Bulut tabanlı operasyonların ve uzaktan çalışmanın sürekli büyümesi, kimlik yönetimini (özellikle ayrıcalıklı kullanıcıların kimliklerini) giderek daha önemli hale getirdi, ancak aynı zamanda giderek daha karmaşık hale getirdi ve güvenlik firmalarını işletmelere daha iyi izleme ve kontrol yetenekleri sağlamanın yollarını aramaya itti.
Kimlik ve erişim yönetimi (IAM) sağlayıcısının CEO’su ve kurucu ortağı Alex Bovee, ortalama bir şirketin yaklaşık 100 farklı uygulama kullandığı ve çalışanların her biri için farklı bir kimliğe ihtiyaç duyduğu bir ortamda, kimliği yönetme ve erişimi kontrol etmenin daha büyük bir öncelik olması gerektiğini söylüyor. İletken Bir.
Bovee, “Bu şirketler tükendi ve tonlarca bulutu benimsediler, belki şirket içi bazı şeyleri var, bir İK dizinleri var ve şimdi işler biraz karışık” diyor. “Ve gerçek şu ki kimlik, kuruluşunuzda sahip olduğunuz en önemli varlıktır ve ne yazık ki korunmamaktadır.”
ConductorOne, farklı bulut platformlarından ve şirket içi uygulamalardaki kimlik bilgilerini merkezileştiren bir platform olan Access Fabric’i sunuyor. Access Fabric platformu yalnızca işletme genelindeki kimliklerin izlenmesine değil, aynı zamanda tedarik ve anormallik tespitinin otomasyonuna ve kontrolüne de olanak tanır.
Sorunun Büyüklüğünü Anlamak
Bulut hizmetlerinin, şirket içi uygulamaların ve insan kaynakları kontrollerinin sayısı arttıkça kimlik bilgilerinin birleştirilmesi önem kazanmaktadır. Şu gerçekleri göz önünde bulundurun: Ortalama bir şirket 98 farklı uygulama kullanır (Okta’nın İşletmeler İş Başında 2023 raporu); Çoğu ihlalin temel nedeni çalınan kimlik bilgileri ve kimliktir (Verizon’un 2023 Veri İhlali Araştırmaları Raporu); ve kimlik tabanlı ihlallerin çoğu (%67) işletmeyi doğrudan etkiliyor (Identity Defined Security Alliance’ın 2023 Kimlik Güvenliği Trendleri raporu).
Çalışanların kimliklerini ve erişimini yönetmek, ihlalleri önlemek açısından kritik öneme sahiptir. Kuruluşun esası açısından daha önemli olan, kimlik ve erişimin yönetilmesi, maliyetten ödün verilmesi durumunda bunları azaltabilir. Bir ihlalin ortalama maliyeti 4,45 milyon dolar IBM’in Veri İhlalinin Maliyeti raporuancak IAM araçlarını kullanan şirketler bu maliyetleri ortalama 180.000 ABD doları kadar düşürdü.
Forrester Research’ün baş analisti Geogg Cairns, farklı bulut sağlayıcılarının ve makine kimliklerinin kimlik gereksinimlerini de eklediğinizde sorunun daha da büyüdüğünü söylüyor.
“IAM daha karmaşıktır [and] Hem bulut hem de özel ortamlarda yönetim karmaşıktır; daha fazla ek yük, hesaba katılması gereken daha çeşitli operasyonlar ve risklere ve tehditlere ilişkin görünürlük elde etmek daha zordur, ancak bunun sadece bunun bir parçası olduğunu düşünüyorum” diyor Cairns. “Yönetmek Bulut kimliklerinin dinamik doğasının yanı sıra “her yerde çalışma” ve genişletilmiş kurumsal iş gücü trendleri göz önüne alındığında, IAM ve buna bağlı olarak ayrıcalıklı erişim daha da zorlaşıyor. [such as] ortaklar [and] Servis sağlayıcıları.”
İhlalleri Durdurmak İçin Kimlik Görünürlüğü Gerekiyor
Kimlikleri ve erişimi yönetmenin karmaşıklığı, siber güvenlik sektörü segmentini sekteye uğrattı. Cloud Security Alliance’ın teknik araştırma direktörü Sean Heide, yüksek ciro oranlarına sahip şirketlerin, küçük firmaların ve teknik BT veya bilgi güvenliği ekibine sahip olmayan şirketlerin, kimlikler ve izinler üzerinde iyi bir görünürlük ve kontrole sahip olma ihtimalinin daha düşük olduğunu söylüyor.
