Silverfort ve Osterman Research’e göre kuruluşların %80’inden fazlası, ele geçirilen kimlik bilgilerinin kullanımını içeren kimlikle ilgili bir ihlal yaşadı; bunların yarısı son 12 ayda gerçekleşti.
Kimlik saldırısı yüzeyinde görünürlük eksikliği
CISO’lar için zorlukların daha da artması, güvenlik ve kimlik ekipleri arasında sürekli bir uyumsuzluktur. Kimlik saldırısı yüzeyinin görünürlüğü yetersiz kalmaya devam ediyor ve kuruluşlar, ortamlarına erişebilen, ağları içerisinde yanal olarak hareket edebilen ve dakikalar içinde ortalığı kasıp kavuran kötü aktörlere maruz kalıyor.
Geleneksel kimlik erişimi yönetimi araçlarının çok ötesine uzanan kimlik saldırısı yüzeyini korumak, bu tür tehditleri gerçek zamanlı olarak tespit etme ve önlemede son savunma hattıdır.
Kuruluşların %65’i MFA’yı sağlam koruma sağlayacak kadar kapsamlı bir şekilde uygulamamıştır. Buna ek olarak, kuruluşların yalnızca %10’u PAM’i tam olarak dağıtmıştır ve bu tür çözümlerin geniş ölçekte uygulanmasının bilinen karmaşıklığı nedeniyle, PAM’in ayrıcalıklı kimlik bilgilerinin kötü amaçlı kullanımını önleme becerisine yüksek güven duymaktadır.
Gerçek zamanlı koruma eksik
Kuruluşların %94’ü hizmet hesaplarına (insan olmayan kimlikler) ilişkin tam görünürlüğe sahip değildir; bu da bu son derece savunmasız ve çoğu zaman ayrıcalıklı kimlikleri saldırganlar için birincil hedef haline getirmektedir. Kuruluşların %78’i, düşük görünürlük ve MFA veya PAM korumasının uygulanamaması nedeniyle hizmet hesaplarının kötüye kullanımını gerçek zamanlı olarak önleyemediklerini itiraf ediyor.
Beş kuruluştan yalnızca biri kimlik tehditlerini önleyebileceklerinden oldukça emin. Çok az kuruluş, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak kötü niyetli erişimi veya yanal hareketi durdurabileceğinden emin.
“Günümüzün kuruluşları, karmaşık hibrit ve çoklu bulut ortamlarında birçok farklı dijital kimlik ‘silosunu’ güvence altına almakla karşı karşıya. Bu ortamların her biri, birlikte çalışmayan ve kısmi güvenliğe, tutarsız kullanıcı deneyimine ve gereksiz maliyetlere yol açan farklı kimlik güvenliği kontrollerine sahiptir,” dedi Silverfort CEO’su Hed Kovetz.
“Ayrıca, her şirketteki en kritik sistemlerden bazılarında kimlik güvenliği hiçbir şekilde mevcut değildir ve kötü aktörler bunu biliyor. Bu yeni araştırma, kuruluşların kimlik güvenliğini nasıl uygulayacaklarını yeniden düşünmeleri ve insan ve insan olmayan kimlikler, ayrıcalıklı ve ayrıcalıklı olmayan kullanıcılar, şirket içi ve bulut ortamları, BT dahil tüm kimlik saldırısı yüzeyini kapsayan bir strateji geliştirmeleri gerektiğini vurguluyor. ve OT altyapısı ve daha önce korumayı başaramadıkları diğer birçok alan,” diye sözlerini tamamladı Kovetz.