CyberArk’a göre, zorlu ekonomik koşullar ile yapay zekanın evrimi de dahil olmak üzere teknolojik inovasyonun hızı arasındaki gerilim, kimliğe dayalı siber güvenlik maruziyetinin büyümesini etkiliyor.
CyberArk’ın raporu, insan ve makine kimliklerinde beklenen %240’lık artışla birlikte bu sorunların nasıl bir ‘siber borcun’ birleşmesi ile sonuçlanma potansiyeline sahip olduğunu ayrıntılarıyla anlatıyor: dijital ve bulut girişimlerine yapılan yatırım, siber güvenlik harcamalarını geride bırakarak hızla genişleyen bir ve güvenli olmayan kimlik merkezli saldırı yüzeyi.
Siber borç seviyeleri
2022’de kuruluşlar, pandemi döneminde güvenlik harcamalarının daha geniş dijital iş girişimlerine yapılan yatırımın gerisinde kaldığı, artan siber borç yaşadı. 2023’te, ekonomik daralma, artan personel devir seviyeleri, tüketici harcamalarındaki gerileme ve belirsiz küresel ortam nedeniyle siber borç seviyeleri birikme riskiyle karşı karşıya.
İşletme liderleri daha yüksek verimlilik ve inovasyonun kilidini açmaya çalışırken, dijital ve bulut girişimlerine yapılan yatırımlar devam ederken, bu faktörlerin siber güvenlik üzerinde zincirleme etkileri oldu.
%99’u bu yıl ekonomik kaynaklı kesintiler, jeopolitik faktörler, bulut benimseme ve hibrit çalışmadan kaynaklanan kimlikle ilgili uzlaşma bekliyor. %58’i bunun bulut benimseme veya eski uygulama taşıma gibi bir dijital dönüşüm girişiminin parçası olarak gerçekleşeceğini söylüyor.
Örneğin, hoşnutsuz eski personelden veya kötüye kullanılabilir artık kimlik bilgilerinden kaynaklanan yeni bir iç tehdit endişeleri dalgasını körükleyen kuruluşların üçte ikisinden fazlası (%68), 2023’te çalışan kaybından kaynaklanan siber sorunlar bekliyor.
Kuruluşlar, önümüzdeki 12 ayda şu an sahip olduklarına kıyasla %68 daha fazla SaaS aracı dağıtacak. İnsan ve makine kimliklerinin büyük bir kısmı, SaaS araçları aracılığıyla hassas verilere erişebilir ve düzgün bir şekilde güvence altına alınmadığı takdirde, saldırı için bir ağ geçidi olabilir.
2023’te kimlik ve siber güvenlik endişeleri
Ankete katılan güvenlik uzmanlarının %93’ü, yapay zeka destekli tehditlerin 2023’te kuruluşlarını etkilemesini bekliyor ve yapay zeka destekli kötü amaçlı yazılımlar bir numaralı endişe olarak gösteriliyor.
Ankete katılan her 10 kuruluştan yaklaşık dokuzu geçen yıl fidye yazılımı saldırılarına maruz kaldı ve etkilenen kuruluşların %60’ı kurtarma için iki veya daha fazla ödeme yaptığını bildirdi ve bu da muhtemelen çifte gasp kampanyalarının kurbanı olduklarının sinyalini verdi.
Enerji, petrol ve gaz şirketlerinin %67’si yazılım tedarik zincirlerinden kaynaklanan bir saldırıyı durduramayacaklarını ve hatta tespit edemeyeceklerini düşünüyor (tüm kuruluşlar için bu oran %59). Bu sektörden yanıt verenlerin çoğu (%69), son 12 ayda daha iyi güvenlik uygulayarak bu durumu hafifletmeye çalışmadıklarını da itiraf ediyor.
BT ortamının kritik alanları
Kimlikler – hem insan hem de makine – tüm veya neredeyse tüm saldırıların merkezinde yer alır. Kimliklerin yaklaşık yarısı, rollerini gerçekleştirmek için hassas erişim gerektirir ve sonuç olarak tercih edilen bir saldırı vektörüdür. Rapor, BT ortamının kritik alanlarının yeterince korunmadığını tespit etti ve önemli risk oluşturan kimlik türlerini belirledi.
- %63’ü, en yüksek hassasiyete sahip çalışan erişiminin yeterince güvenli olmadığını ve insanlardan daha fazla sayıda makinenin hassas erişime sahip olduğunu söylüyor (%45’e karşı %38).
- Kimlik bilgilerine erişim, yanıt verenler için 1 numaralı risk olmaya devam ediyor (%35), ardından savunmadan kaçınma (%31), yürütme (%28), ilk erişim (%28) ve ayrıcalık yükseltme (%27) geliyor.
- Müşteriye yönelik gelir getiren uygulamalar, kurumsal kaynak planlaması (ERP) ve finansal yönetim yazılımı gibi işle ilgili kritik uygulamalar, bunlara erişen bilinmeyen ve yönetilmeyen kimlikler nedeniyle en büyük risk alanı olarak adlandırıldı. Yalnızca %46’sında iş açısından kritik uygulamaların güvenliğini sağlamak için kimlik güvenliği kontrolleri var.
- Üçüncü taraflar – ortaklar, danışmanlar ve hizmet sağlayıcılar – en riskli 1 numaralı insan kimliği türü olarak gösterildi.
- %69’u robotik süreç otomasyonu (RPA) ve bot dağıtımlarının güvenlik endişeleri nedeniyle yavaşladığını söylüyor.
CyberArk CEO’su Matt Cohen, “Personel ve makro-ekonomik güçlerdeki kesintiler önemli baskılar yaratsa bile, kurumsal verimliliği ve yeniliği her zamankinden daha fazla artırmaya yönelik organizasyonel istek azalmadan devam ediyor” dedi.
“Dijital ve bulut girişimlerinin yönlendirdiği iş dönüşümü, yeni kurumsal kimliklerde bir artışla sonuçlanmaya devam ediyor. Saldırganlar sürekli yenilik yaparken, kimlikleri ele geçirmek, siber savunmaları atlatmanın ve hassas verilere ve varlıklara erişmenin en etkili yolu olmaya devam ediyor. Cohen, böylesine derin bir riskin, siber borcun birikmesini önleme ve uzun vadeli siber dayanıklılık oluşturma çabalarında “kime ve neye güvenileceği” konusunu ön plana çıkardığını belirtti.
Hangi adımlar atılabilir?
Sıfır güven hizalaması: Kimlik güvenliği, sağlam bir sıfır güven uygulaması için kritik öneme sahiptir. Katılımcılar, sıfır güveni desteklemek için kimlik yönetiminin (%79) ve uç nokta güvenliği/cihaz güveninin (%78) “kritik” veya “önemli” olduğunu söyledi.
Hassas erişimi güvence altına alma stratejileri: Kuruluşların 2023’te uygulamaya koymayı planladıkları kimlik güvenliğini artırmaya yönelik ilk üç önlem: Tam Zamanında erişim (katılımcıların %32’si tarafından alıntılanmıştır); iş açısından kritik uygulamaların güvenliğini sağlamak için en az ayrıcalık ilkelerini benimsemek (%32); ve otomatik yetkilendirme ve erişimin yetkilendirmesini kaldırma (%31).
Güvenilir iş ortaklarıyla konsolide edin: %51’i, 2023’te gelecekteki siber riskler için çözümler tahmin etmeye ve tasarlamaya yardımcı olması için güvenilir siber güvenlik ortaklarına bakacak.