Akkeyless Security CEO’su Oded Hareven, bu yardımda, işletmelerin siber güvenlik stratejilerini makine-makine (M2M) güvenliğine olan ihtiyacı arttırmak için nasıl uyarlamaları gerektiğini tartışıyor. Hareven’e göre, makine kimlikleri otomasyon ve kod olarak politika odaklanarak insan kimliklerine benzer şekilde güvence altına alınmalı ve yönetilmelidir.
İşletmeler, makineden makineye etkileşimleri hesaba katmak için siber güvenlik stratejilerini nasıl yeniden şekillendirmelidir?
İşletmeler, makineden makineye etkileşimlerin insan-sistem etkileşimlerinden temelde farklı kimlik gereksinimlerine sahip olduğunu kabul etmelidir. Geleneksel kimlik çerçeveleri, kullanıcı adları, şifreler ve çok faktörlü kimlik doğrulama (MFA) gibi insan kimlik doğrulama faktörlerine öncelik verir. Bununla birlikte, makineler sahiplik, kimlik bilgileri (sertifikalar, anahtarlar ve sırlar gibi), otomasyon ve kod olarak politika odaklanan farklı bir yaklaşım gerektirir.
M2M etkileşimleri için siber güvenlik stratejilerini yeniden çerçevelemek için kuruluşlar:
1. Bir makine kimlik yönetimi stratejisi benimseyin – insan kimlikleri prova ve kimlik doğrulama gerektirdiği gibi, makineler güvenli kimlik bilgileri, otomatik keşif ve anahtarların ve sertifikaların yaşam döngüsü yönetimine ihtiyaç duyar.
2. Kullanıcı deneyiminden geliştirici deneyimine geçiş – makineler programlı olarak etkileşime girer, bu nedenle politikalar ve güvenlik önlemleri DevOps ve DevSecops iş akışlarıyla uyumlu olmalı ve güvenliğin otomasyon işlemlerine gömülmesini sağlar.
3. Kodu olarak uygulama-makineler kullanıcı odaklı izinler yerine önceden tanımlanmış güvenlik politikalarına güvenir. Kuruluşlar, makine etkileşimlerini verimli bir şekilde yönetmek için otomatik, düşük kodlu/kodsuz politika uygulama uygulamalıdır.
4. Otomasyona ve güvenli düzenlemeye öncelik ver – Makine kimlikleri, güvenlik boşluklarını önlemek için otomatik sunum, kimlik bilgisi rotasyonu ve iptal gerektiren ölçekte yönetilmelidir.
Makine kimliklerine insan kimlikleri ile aynı güvenlik ve yönetişim seviyesi ile – ancak stratejileri benzersiz ihtiyaçlarına uyarlayarak – organizasyonlar riskleri azaltabilir ve güvenli M2M iletişimini sağlayabilir.
Model zehirlenmesi veya veri manipülasyonu gibi çekişmeli AI saldırıları M2M güvenliğini nasıl etkiler?
Model zehirlenmesi ve veri manipülasyonu gibi çekişmeli AI saldırıları, otomatik kimlik doğrulama ve işlemlerden ödün vererek M2M güvenliğini tehdit eder. Bu saldırılar, makine öğrenimi modellerinin M2M ortamlarında veri değiştirme ve kimlik doğrulaması hakkındaki güvenlik açıklarından yararlanır.
Model zehirlenmesi, kötü niyetli verilerin enjekte edilmesini veya güncellemeleri manipüle etmeyi, AI karar vermesini ve potansiyel olarak backdours’u tanıtmayı içerir. Yapay zeka sistemleri tehlikeye atılan kimlik bilgilerini veya güncellemeleri kabul ederse, güvenlik, özellikle otonom M2M sistemlerinde bozulur ve basamaklı arızalara yol açar.
Veri manipülasyonu, depolanan verileri değiştirerek veya transitteki verileri ele geçirerek veri kümelerini değiştirir. Uygun kimlik doğrulaması olmadan, saldırganlar yanlış veri enjekte edebilir, endüstriyel otomasyon, IoT ve bulut iş yükleri gibi kritik M2M ortamlarında işlemleri bozabilir.
Bu riskleri azaltmak için, işletmeler şunları yapmalıdır:
- İmzalı güncellemeler ve model özgünlük doğrulaması yoluyla kriptografik bütünlüğü zorlayın.
- Yetkisiz erişimi kısıtlamak için güvenli model kimlik bilgileri (sertifikalar, API anahtarları, makine kimlik doğrulama jetonları).
- Model davranışı, kimlik doğrulama girişimleri ve sertifika kullanımındaki anomalileri sürekli olarak izleyin.
- Tüm AI güdümlü M2M etkileşimleri, hatta dahili etkileşimler için kimlik doğrulama gerektiren sıfır güven ilkelerini uygulayın.
Makineler dediğinizde, IoT cihazlarından ve endüstriyel sistemlerden mi bahsediyoruz yoksa bundan daha geniş mi? Meydan okulu sırların ve makine kimliklerinin riskleri daha yaygındır? Neden?
Makine kimlikleri hakkında konuştuğumuzda, sadece IoT ve endüstriyel sistemlerden çok daha geniş bir kapsamdan bahsediyoruz. Makineler, Gartner tarafından tanımlanan hem iş yüklerini hem de cihazları içerir. İş yükleri kapları, sanal makineleri (VM’ler), uygulamaları, hizmetleri, robotik proses otomasyonunu (RPA) ve komut dosyalarını kapsarken, cihazlar mobil, masaüstü ve IoT/OT sistemlerini içerir.
