Yıllar boyunca bir şirketin sistemlerini güvence altına almak “çevresini” güvence altına almakla eş anlamlıydı. “İçeride” güvenli olan ve dışarıda güvensiz olan bir dünya vardı. Barbarları duvarların dışında tutmanın verilerimizi ve sistemlerimizi güvende tutacağından emin olarak sağlam güvenlik duvarları inşa ettik ve gelişmiş tespit sistemleri kurduk.
Sorun şu ki artık şirket içi fiziksel kurulumların ve kontrollü ağların sınırları dahilinde faaliyet göstermiyoruz. Veriler ve uygulamalar artık dağıtılmış bulut ortamlarında ve veri merkezlerinde bulunuyor ve gezegenin herhangi bir yerinden bağlanan kullanıcılar ve cihazlar tarafından erişiliyor. Duvarlar yıkıldı ve çevre dağıldı, yeni bir savaş alanının kapısı açıldı: kimlik.
Kimlik, endüstrinin kurumsal güvenliğin yeni altın standardı olarak övdüğü şeyin merkezinde yer alıyor: “sıfır güven”. Bu paradigmada, sistemler arasındaki herhangi bir etkileşim için açık güven zorunlu hale gelir ve hiçbir örtülü güven mevcut olmayacaktır. Kaynağına bakılmaksızın her erişim isteğinin, erişim izni verilmeden önce doğrulanması, yetkilendirilmesi ve sürekli olarak doğrulanması gerekir.
Kimliğin İkili Doğası
Kimlik, ikili gerçekliğe sahip geniş bir kavramdır. Bir taraftan, insanlar işlerini yapmak için e-postalarına ve takvimlerine erişmeleri ve bazılarının (özellikle yazılım mühendisleri) bir sunucuya veya veritabanına ayrıcalıklı erişime ihtiyaçları var. Çalışanların katılması, belirli sistemler için ayrıcalıklar kazanması ve sonunda işletmeden ayrılmasıyla sektör, son 20 yılda bu kimlikleri yönetmeyi mükemmelleştiriyor.
Öte yandan başka bir tür kimliğimiz daha var: makine kimlikleri, olarak da anılır insan olmayan kimlikler (NHI’ler)tüm kimliklerin büyük çoğunluğunu oluşturan (sayılarının insan kimliklerinden daha fazla olduğu tahmin edilmektedir) en azından 45’e 1 faktörüyle).
Sunucular, uygulamalar veya işlemlerden oluşan NHI’ler, insan benzerlerinin aksine bireylere bağlı değildir ve bu nedenle tamamen farklı bir sorun teşkil etmektedir:
- Onlar geleneksel güvenlik önlemlerinden yoksun çünkü insan kullanıcılardan farklı olarak MFA’yı bir sunucuya veya API anahtarına basitçe uygulayamayız.
- Onlar herkes tarafından her an oluşturulabilir kuruluşta (Pazarlama’nın CRM’lerini e-posta istemcisine bağladığını düşünün) çok az denetimle veya hiç denetim olmadan. Çeşitli araçlara dağılmış durumdalar ve bu da onları yönetmeyi inanılmaz derecede karmaşık hale getiriyor.
- Bunlar ezici bir şekilde aşırı ayrıcalıklı ve çoğunlukla ‘bayattır’: İnsan kimliklerinin aksine, NHI’lerin kullanıldıktan sonra uzun süre kalma olasılıkları çok daha yüksektir. Bu, geniş izinlere sahip aşırı sağlanmış kimlik bilgilerinin kullanım amacı sona erdikten sonra bile kaldığı yüksek riskli bir durum yaratır.
Tüm bunların birleşimi, genişleyen bulut ortamları ve karmaşık yazılım tedarik zincirleriyle boğuşan büyük işletmeler için mükemmel bir fırtına sunuyor. Sırların yayılması bunun bir belirtisi olan yanlış yönetilen kimliklerin artık dünya çapındaki işletmeleri etkileyen çoğu güvenlik olayının temel nedeni olması şaşırtıcı değil.
Hareketsizliğin Yüksek Maliyeti: Gerçek Dünyadaki İhlaller
NHI güvenliğini ihmal etmenin sonuçları teorik değildir. Haberler, ele geçirilen NHI’lerin saldırganlar için giriş noktası olarak hizmet verdiği, önemli mali kayıplara, itibar kaybına ve müşteri güveninin erozyona uğramasına yol açan yüksek profilli ihlal örnekleriyle dolu. Dropbox, Sisense, Microsoft ve The New York Times, 2024 yılında NHI’nın tehlikeye girmesinden etkilendiğini kabul eden şirketlere örnektir. yalnız.
Belki de en kötü yanı, bu olayların dalgalandırıcı etkilerinin olmasıdır. Ocak 2024’te Cloudflare’in dahili Atlassian sistemleri ihlal edildi Çünkü tokenlar ve hizmet hesapları (başka bir deyişle NHI’ler) daha önce lider bir kimlik platformu olan Okta’da ele geçirilmişti. Burada özellikle ortaya çıkan şey, Cloudflare’in izinsiz girişi hızlı bir şekilde tespit etmesi ve şüpheli kimlik bilgilerini döndürerek yanıt vermesidir. Ancak daha sonra bazı erişim belirteçlerinin uygun şekilde değiştirilmediğini fark ettiler ve bu da saldırganlara altyapılarını tehlikeye atmak için bir şans daha verdi.
Bu münferit bir hikaye değil: Kuruluşların %80’i kimlikle ilgili güvenlik ihlalleri yaşamıştır ve DBIR’nin 2024 baskısı, “Kimlik veya Kimlik Bilgileri ihlali” olarak sıralamıştır. Siber saldırıların bir numaralı vektörü.
