Bu Help Net Security röportajında Secfense CEO’su Tomasz Kowalski, kurumsal ortamda çok faktörlü kimlik doğrulamanın önemini vurguluyor, korunan uygulamaların güvenliğini artırmak için mikro yetkilendirmelerin kullanımına dikkat çekiyor ve çok daha fazlasını yapıyor.
Günümüzün iş ortamında modern MFA’nın önemi nedir?
Modern Multi-Factor Authentication’ın (MFA) günümüzün iş ortamında birkaç nedenden dolayı kritik olduğuna inanıyorum.
Birincisi, geleneksel parola tabanlı kimlik doğrulama yöntemleri, giderek karmaşıklaşan siber tehditlere karşı koruma sağlamak için artık yeterli değil. Parolalar kolayca tahmin edilebilir, çalınabilir veya ele geçirilebilir ve saldırganlar bunları atlatmak için çeşitli teknikler kullanabilir. Bu, hassas verileri, sistemleri ve ağları tehlikeye atma riskine sokar ve işletmeler için ciddi finansal ve itibar kaybına neden olabilir.
İkinci olarak, uzaktan çalışmanın yükselişi ve bulut tabanlı uygulama ve hizmetlerin benimsenmesi, iş ortamlarını güvenli hale getirmeyi daha da zorlaştırdı. Çalışanların çeşitli konumlardan ve cihazlardan kurumsal kaynaklara erişmesiyle, güçlü kimlik doğrulama ihtiyacı her zamankinden daha önemli hale geliyor.
Fiziksel güvenlik anahtarları veya biyometrik kimlik doğrulama kullanan cihazlar gibi modern MFA çözümleri, kritik uygulamalara ve verilere erişen kullanıcıların kimliğini doğrulamak için ek bir güvenlik katmanı sağlar. MFA, birden fazla kimlik doğrulama faktörü gerektirerek, saldırganların yetkisiz erişim elde etmesini çok daha zorlaştırır ve saldırı ekonomisini önemli ölçüde değiştirir.
Özetle, modern MFA, günümüzün iş ortamında siber tehditlere karşı koruma sağlamak ve kritik kaynaklara güvenli uzaktan erişim sağlamak için çok önemlidir. kelimenin altını çiziyorum modern çünkü MFA bombalaması gibi saldırılar, itme tabanlı kimlik doğrulama gibi geleneksel MFA yöntemlerini zaten tehlikeye atmıştır, bu nedenle bunu akılda tutmak önemlidir.
Mikro yetkilendirmelerin kullanılması, korunan uygulamaların güvenliğini nasıl geliştirir?
Temel teknolojimiz, Kullanıcı Erişimi Güvenlik Aracısı (UASB) olarak adlandırılır ve herhangi bir MFA yöntemini kontrol altındaki herhangi bir uygulamada herhangi bir kodlama olmadan uygulamamıza izin veren bir araçtır. Mikro yetkilendirmeler, UASB’nin özelliklerinden biridir.
Mikro yetkilendirmelerin kullanılması, etkin bir oturuma yönelik saldırılara veya gerçek zamanlı kimlik avı veya kötü amaçlı yazılım dahil olmak üzere halihazırda oturum açmış bir kullanıcıya yönelik diğer saldırılara karşı ek koruma sağlayarak uygulamalara ekstra bir güvenlik katmanı ekler. En az ayrıcalık ilkesine göre çalışan mikro yetkilendirmeler, kullanıcıların yalnızca görevlerini yerine getirmek için ihtiyaç duydukları kaynaklara erişmesini sağlayarak yetkisiz erişim veya veri sızıntısı riskini en aza indirir.
Mikro yetkilendirmeler, korunan kaynağa erişim yetkisi verilen kişiye bağlı olarak Sahip Senaryosu ve Gözetmen Senaryosu olmak üzere iki farklı senaryoda kullanılabilir.
Sahip Senaryosunda, bir kullanıcı belirli bir kaynağa ulaştığında veya korumalı uygulamada belirli bir eylemi gerçekleştirmek istediğinde, Secfense kullanıcıdan seçilen kimlik doğrulama yöntemiyle yeniden kimlik doğrulaması yapmasını isteyecektir. Bu senaryo genellikle daha az hassas kaynaklar için kullanılır ve kullanıcının kaynağa erişim üzerinde tam denetimi vardır. Kullanıcının erişim kazanmak için kriptografik anahtarına dokunması veya seçtiği yöntemle kimlik doğrulaması yapması yeterlidir.