Heide, bir planı veya yeterli kaynağı olmayan şirketlerin, IAM veya PAM çözümlerini yanlış yapılandırma riskiyle karşı karşıya kaldıklarını, bunun da potansiyel olarak erişim kaybına veya kesintilere yol açtığını söylüyor.
Heide, “Yukarıda belirtilen olumsuz etkilerden korunduğunuzdan emin olmak için bir PAM çözümünü uygulamaya koymadan önce iyi düşünülmüş bir plana ihtiyacınız var” diyor. “Zor olmasına gerek yok ama zaman alıcı olacak.”
Gartner’a göre, kimlik ve erişim yönetimi segmentinde lider şirketler Microsoft, Okta, Ping Identity, ForgeRock ve IBM olurken, BeyondTrust, CyberArk ve Delinea ayrıcalıklı erişim yönetimine (PAM) liderlik eden üç şirkettir.
Forrester’s Cairns, şirketlerin IAM ve PAM’e öncelik vermesi gerektiğini, ancak bulut planlarının da planlamalarına dahil edilmesi gerektiğini çünkü bulutun nihai strateji üzerinde büyük bir etkiye sahip olduğunu söylüyor.
Cairns, “Müşteriler kolaylıkla teknoloji tarafından yönlendirilme ve kendi önceliklerine ve süreçlerine odaklanmama tuzağına düşüyorlar” diyor. Ulaşılabilir kilometre taşlarıyla küçük adımlarla başlamak yerine, “okyanusu kaynatma yaklaşımını” benimsiyorlar.
Kimliği Yönetmek Düzenli Olarak Listede Zirvede
Cloud Security Alliance’ın en önemli tehditler raporunda düzenli olarak kimlik sorunları en önemli tehditler arasında yer alıyor. İçinde Bulut Bilişime Yönelik En Büyük Tehditler: Pandemi 11 Derin İnceleme raporuörneğin, “yetersiz kimlik, kimlik bilgileri, erişim ve anahtar yönetimi” 1. sırada yer alıyor. Buna rağmen, BT ekiplerinin %58’i çok pahalı olduğu için PAM dağıtmadı ve üçte ikisi herhangi bir dağıtımın muhtemelen ölçeklendirileceğini söylüyor Aralık ayında yayınlanan Keeper Security raporuna göre kriz sırasında geri döndük.
CSA’dan Heide, şirketlerin bu trende karşı koyması ve IAM ile PAM’e öncelik vermesi gerektiğini söylüyor.
“Güvenlik alanında her zaman çalışanların ilk savunma hattı olduğunu söylüyoruz” diyor. “Uygulayıcılar olarak, onlara güvenli kimlik doğrulama ve yetkilendirme yolları sağlamazsak, bu savunmacı yapıyı oluşturmalarına yardımcı olamayız. … Buradaki en büyük anahtar, işletmenizdeki izin düzeylerini, kimin neye erişebileceğini ve kimin neye erişebileceğini anlamaktır. potansiyel olarak veri etiketlemeyi inceleyin, böylece zamanı geldiğinde hangi rolün hangi dosyaya veya sisteme erişebileceğini bilirsiniz.”
Bovee, ConductorOne’ın Access Fabric’i geliştirmesinin temel nedenlerinden birinin bu görünürlüğü kazanmak olduğunu söylüyor. Şirketler, tüm kimlik ve erişim verilerini tek bir veri katmanında birleştirerek ayrıntılara kolayca erişebilir ve ayrıntılı erişim kontrolleri ayarlayabilir.
“Google çalışma alanıma kimin süper yönetici erişimine sahip olduğu veya bu erişimi nasıl elde ettikleri sorusunu sorabilirsiniz ve [you can see] Bu izin ile insanların farklı hizmetlerde hangi kaynakları veya verileri okuyabileceği arasındaki ilişki” diyor Bovee. “Bu, her şeyden önce kimin neye erişimi olduğunu ve ardından yetkilendirme yollarını gerçekten anlamanıza olanak tanıyor” [showing] insanlara bu erişimin nasıl verildiği ve bu erişimin aslında onlara ne yapma olanağı sağladığı.”
Ve bu anlayışın, işletmeleri modern saldırılara karşı korumaya yönelik kritik bir adım olduğunu söylüyor.