Saldırganlar insan doğasını kullanır ve kimlik doğrulamasını bir ana hedef haline getirir. Snowflake veri ihlali açık bir örnektir-bilgisayar korsanları, birçok müşteri hesabını ihlal etmek, duyarlı verileri çalmak ve düzinelerce şirketi zorlamak için çok faktörlü kimlik doğrulaması (MFA) olmayan çalıntı müşteri kimlik bilgileri kullanmıştır. Bu olay, görünüşte küçük, uzlaşmış kimlik bilgilerinin nasıl ciddi sonuçlara sahip olabileceğini vurgulamaktadır.
Kimlik doğumu dolandırıcılığı, kimlik bilgisi doldurma ve hesap devralmalarının hepsi başarılı olduğundan, kimlik doğrulama hala güvenlik kararları veren kullanıcılara bağlıdır. Ancak hiçbir güvenlik eğitimi, insanların kimlik bilgilerini teslim etmelerini, giriş bilgilerini çalan kötü amaçlı yazılımları indirmelerini veya kolayca kullanılabilecek şifreleri yeniden kullanmasını engelleyemez. Sorun kullanıcı değil; Son savunma hattı olmalarını gerektiren sistemdir.
Agentic AI, insan dışı kimliklerin (NHIS) bir artışı tanıtmak için ayarlanmış olarak – zaten karmaşık bir BT ortamına ek bir karmaşıklık katmanı getiriyor – işletmelerin kimlik doğrulamasını yeniden düşünmesi, kullanıcıları süreçten ve en kısa sürede kaldırması gerekir.
Kimlik ve Erişim Yönetimi’nin (IAM) Evrimi: Gatekeeper’dan Kapıya Açma
Bulut uygulamalarının, sistemlerinin ve verilerin patlaması kimlik güvenliğini her zamankinden daha karmaşık ve kritik hale getirdi. Bugün, ortalama işletme, saldırganların aktif olarak yararlandığı son derece parçalanmış bir manzara oluşturarak birden fazla bulut ortamını ve yaklaşık 1.000 uygulamayı yönetiyor. Aslında, IBM’in 2025 Tehdit İstihbarat Endeksi, geçen yıl araştırılan siber saldırıların çoğunun, kurumsal ağları ihlal etmek için çalıntı çalışan kimlik bilgileri kullanan siber suçlulardan kaynaklandığını buldu.
Bu sorunu daha da kötüleştirmek için AI odaklı saldırılarla, kimlik kötüye kullanımı yavaşlama belirtisi göstermez. Büyük Dil Modelleri (LLMS), mızrak aktı kampanyalarını otomatikleştirebilir ve otomatik kimlik saldırılarını beslemek için milyarlarca açık kimlik bilgilerini kazıyabilir. Yapay zeka saldırganlarının taktiklerini ölçeklendirmelerini sağladığında, kimlik temelli güvenlikten uzaklaşmanın işletmeler için bir öncelik haline gelmesi gerekir.
Kimlik Bilgilerinin Ötesinde: Teknolojinin kimlik doğrulamasını ele alma
Güvenli modern kimlik doğrulamanın geleceği, şifrelerden ve bilgiye dayalı kimlik doğrulamadan uzaklaşarak kullanıcı yükünün kimlik paradigmasından azaltılmasını gerektirir.
FIDO (Hızlı Kimlik Çevrimiçi) Standardına dayanan şifresiz kimlik doğrulama, geleneksel şifreleri bir uygulamanın veya web sitesindeki bir kullanıcının hesabına bağlı kriptografi anahtarlarıyla değiştirir. Bir şifre seçmek ve hatırlamak yerine, kullanıcılar biyometri veya donanım destekli bir kimlik bilgisi ile kimlik doğrulaması yapmak yerine, bu genellikle cihaz (dizüstü bilgisayar veya mobil cihaz) ve işletim sistemleri tarafından sağlanır. Bu kimlik bilgileri (passeyler) işletim sistemleri, tarayıcılar ve şifre yöneticileri tarafından korunur ve kimlik avı saldırıları ve çalıntı kimlik bilgileri riskini önemli ölçüde azaltır. Kimliği doğrulamanın modern bir yolu olan passeyler kimliğe dirençlidir, daha iyi bir kullanıcı deneyimi sunar ve güvenlik duruşunu iyileştirir.