Bunun aksine, Denetleyici Senaryosunda, bir kullanıcı belirli bir kaynağa ulaştığında veya korumalı uygulamada belirli bir eylemi gerçekleştirmek istediğinde, Secfense önceden seçilmiş bir üçüncü taraftan – örneğin yönetici veya yönetici – kaynağa erişim yetkisi isteyecektir. . Bu senaryo genellikle, erişim izni verilmeden önce ek bir yetkilendirme seviyesinin gerekli olduğu daha hassas kaynaklar için kullanılır. Uygun kriptografik anahtar veya kimlik doğrulama yöntemiyle önceden seçilmiş üçüncü taraf, erişim talebini kabul edecek veya reddedecektir.
Her iki senaryo da mikro yetkilendirmeleri kullanarak ek bir güvenlik düzeyi sağlar, ancak fark kimin yetki verdiğinde yatmaktadır. Sahip Senaryosunda, kullanıcı kaynağa erişimleri üzerinde tam kontrole sahipken, Gözetmen Senaryosunda güvenilir bir üçüncü taraf erişim izni vermelidir.
Secfense dağıtımı, konteynerler veya genel bulutlar gibi belirli ortamlarla mı sınırlı?
Hayır, Secfense dağıtımı belirli ortamlarla sınırlı değildir. Çözüm şirket içinde, sanallaştırılmış ortamlarda veya bulutlarda konuşlandırılabilir, bu da onu esnek ve çok çeşitli ortamlara ve kullanım durumlarına uyarlanabilir hale getirir. Çözümümüz, mevcut altyapıya uyum sağlayacak şekilde tasarlanmıştır ve belirli müşteri ihtiyaçlarına uyacak şekilde özelleştirilebilir.
Secfense’i pazardaki rakiplerinden ayıran nedir?
Secfense’de, güçlü kimlik doğrulama uygulaması sorununu rakiplerimizden farklı bir şekilde ele alıyoruz. MFA tedarikçileriyle rekabet etmek yerine, MFA’nın benimsenme sürecini kodsuz bir şekilde kolaylaştırmak için onlarla iş birliği yapıyoruz. Kullanıcı Erişimi Güvenlik Aracımız, piyasada bulunan her MFA yöntemini etkinleştirerek, korumanın bir kuruluş içindeki tüm uygulamalara hızlı ve kolay bir şekilde ölçeklendirilmesine olanak tanır. Bu, dahili ekipler veya sözleşmeli geliştiriciler için zamandan ve verimlilik maliyetlerinden tasarruf sağlayan tüm şirket için birleşik güvenlik politikalarıyla sonuçlanır.
Aracımız, kimlik avı riskini ortadan kaldırmak için son çare ve mevcut en güvenli yoldur. Yazılım geliştirme yoluyla her seferinde tek bir MFA yöntemi yerine dakikalar içinde tam bir güçlü kimlik doğrulama yöntemleri paketi sunarak kendimizi diğer satıcılardan farklılaştırıyoruz. Diğer bir farkımız ise hiçbir uygulamayı korumasız bırakmamamızdır. Bunların modern uygulamalar veya eski sistemler olması fark etmez; MFA eklemek hepsinde aynı şekilde görünür ve herhangi bir kodlama gerektirmez.
Secfense olarak, yüksek talep gören sektörlerdeki şirketlere değerimizi kanıtladığımızı söylemekten gurur duyuyoruz. Büyümemiz ve başarımız, Avrupa’nın en büyük bankalarından biri olan BNP Paribas Polonya bankası gibi güçlü ortaklıklarımız da dahil olmak üzere birçok faktöre bağlanabilir. FIDO Alliance üyeleri olarak, çevrimiçi kimlik doğrulamanın geleceğini şekillendirmeye ve endüstri standartlarını yönlendirmeye aktif olarak dahil oluyoruz.
