Kimlik güvenliği siber güvenlik operasyonlarının temel bir parçası haline geliyor, ancak birçok kuruluş geride kalıyor. SailPoint’ten yeni bir rapor, AI odaklı kimlikler ve makine hesapları büyüdükçe, çoğu güvenlik ekibinin bunları ölçeklendirmeye hazır olmadığını gösteriyor. Bu boşluk yeni riskler yaratır ve kimlik güvenliğini küresel işletmelerde dağıtmayı zorlaştırır.
IAM Yatırımları, diğer tüm güvenlik alanlarına kıyasla algılanan en yüksek yatırım getirisini sağlar (Kaynak: SailPoint)
Çoğu kuruluş hala erken olgunluk seviyelerinde
375 Kimlik ve Erişim Yönetimi (IAM) liderlerinin küresel bir araştırmasına dayanan çalışma, kuruluşların çoğunluğunun hala olgun kimlik programları oluşturmanın ilk aşamalarında olduğunu buldu. Yüzde altmış üçü, kullanıcı erişimini yönetmek için manuel işlemlere ve temel araçlara dayanarak en düşük iki vade kategorisinde kalır.
Sadece küçük bir yüzde, kimlik kontrollerinin otomatik ve uyarlanabilir olduğu daha yüksek olgunluk seviyelerine ulaşmıştır. Bu gelişmiş kuruluşlar, erişimi dinamik olarak yönetmek için gerçek zamanlı risk verileri ve yapay zeka kullanırlar, ancak bunlar azınlıktır. Teknoloji ve finansal hizmetler şirketlerinin bu seviyelere ulaşması daha olasıdır, sağlık, imalat ve Avrupa ve Latin Amerika’daki birçok kuruluş gecikmeye devam etmektedir.
İlerleme düzensizdir. Geçen yıl kimlik yeteneklerini geliştiren her üç kuruluş için ikisi geriledi. Bu geriye dönük hareket her zaman azaltılmış çabayı yansıtmaz. Bunun yerine, AI ajanı yaşam döngüsü yönetimi gibi yeni gereksinimler eklendikçe daha yüksek olgunluk çubuğu artmıştır.
AI odaklı kimlik yönetimi ve makine kimliklerinin yükselişi
Rapor, kimlik yönetimi önceliklerindeki bir değişimi vurgulamaktadır. Geçmişte, kimlik güvenliği esas olarak çalışanlar ve yükleniciler gibi insan kullanıcılarına odaklanmıştır. Şimdi, makine kimlikleri ve AI ajanları diğer tüm kimliklerden daha hızlı büyüyor.
Bu insan olmayan kimlikler genellikle tutarlı bir yönetişim olmadan çalışır ve güvenlik ekipleri için kör noktalar yaratır. Önümüzdeki üç ila beş yıl boyunca genişlemeleri beklense bile, on kuruluştan dördünden daha azı şu anda AI ajanlarını yönetiyor.
Bu kimlikleri yönetmek farklı yaklaşımlar gerektirir. Tam zamanında erişim, dinamik ayrıcalık ayarlamaları ve sürekli izleme zorunlu hale geliyor. Bu kontroller olmadan, makine kimlikleri aşırı izinler biriktirebilir veya artık ihtiyaç duyulmadıktan sonra aktif kalabilir ve saldırganlar için fırsatlar yaratabilir.
Dağıtımlar neden yetersiz kalıyor?
Kuruluşlar kimlik güvenliğine büyük yatırım yapsa bile, birçoğu sonuçları görmek için mücadele ediyor. Dağıtım sorunları yaygın bir engeldir.
Ankete katılanların sadece yüzde 14’ü en son IAM dağıtımlarının tamamen başarılı olduğunu söyledi. Neredeyse yarısı bütçeyi aşan projeler bildirdi ve yüzde 60’ı konuşlandırmaların en az bir ay zaman çizelgelerini kaçırdığını söyledi.
En büyük zorluklardan biri işe alım uygulamaktır. Daha düşük olgunluk seviyelerinde, ekipler genellikle tüm uygulamalarına görünürlükten yoksundur ve aynı anda çok fazla gemiye girmeye çalışırlar, bu da boşluklara ve hatalara yol açar. Örgütler olgunlaştıkça karmaşıklık artar. Gelişmiş kuruluşlar, her biri özel entegrasyonlar ve yönetişim politikaları gerektiren, daha düşük olgunluk seviyelerine göre yönetilecek 3,6 kat daha fazla uygulamaya sahiptir.
Veri kalitesi başka bir konudur. Kimlik verileri genellikle İK sistemleri, bulut hizmetleri ve dizinler arasında parçalanır. Kötü veri hijyeni erişim kontrollerini zayıflatır ve otomasyon çabalarını yavaşlatır. Yeni araçlar kullanmadan önce kimlik verilerini temizleyen ve standartlaştıran kuruluşların başarılı olma olasılığı daha yüksektir.
Gelecek için Bina
Rapor, gelişmiş kuruluşların hem uyarlanabilir hem de otomatik kimlik sistemlerine doğru ilerlediğini göstermektedir. AI, gerçek zamanlı ayrıcalık ayarlamaları, anomali tespiti ve otomatik iyileştirme gibi görevleri ele alarak bu sistemlerde büyüyen bir rol oynar.
Bu yönde ilerlemek için kuruluşların önce temel bilgileri güçlendirmesi gerekir. Birleşik kimlik verileri esastır. Önce kritik uygulamalara öncelik veren ve hem insan hem de insan olmayan kimlikler için yönetişim oluşturan yapılandırılmış dağıtım süreçleri de öyle.
“Kimlik, politikaların uygulandığı, kritik kararların verildiği ve güvenlik operasyonları birleştiği merkezi kontrol noktasıdır. Geleceği, güvenlik ve AI odaklı veri yönetişimine sıkı sıkıya bağlıdır, işletmelerin her bir kimliği yönetmesini sağlar-insan, makine veya AI ajanı-işletmeleri geliştirmelerini sağlar. İşletmeyi aşılamaya. Kuruluşların ihtiyacı var ”dedi.