Yeni veya yeni bir kavram olmasa da, algılanan karmaşıklık ve açık göç yollarının eksikliği nedeniyle şifresiz çekiş kazanmak yavaştır. Bununla birlikte, Fido Alliance, 2024’ün sonlarında, kuruluşların ve tüketicilerin kullanmasını kolaylaştırarak paskukların benimsenmesini hızlandırmaya yardımcı olacak yeni kaynakları duyurdu. Örneğin, Fido’nun önerilen yeni özellikleri, kuruluşların pasifleri ve diğer kimlik bilgilerini bir sağlayıcıdan diğerine güvenli bir şekilde taşımasını sağlar. Bu, satıcının kilitlenmesini kaldırarak kuruluşlara esneklik sağlamaya yardımcı olur.
Dijital kimlik bilgileri, güvenlik kararlarının yükünü kullanıcılardan kaldırmaya yardımcı olan başka bir teknolojidir. Parolasız kimlik doğrulama kaynaklara erişmek için güvenli bir yol sağlarken, dijital kimlik bilgileri (bazen doğrulanabilir kimlik bilgileri olarak adlandırılır) özel verileri paylaşmak için güvenli bir yol sağlar. Dijital çalışan rozetleri veya mobil sürücü lisansları gibi dijital kimlik bilgileri, kuruluşların gereksiz veya hassas kişisel verileri ortaya çıkarmadan kullanıcıları doğrulamasına izin verir.
Örneğin, bir dijital ehliyet lisansı, kullanıcıların ev adresleri veya hatta gerçek doğum günleri gibi gereksiz kişisel bilgileri ortaya çıkarmadan kısıtlı alımlar için yaşlarını kanıtlamalarını sağlar. Benzer şekilde, dijital paystub’lar, kullanıcıların gerçek maaşlarını açıklamadan bir kredi için maaş gereksinimlerini onaylamasına olanak tanır. Bu çözüm aynı zamanda veri paylaşımının gücünü kullanıcıların ellerine geri koymaya yardımcı olur – bu da ne tür bilgiler sağlandığını, kime ve ne zaman seçilmelerini sağlar.
AI döneminde kimliği savunmak
Şifresiz ve dijital kimlik bilgilerine doğru hareket sadece bugünün saldırganlarını durdurmakla ilgili değil, bir sonraki adım için hazırlanmakla ilgilidir.
- AI ile çalışan saldırılar: Saldırganlar zaten insan tarafından üretilenler kadar etkili olan, sosyal mühendisliği ölçekte otomatik hale getirmek ve geleneksel güvenlik kontrollerini atlamak için Hisping kampanyaları oluşturmak için üretken AI (GAI) kullanıyorlar. Passwords, en yaygın saldırı vektörlerinden birini – phishable kimlik bilgilerinden – ortadan kaldırır.
- İnsan olmayan kimlikler- Ajan AI, yazılım tasarımında ister BT otomasyonunda olsun – işletmede daha fazla rol üstlendikçe ve daha fazla rol üstlendikçe, kimlik güvenliği birlikte gelişmelidir. Dijital kimlik bilgileri, kuruluşların NHI’leri insan kullanıcıları ile aynı seviyede kriptografik güvenlik ile doğrulamasına olanak tanır ve kurumsal sistemlerle etkileşime giren AI ajanlarının doğrulanabilir ve yetkili olmasını sağlar.
Kuruluşlar şimdi önümüzdeki şeylere hazırlanmaya başlamalıdır. Şifresiz ve dijital kimlik bilgileri, kimlik saldırılarındaki artışla mücadele etmek için atılması gereken tek adım olmasa da, bu teknolojileri konuşlandırarak kuruluşlar gergin bir modeli modernize edebilir – kullanıcılardan güvenlik kararlarını kaldırabilir, kullanıcı deneyimini geliştirir ve nihayetinde güvenlik görevlisi olarak rolünü geri almaya yardımcı olur.
Patrick Wardrop, IBM Software’de IAM Ürün Portföyü’nü doğrulamak için Ürün, Mühendislik ve Tasarımın İcra Direktörüdür.