Ek olarak, Yubico ile yakın zamandaki ortaklığımız, tüm şirketlere kullanımı kolay, modern ve etkili MFA korumasının kullanılabilirliğini göstermemizi sağlıyor. Bu ortaklıklar ve başarılar, müşterilerimiz için mümkün olan en iyi çözümleri sunma ve kimlik doğrulama pazarında lider bir oyuncu olarak konumumuzu sağlamlaştırma taahhüdümüzü göstermektedir.
Secfense Kimlik Doğrulayıcı, güvenlik açısından fiziksel U2F/FIDO2 şifreleme anahtarlarıyla nasıl karşılaştırılır? Secfense Authenticator uygulaması, daha fazla güvenlik için diğer çok faktörlü kimlik doğrulama yöntemleriyle birlikte kullanılabilir mi?
Secfense Authenticator uygulaması, esasen akıllı telefonunuzu bir U2F/FIDO2 şifreleme anahtarına dönüştürür. Bu, güvenli kimlik doğrulama için birincil veya yedek U2F/FIDO2 anahtarı olarak kullanılabileceği, ancak mobil cihazınızdan erişilebilir olmanın ek rahatlığıyla kullanılabileceği anlamına gelir.
User Access Security Broker’ı kullanan şirketler, Secfense Authenticator’ı Secfense aracısı tarafından sağlanan yöntemler dizisine ek bir kimlik doğrulama yöntemi olarak ekleme olanağına sahiptir. Aracı ile kuruluşlar, çok faktörlü kimlik doğrulama kullanarak tüm sistemlerini ve uygulamalarını güvence altına alabilir. Bu, kuruluşların parola tabanlı kimlik doğrulama yöntemlerinden uzaklaşmasına ve daha güçlü, daha güvenli parolasız kimlik doğrulamasını benimsemesine yardımcı olur.
Sorunuzun ikinci kısmı ile ilgili olarak, Secfense Authenticator uygulaması, tek seferlik şifreler veya biyometrik kimlik doğrulama gibi diğer yöntemlerin yanı sıra ek bir çok faktörlü kimlik doğrulama yöntemi olarak kullanılabilir. Bu, ekstra bir güvenlik katmanı ekleyerek saldırganların kullanıcı hesaplarını tehlikeye atmasını daha da zorlaştırır.
Kısa bir süre önce Google for Startups Growth Academy for Cybersecurity’ye kabul edildiniz. Bu fırsattan ne bekliyorsunuz?
U2F anahtarlarının başlangıcı ve FIDO standardı, Secfense’in yaratılmasında çok önemli bir rol oynadı. Google, 2017’nin başından bu yana 85.000’den fazla çalışanını işle ilgili hesaplarında kimlik avına karşı koruyan U2F anahtarlarını geniş ölçekte kullanıma sunan ilk şirketti. Google, 2017’de tüm çalışanlarının şifreler ve tek seferlik kodlar yerine fiziksel Güvenlik Anahtarları kullanmasını zorunlu tutmaya başladı. .
Google, ilk U2F’nin ve ardından artık kimlik avı ve kimlik bilgisi hırsızlığıyla ilişkili riskleri tamamen ortadan kaldıran tek kimlik doğrulama yöntemi olan FIDO2 standardının oluşturulmasında büyük rol oynadı.
Secfense’deki misyonumuz, FIDO Alliance misyonuyla güçlü bir şekilde bağlantılıdır, bu nedenle Google’ın bizi Siber Güvenlik için Google for Startups Growth Academy programına davet etmesinden heyecan duyduk. Bu programın bize şirketimizin hem teknoloji hem de ticari yönlerinde daha fazla görünürlük, daha fazla farkındalık, daha fazla kavram kanıtı ve daha fazla danışmanlık desteği sağlamasını bekliyoruz.
Bu davet, kuruluşların sistemlerini ve uygulamalarını güvence altına almak için güçlü ve kullanımı kolay parolasız kimlik doğrulama yöntemlerini benimsemelerine yardımcı olan yenilikçi çözümler geliştirme taahhüdümüzün bir kanıtıdır. Sektörü ileriye götürmeye yardımcı olmak için Google ve diğer önde gelen siber güvenlik uzmanlarıyla birlikte çalışma fırsatına sahip olduğumuz için onur duyuyoruz.