Endişelenmeli misiniz? Cloudflare hikayesine baktığımızda etkisi henüz bilinmiyor. Ancak şirket, iyileştirme çabalarının rotasyonu da içerdiğini açıkladı. Tümü 5.000 üretim kimlik bilgisikapsamlı adli önceliklendirme ve şirketin tüm sistemlerinin yeniden başlatılması. Böyle bir olayın kuruluşunuza getireceği zamanı, kaynakları ve mali yükü göz önünde bulundurun. Bu riski almayı göze alabilir misin?
Yanlış yönetilen kimlikleri ele almak, hem mevcut riskleri hem de gelecekteki riskleri düzeltmek uzun bir yolculuktur. Sihirli bir çözüm olmasa da çağımızın en büyük ve en karmaşık güvenlik risklerinden biriyle mücadele etmek mümkün. Organizasyonlar insan dışı kimliklerle ilişkili riskleri azaltabilir acil eylemleri orta ve uzun vadeli stratejilerle birleştirerek.
Son 7 yıldır Fortune 500 müşterisine bu süreçte eşlik etmek GitGuardian’ı özel yapan şey oldu sır güvenliğinde sektör lideri.
Sır Güvenliğinden Başlayarak NHI’ları Anlamak
Kuruluşlar, sırların güvenliğinden başlayarak NHI güvenliğine yönelik proaktif ve kapsamlı bir yaklaşım benimsemelidir. NHI’ler üzerinde kontrol kazanmak, etkili sır güvenliği yeteneklerinin uygulanmasıyla başlar:
1. Kapsamlı ve Sürekli Görünürlük Sağlayın
Bilmediğin şeyi koruyamazsın. Gizli sırların güvenliği, kaynak kodu depolarından mesajlaşma sistemlerine ve bulut depolamaya kadar geniş bir yelpazedeki varlıkların uygun ölçekte izlenmesiyle başlar. GitHub gibi yüksek oranda açığa çıkan alanlardaki şirketle ilgili sırları tespit etmek için izleme sürecinizi dahili kaynakların ötesine genişletmek çok önemlidir. Ancak o zaman kuruluşlar, maruz kaldıkları hassas bilgilerin kapsamını anlamaya başlayabilir ve bu güvenlik açıklarını düzeltmek için adımlar atabilir.
GitGuardian Secret Detection, piyasada en fazla sayıda dedektöre ve izlenen en geniş varlık yelpazesine sahiptir. son 5 yılın tüm GitHub halka açık etkinlikleri.
2. İyileştirmeyi Kolaylaştırın
Sırların güvenliği tek seferlik bir görev değil, devam eden bir süreçtir. Sabit kodlanmış sırları bulmak ve düzeltmek (iptal etmek) ve ihlallerin temel nedenini önlemek için yazılım geliştirme ve diğer iş akışlarına entegre edilmelidir. Zamanında ve etkili iyileştirme yetenekleri, uyarı yorgunluğunun sınırlandırılması ve iyileştirme sürecinin geniş ölçekte düzenlenmesi kritik öneme sahiptir. Bu, kuruluşların, saldırganların bu sorunları istismar etmeden önce sorunları çözmesine olanak tanır. Riski etkili ve ölçülebilir şekilde azaltmak.
GitGuardian Platformu iyileştirmeyi bir numaralı öncelik haline getiriyor. Birleşik olay yönetimi, özel iyileştirme yönergeleri ve ayrıntılı olay bilgileri, kuruluşların sırların yayılması tehdidiyle geniş ölçekte mücadele etmesine olanak tanır.
3. Kimlik ve Sır Sistemleriyle Entegrasyon
Sızan bir sırrın bağlamını analiz etmek, onun hassasiyetini ve ilgili riski belirlemek açısından çok önemlidir. Kimlik ve erişim yönetimi (IAM), ayrıcalıklı erişim yönetimi (PAM) sistemleri ve Gizli Yöneticiler ile entegrasyon, NHI’nin ayak izi ve etkinliğine ilişkin daha kapsamlı bir görünüm sağlar.
GitGuardian’ın sır yönetimi ve kimlik güvenliği alanında lider CyberArk Conjur ile olan ortaklığı sektörde bir ilktir. Bu ortaklığın getirdiği uçtan uca sır güvenliği pazara sunarak, otomatik kamu ifşa tespiti, sır yönetimi politikasının uygulanması ve bir sızıntının ardından otomatik rotasyon gibi yeni kullanım durumlarının kilidini açar.
Zihniyeti Değiştirmek: Çevreden Gizli Güvenliğe
İnsan olmayan kimliklerin hızla çoğalması, karmaşık ve çoğu zaman gözden kaçan bir güvenlik sorunu yarattı. Günümüzün dağıtılmış, bulut merkezli ortamlarında geleneksel çevre tabanlı güvenlik önlemleri artık yeterli değildir. Yanlış yönetilen NHI’larla ilişkili riskler gerçektir ve ciddi mali ve itibar kaybıyla sonuçlanan yüksek profilli ihlallerin de gösterdiği gibi potansiyel olarak yıkıcıdır.
Ancak umut var. Kuruluşlar, odağımızı sır güvenliğine kaydırarak ve güçlü tespit, otomatik düzeltme ve kimlik sistemleriyle entegrasyonu içeren kapsamlı bir yaklaşımı benimseyerek, saldırı yüzeylerini önemli ölçüde azaltabilir ve genel güvenlik duruşlarını güçlendirebilir.
Bu göz korkutucu görünebilir ancak siber güvenliğe yaklaşımımızda gerekli bir evrimdir. Şimdi harekete geçme zamanı; soru şu: almaya hazır mısın sırlarınızın güvenliğinin kontrolü? GitGuardian’la bugün başlayın.