Siber güvenlik son on yılda kayda değer ilerlemeler kaydetti. Yapay zeka odaklı tehdit algılamanın, bulutta yerel mimarinin ve gerçek zamanlı analitiğin yükselişini gördük. Ancak tüm bu yeniliklerin ortasında, kritik bir alan buna ayak uyduramadı: kimlik güvenliği.
Araçlara ve çerçevelere harcanan milyarlarca dolara rağmen aynı güvenlik açıkları varlığını sürdürüyor: güvenliği ihlal edilmiş kimlik bilgileri, kimlik avı saldırıları ve güncelliğini yitirmiş kimlik doğrulama yöntemleri. 750 küresel BT güvenlik liderinin katılımıyla yakın zamanda yapılan bir anket çarpıcı ayrıntıları ortaya çıkardı: Kuruluşların neredeyse yarısı geçen yıl bir ihlal yaşadı ve bu olayların %87’si kimlikle ilgili güvenlik açıklarından kaynaklandı. Bu sadece bir uyarı işareti değil, sistematik bir başarısızlıktır.
Bir dönüm noktasına ulaştık. Dijitalin öncelikli olduğu bir dünyanın taleplerini karşılamak için çevrimiçi ortamda güveni nasıl kuracağımızı yeniden düşünmeliyiz. Bu Kimlik Rönesansıdır: dijital kimlikleri nasıl güvence altına aldığımız, doğruladığımız ve güçlendirdiğimiz konusunda temel bir değişim.
Kimlik Neden Hala En Zayıf Halkadır?
Kimliğin, güvenlik yığınının en çok hedeflenen ve en az modernize edilen katmanı olduğu iyi bilinmektedir. Altyapı ve uç nokta güvenliği gelişirken kimlik sistemleri hâlâ onlarca yıllık paradigmalara bağlı. Bunlardan en önemlisi şifredir.
Anket verileri, şifre yöneticileri (%65) ve standart MFA (%52) gibi geleneksel kimlik doğrulama yöntemlerinin en yaygın kullanılan yöntemler olmaya devam ettiğini gösteriyor.
Parolalar fazlasıyla elverişsizdir; doğası gereği güvensizdirler. Kullanıcılar arasında sürtüşmeye neden oluyor, operasyonel maliyetleri artırıyor ve saldırganlara düşük çaba gerektiren, yüksek ödüllü bir giriş noktası sunuyor. Ancak milyarlarca kullanıcı hâlâ onlara güveniyor. Neden? Çünkü tanıdıklar. Ancak siber güvenlikte aşinalık çoğu zaman ilerlemenin düşmanıdır.
Parolasız kimlik doğrulamayı fütüristik bir ideal olarak görmeyi bırakmanın ve bunu modern güvenliğin temel gereksinimi olarak kabul etmeye başlamanın zamanı geldi. Ne kadar gecikirsek, kendimizi önlenebilir risklere o kadar maruz bırakırız.
Güveni Yeniden Düşünmek: Statik Kimlik Bilgilerinden Dinamik Kimliğe
Tek seferlik oturum açma veya statik kimlik bilgilerine dayalı erişim sağlayan geleneksel güven modeli artık geçerli değil. Hibrit çalışmanın, bulutun yaygınlaşmasının ve sofistike düşmanların olduğu bir dünyada güvenin sürekli kazanılması gerekiyor.
Bunun özü Sıfır Güven’dir. Bu bir ürün ya da onay kutusu değil, daha ziyade bir zihniyettir. Bu, her kullanıcıyı, her cihazı, her zaman doğrulamak anlamına gelir. Bu, örtülü güvenin ortadan kaldırılması ve bunun yerine gerçek zamanlı, bağlama duyarlı doğrulamanın getirilmesi anlamına gelir. Daha basit bir ifadeyle Sıfır Güven, kurumsal ağ içinde olsalar bile hiçbir kullanıcının veya cihazın varsayılan olarak güvenilir olmadığını varsayan bir güvenlik modelidir. Kullanıcının kimliğinin ve cihazın güvenlik durumunun sürekli olarak doğrulanmasını gerektirir.
Ancak Sıfır Güven yalnızca kimliğin güvenilir olması durumunda işe yarar. Kimlik, parolalar, paylaşılan sırlar veya bilgiye dayalı kimlik doğrulama gibi güncel olmayan yöntemler üzerine kuruluysa güvenilir olamaz. Sıfır Güven mimarisi oluşturmak için öncelikle kimlik temelini modernize etmeliyiz.
Yapay Zeka Tehdidi: Deepfakes, Kimliğe Bürünme ve Sentetik Kimliğin Yükselişi
Üretken yapay zeka, geleneksel kimlik sistemlerinin üstesinden gelmek için yeterli donanıma sahip olmadığı yeni bir tehdit sınıfını ortaya çıkardı. Bu tehditler arasında yapay zeka kullanılarak oluşturulan gerçekçi ancak sahte videolar veya resimler olan deepfake’ler; gerçek sesi taklit eden bir ses yaratmayı içeren ses klonlama; belgelerin değiştirilmesini veya uydurulmasını içeren belge sahteciliği; ve gerçek ve sahte bilgilerin birleşimi kullanılarak oluşturulan kimlikler olan sentetik kimlikler. Bunlar artık saldırganlar için operasyonel araçlardır.