En büyük güvenlik riskleri, makineden makineye etkileşimlerin özellikle bulut, devOps ve otomasyon ağır altyapılarında ölçeklendirildiği ortamlarda ortaya çıkmaktadır. En savunmasız alanlardan bazıları şunlardır:
- Bulut ve Kubernetes ortamları – API anahtarları, SSH sertifikaları ve kimlik bilgileri gibi sırlar iş yüklerini güvence altına almak için gereklidir, ancak yanlış yönetilirse büyük ihlallere yol açabilirler.
- API Ağ Geçitleri ve Otomatik Hizmetler – API anahtarları sıklıkla hedeflenir ve tehlikeye girdiğinde saldırganlara kritik sistemlere doğrudan erişim sağlayabilir.
- DevOps boru hatları – Otomasyon sürüş altyapısı dağıtımları ile CI/CD iş akışlarına gömülü sırlar saldırganlar için ana hedeflerdir ve tedarik zinciri saldırıları riskini artırır.
- Veritabanları ve Sanal Makineler – Açıkta kalan veritabanı kimlik bilgileri veya SSH tuşları veri pessfiltrasyonuna veya fidye yazılımı saldırılarına yol açabilir.
- IoT ve OT Sistemleri-Bunlar özellikle zayıf güvenlik konfigürasyonları ve nadiren güncellenen uzun ömürlü kimlik bilgileri nedeniyle savunmasızdır.
Temel zorluk, makinelerin insanlar gibi kimlik doğrulaması yapmamasıdır – tamamen sırlara güvenirler. Uygun yönetim olmadan, saldırganlar yanal olarak hareket etmek, duyarlı verilere erişmek veya kritik işlemleri engellemek için maruz kalan kimlik bilgilerini kullanabilir. Otomasyon bu saldırıların hızla ölçeklenmesine izin verdiğinden, işletmeler makine kimliklerini etkili bir şekilde korumak için merkezi gizli yönetime, otomatik rotasyona ve katı erişim kontrollerine ihtiyaç duyar.
Yapay zeka odaklı M2M sistemlerinde otonom karar alma sürecinin güvenlik risklerini nasıl ele alıyoruz?
Anahtar, yapay zeka odaklı sistemlerin hassas kaynaklara kalıcı, gereksiz erişime sahip olmasını önlemek için sıfır ayakta ayrıcalıklar (ZSP) uygulamaktır. Uzun ömürlü kimlik bilgileri yerine, gerçek zamanlı doğrulamaya dayalı olarak yeterince ayrıcalıklara sahip erişim (JIT) verilir.
ZSP, anomaliler tespit edilirse geçici kimlik bilgilerini, politika tabanlı erişim kontrolü, sürekli yetkilendirme ve otomatik iptal uygulanarak riski en aza indirir. Bu, bir AI sistemi tehlikeye atılsa bile, saldırganların yanal olarak hareket etmek için ayakta ayrıcalıklardan yararlanamamasını sağlar.
AI özerk kararlar verirken güvenlik dinamik olmalıdır. Kuruluşlar, gereksiz ayrıcalıkları ortadan kaldırarak ve katı, gerçek zamanlı erişim kontrollerini uygulayarak, çeviklik ve otomasyonu korurken AI güdümlü makine-makine etkileşimlerini güvence altına alabilirler.
CISO’lara ve güvenlik ekiplerine M2M güvenlik zorluklarına hazırlanmak için bugün atılacak önemli adımlar hakkında tavsiyelerde bulunabiliyorsanız, ne olurdu?
Şu anda insan kimliklerinden daha fazla olan makine kimliklerinin hızlı yükselişi, geleneksel, insan merkezli güvenlik yaklaşımlarını etkisiz hale getirdi. M2M güvenlik zorluklarını ele almak için CISO’lar ve güvenlik ekipleri üç kilit alana odaklanmalıdır:
1. Farklılıkları anlayın insan ve makine kimlikleri arasında
Konteynerler, VM’ler, API’lar, veritabanları ve otomatik işlemler gibi makineler insanlardan farklı bir şekilde yeterlilik kazanır. Kullanıcı adları ve şifreler yerine, sırlara, sertifikalara ve anahtarlara güvenerek saldırganlar için birincil hedefler haline getirir. Güvenlik ekipleri kimlik stratejilerini buna göre değiştirmelidir.
2. Siloları ortadan kaldır ve birleşik bir platform benimseyin
Sırlar, sertifikalar ve kimlik yönetişimi için mevcut güvenlik araçları genellikle bağlantısı kesilir ve karmaşıktır, maliyetleri artırır ve güvenlik boşluklarını artırır. Bunun yerine, kuruluşlar insan olmayan tüm kimlikleri ve sırları merkezi olarak yöneten tek, bulut doğal bir platformda birleştirilmelidir. Bu, yanlış yapılandırmaları azaltır, görünürlüğü artırır ve güvenliği artırır.
3. Organizasyonel yapı geliştirir İnsan Olmayan Kimlik Yönetimine Sahip Olmak (NHIM)
M2M güvenliği sadece bir teknoloji sorunu değil, bulut güvenliği, DevOps, IAM ve risk yönetimi arasında çapraz fonksiyonel bir yaklaşım gerektirir. CISOS, sürekli yönetişim, uygulama ve gelişen makine kimlik tehditlerine uyum sağlamak için özel bir NHIM programı oluşturmalıdır.