Cloud Security Alliance ve Astrix Security’ye göre kuruluşlar, mevcut NHI (insan olmayan kimlikler) güvenlik stratejileriyle boğuşuyor.
Yüksek NHI hacmi, kuruluşların karşılaştığı güvenlik zorluklarını önemli ölçüde artırır. Her NHI, potansiyel olarak hassas verilere ve kritik sistemlere erişebilir ve saldırı yüzeyini katlanarak artırabilir. Bu NHI’ler üzerinde yeterli görünürlük ve kontrol olmadan, güvenlik olayı riski artar. Kuruluşların güven eksikliği, mevcut NHI güvenlik yöntemlerinin insan kimliği güvenlik yöntemlerinin gerisinde kaldığını göstermektedir.
En yaygın zorluklar arasında servis hesap yönetimi ve NHI keşfi yer alır. Anket ayrıca NHI güvenliğine yatırım yapmanın öneminin giderek daha fazla kabul gördüğünü ortaya koymuştur; 4 kuruluştan 1’i zaten bu yeteneklere yatırım yapıyor ve ek olarak %60’ı önümüzdeki on iki ay içinde yatırım yapmayı planlıyor.
CSA’nın Küresel Araştırma Başkan Yardımcısı John Yeoh, “Botlar, API anahtarları, servis hesapları, OAuth belirteçleri ve sırlar gibi NHI’lar, günümüz kuruluşlarının otomasyonu, verimliliği ve inovasyonu mümkün kılan can damarlarıdır” dedi.
“Ve kuruluşlar NHI’leri güvence altına almanın önemini kabul etseler ve genellikle Kimlik Erişim Yönetimi sistemleri gibi araçların bir karışımını kullansalar da, bu araçlar NHI’lerin sunduğu benzersiz zorluklara özel olarak uyarlanmamıştır. Uyumsuzluk, AWS, Okta, Cloudflare ve Microsoft gibi büyük markalara yönelik son saldırılarda açıkça görülmektedir; güvenlik önlemleri alınmış olmasına rağmen, bilgisayar korsanları yine de sızmayı başarmıştır. Bu ortak anket, NHI’lerin insan kimlikleriyle aynı şekilde ele alınamayacağını vurgulayarak bu kapsamlı sorunun altını çizmektedir,” diye ekledi Yeoh.
Mevcut araçlar NHI’ları güvence altına almak için yetersizdir
Yaklaşık 5 kuruluştan 1’i NHI’lerle ilgili bir güvenlik olayı yaşadı. NHI ile ilgili saldırıların en yaygın nedenleri şunlardı: kimlik bilgisi rotasyonunun olmaması (%45); yetersiz izleme ve günlük kaydı (%37); ve aşırı ayrıcalıklı hesaplar/kimlikler (%37).
Kuruluşların güvenlik yöntemlerinde önemli bir boşluk vardır; 10 kuruluştan yalnızca 1,5’i NHI’leri güvence altına alma yeteneklerine son derece güvenirken, insan kimliklerini güvence altına alma konusunda neredeyse 4’te 1’i güvenmektedir. NHI’leri insan kimliklerine kıyasla güvence altına alma konusundaki bu güven eksikliği, çevrelerindeki NHI’lerin çokluğundan kaynaklanıyor olabilir; bu NHI’ler genellikle insan kimliklerini 20’ye 1 oranında geride bırakmaktadır.
Kuruluşların NHI güvenliğinin temelleriyle mücadele etmesinin nedeni, NHI güvenliğini yönetmeye yönelik parçalı bir yaklaşımdan kaynaklanıyor olabilir. Birçok kuruluş, NHI güvenliği için özel olarak tasarlanmış araçlar kullanmıyor. Bunun yerine, NHI’lerin sunduğu benzersiz zorluklara göre uyarlanmamış çeşitli güvenlik araçlarının bir karışımına güveniyorlar.
Örneğin: %58’i Kimlik ve Erişim Yönetimi (IAM) sistemlerini kullanıyor; %54’ü Ayrıcalıklı Erişim Yönetimi (PAM) kullanıyor; %40’ı API güvenlik önlemlerini kullanıyor; %38’i sıfır güven/en az ayrıcalık stratejilerini kullanıyor; %36’sı Gizli Bilgi Yönetimi araçlarını kullanıyor.
Sonuç olarak, NHI güvenlik olaylarının en yaygın üç nedeni arasında kimlik bilgisi rotasyonunun olmaması (%45), yetersiz izleme ve günlük kaydı (%37) ve aşırı ayrıcalıklı hesaplar veya kimlikler (%37) yer alıyor.
NHI’larla ilgili temel güvenlik uygulamalarıyla mücadele
Kuruluşların karşılaştığı en büyük zorluklar arasında denetim ve izleme (%25), erişim ve ayrıcalıklar (%25), NHI’ları keşfetme (%24) ve politika güçlendirme (%21) yer alıyor.
Bir diğer önemli endişe ise OAuth uygulamalarıyla bağlanan üçüncü taraf tedarikçilere görünürlük elde etme mücadelesidir. Kuruluşların %38’i üçüncü taraf tedarikçilere ilişkin hiçbir görünürlüğe sahip olmadığını veya çok az görünürlüğe sahip olduğunu bildirirken, %47’si ise yalnızca kısmi görünürlüğe sahip olduğunu belirtmektedir.
Astrix Security CEO’su Alon Jackson, “Kuruluşlar giderek daha fazla güçlü NHI güvenliğine duyulan kritik ihtiyacı kabul ettikçe, yatırımlardaki artış dijital altyapılarımızı korumaya yönelik proaktif bir duruşu yansıtıyor” dedi.
“Şimdi anahtar, özellikle güvenlik açıkları devam ederken, bu yatırımların doğru araçlara yönlendirilmesini sağlamaktır. NHI’lar, insan kimliklerinden farklı benzersiz zorluklar sunar ve bu da güvenliklerini karmaşık ve zorlu hale getirir. NHI güvenliğini ele almak, sürekli iyileştirme, uyarlanabilir stratejiler ve sürekli gelişen tehditlerle doğrudan mücadele etmek için birleşik bir çaba gerektirir,” diye sonlandırdı Jackson.
Birçok kuruluş NHI güvenlik yeteneklerine önemli yatırımlar yapmayı planladığı için umut verici bir değişim yaşanıyor. Bu planlanan yatırım, NHI güvenliğini proaktif bir şekilde ele almanın öneminin giderek daha fazla farkına varıldığını gösteriyor. Stratejilerini birleştirerek, NHI’ye özgü araçları benimseyerek ve izin yönetimi ve API anahtar işleme gibi kritik süreçleri otomatikleştirerek kuruluşlar güvenlik duruşlarını iyileştirebilir ve gelişen tehditlere karşı daha iyi koruma sağlayabilir.
Bu ortak çaba, ankette belirlenen boşlukların kapatılması ve gelecekte Ulusal Sağlık Hizmetleri için sağlam bir güvenliğin sağlanması açısından kritik önem taşıyacaktır.