Bu değişim, kimlik doğrulama konusunda yeni bir yaklaşım gerektiriyor. Bilgiye dayalı sorular, SMS kodları ve hatta eski MFA, yapay zeka kaynaklı aldatmacaya ayak uyduramaz. Manipülasyona dayanıklı, kriptografik kanıta dayanan ve gerçek zamanlı olarak uyum sağlayabilen kimlik doğrulama yöntemlerine ihtiyacımız var.
Biyometrik destekli geçiş anahtarları, merkezi olmayan kimlik modelleri ve cihaza bağlı kimlik bilgileri, bu yeni ortamda kritik savunmalar olarak ortaya çıkıyor. Yalnızca bireyin kimliğini doğrulamazlar; bunu güvenli ve sorunsuz bir şekilde kanıtlıyorlar.
Yanlış TRadeoff: Güvenlik ve Kullanılabilirlik Neden Bir Arada Olmalı?
Yıllardır kuruluşlar, daha güçlü güvenliğin kullanıcı deneyiminden ödün verilmesi gerektiği yönünde yanlış bir varsayımla faaliyet gösterdi. Ancak gerçekte en güvenli sistemler genellikle en sezgisel olanlardır.
Kimlik doğrulamanın doğal olduğu ve arka planda görünmez bir şekilde çalışarak sorunsuz bir şekilde çalıştığı durumlarda, kullanıcılar bunu benimseme eğilimindedir. Hantal veya müdahaleci olduğunda geçici çözümler yaratırlar. Verimliliği bozan güvenlik sürdürülebilir değildir. Gelecek, sürtünmesiz ve zorlu çözümlerde yatıyor.
CAPTCHA’yı değil Face ID’yi düşünün. “Şifrenizi mi unuttunuz?” yerine dokunarak kimlik doğrulamayı düşünün.
Basitleştirin veya Acı Çekin: Karmaşıklığın Gizli Maliyeti
Siber güvenlik pazarı, kapsamlı koruma vaat eden ancak operasyonel kaos yaratan araçlarla dolu. Kimlik sistemleri satıcılar, protokoller ve platformlar arasında parçalandığında karmaşıklık bir güvenlik açığı haline gelir.
Yanlış yapılandırmalar, entegrasyon boşlukları ve uyarı yorgunluğu yalnızca can sıkıcıdır. Saldırganlara kapıları açıyorlar. Güvenli bir şekilde ölçeklendirmek için dağıtımı kolay, yönetimi kolay ve gelişmek üzere oluşturulmuş birleşik platformlara ihtiyacımız var.
Güvenlik kahramanlık gerektirmemelidir. Tasarım gereği sezgisel, otomatik ve dayanıklı olmalıdır.
Complian’ın Ötesindece: Dijital Güven Kültürü Oluşturmak
Pek çok kuruluş, güvenliği yalnızca bir uyumluluk çalışması, denetimler sırasında kontrol edilmesi gereken bir şey olarak görüyor. Ancak uyum tavan değil tabandır. Size neyin güvenli olduğunu değil, asgari düzeyde kabul edilebilir olduğunu söyler.
Uygun güvenlik kültürel bir değişim gerektirir. Yönetici sponsorluğu, işlevler arası uyum ve riskin azaltılmasına aralıksız odaklanmayı gerektirir. Kimlik sadece bir BT meselesi değildir. Bu bir iş zorunluluğudur.
Kimlik başarısız olduğunda, diğer her şey çözülür. İşe yaradığında yenilik, çeviklik ve güven için bir güç çarpanı haline gelir.
Kimlik Renaissa’sına liderlik etmekbir zamanlar
Dijital öncelikli etkileşimler, yapay zeka odaklı tehditler ve artan kullanıcı beklentileriyle tanımlanan yeni bir çağın eşiğindeyiz. Eski kurallar artık geçerli değil. Bu, kuruluşlara kimlik güvenliğini reaktif bir önlem olarak değil proaktif bir strateji olarak yeniden tanımlama fırsatı sunuyor.
Kimlik Rönesansı bir gelecek vizyonu değildir; şimdi oluyor. Ve bunu şekillendirmek liderler olarak bize düşüyor.
Yazar Hakkında
Bojan Simic, HYPR’nin İcra Kurulu Başkanıdır. Paylaşılan sırların ortadan kaldırılmasına yönelik vizyonu ve kimlik doğrulama ve kriptografi konusundaki deneyimi, HYPR teknolojisi ve şirket stratejisinin temelini oluşturuyor. Daha önce, finans ve sigorta sektörlerinde Fortune 500 şirketlerinde bilgi güvenliği danışmanı olarak görev yapmış, güvenlik mimarisi incelemeleri, tehdit modelleme ve sızma testleri yürütmüştür. Bojan’ın hem kamu hem de özel sektördeki güvenlik açısından kritik yazılımlarda uygulamalı şifreleme uygulamalarını dağıtma tutkusu var.
Bojan aynı zamanda FIDO Alliance yönetim kurulunda HYPR’nin temsilcisi olarak görev yapıyor ve ittifakın dünyayı şifrelerden kurtarma misyonunu güçlendiriyor.
Bojan’a çevrimiçi olarak LinkedIn https://www.linkedin.com/in/bojansimic/ adresinden ve şirket web sitemiz https://www.hypr.com/ adresinden ulaşılabilir.