Bakanlığı ödülü kazandığı federal emniyet teşkilatını kapsamaktadır. En İyi 100 CISO (C100) ve En İyi 50 Bilgi Güvenliği Uzmanı arasında tanınan kendisi, saldırı ve savunma siber güvenlik stratejilerini, yönetici ve çalışan hedeflerini uyumlu hale getiren bir liderlik felsefesiyle dengeliyor. Beğenilen bir yazar CISO Başucu Kitabı Ve Profesyonel Kalem Testi Web UygulamalarıAyrıca siber güvenlik yenilikleri alanında patent sahibidir ve Forgepoint Capital’in Siber Güvenlik Danışma Konseyi’nde danışmanlık yapmaktadır.
Andres’e çevrimiçi olarak Linkedin’den ve şirket web sitemiz https://constella.ai/ adresinden ulaşılabilir.