Splunk CEO’su Doug Merritt, geçen yılın sonlarında bir grup Silikon Vadisi girişimcisine hitap etti ve “güvenlik çevreleri tamamen yok edildi ve geri dönmeyeceklerBu, güvenlik duvarı, IDS/IDP, CASB, DLP, SIEM/SOAR ve EDR/XDR teknolojilerine yıllarca yapılan yatırımı sona erdirmeye başlamak için bir silaha çağrı değildi, aksine, insanların artık güvenlik çemberi olduğunun ciddi bir kabulüydü. Her modern işletme Bugün, ticari firmaların güvenliği tamamen son kullanıcı kimlik bilgilerinin ve son kullanıcı davranışlarının yönetimine dayanmaktadır.
Kimlik doğrulama ve yetkilendirme prosedürleri, her son kullanıcının potansiyel bir uzlaşma yolu olduğu bir gerilla siber savaşında başlıca savunmalardır. Ne yazık ki, bu alanda çözümler sunan satıcılar sıklıkla kafa karıştırıcı ve yanıltıcı olabilecek bir dil kullanıyor. Aralarında ayrım yapamıyorlar erişim izinleri, eylem ayrıcalıkları, ve varlık yetkileri. Örneğin, bir İK iş ortağının bir Workday ücret modülüne erişimi olabilir; maaş tablolarını değiştirebilir (bir eylem ayrıcalığı); ancak yönetici tazminat kayıtlarını görüntüleyemeyebilir veya değiştiremeyebilir (kuruluş hakkı).
İzin, ayrıcalık ve yetkilendirme terimleri birçok satıcı tarafından birbirinin yerine kullanılır. Bazıları, “kaba taneli” ve “ince taneli” izinler hakkında, ürünlerinin yeteneklerine olumlu bir ışık tutacak şekilde terminoloji getirerek karışıklığı artırıyor.
Şu anda piyasada bulunan kimlik doğrulama ve yetkilendirme araçlarının çoğu, her duruma uyan tek çözüm değildir. Uygulama, veri ve altyapı ortamlarında iş yapan bireylerin kimlik bilgilerini ve davranışlarını yönetmeyle ilgili nüanslar oldukça farklıdır. Bugüne kadar, izinleri, ayrıcalıkları ve yetkileri ayrıntılı olarak yönetmek için gereken karmaşıklık ile tüm bu ortamların yeterli kapsamını sağlayan kapsamlı bir platform yoktur.
İyi haber şu ki, bazı satıcılar bu sorun üzerinde çalışıyor. Kimlik doğrulama ve yetkilendirme piyasası geleneksel olarak birbirini tamamlayan üç alana bölünmüştür: kimlik ve erişim yönetimi (IAM), kimlik yönetişimi ve yönetimi (IGA) ve ayrıcalıklı erişim yönetimi (PAM). Bu alanların her birindeki liderler, kısmen mevcut müşteri ihtiyaçlarına ve kısmen de gelir artışı için bariz fırsat nedeniyle bitişik alanlara tecavüz ediyor.
Örneğin, IAM’de lider olan Okta, IGA ve PAM yetenekleri 2022 baharında 2021 kullanıcı konferansında. Bir başka popüler IAM çözümü olan ForgeRock, 2019’da IGA özelliklerini tanıttı. Son olarak, PAM’de daimi lider olan CyberArk, platformuna IAM, tek oturum açma ve çok faktörlü kimlik doğrulama özelliklerini eklemek amacıyla 2020’de Idaptiv’i satın aldı.
Kimlik doğrulama ve yetkilendirme alanındaki liderler, daha çekici çözümler sunmak amacıyla platformlarının yeteneklerini genişletirken, VC topluluğu, çok daha ayrıntılı kimlik tabanlı güvenlik (IBS) hizmetleri sunan çeşitli girişimlere para akıtıyor.
2018’den 2020’ye kadar IBS firmalarına 1 milyar doların üzerinde erken aşama/Serisi A/Serisi B girişim finansmanı yatırımı yapıldı. IBS firmaları da pandemi boyunca artan güvenlik yatırımı dalgasını bastı. Crunchbase’e göre, 2021’in ilk yarısında tüm yatırım aşamalarında IBS start-up’larına 2 milyar dolar daha dağıtıldı.
Bu para nereye gidiyor? Saviynt ve Britive gibi firmalar tarafından geleneksel IGA ve PAM yeteneklerini çoklu bulut ortamlarına genişletmek için kullanılıyor. XIX, Validsoft ve Imprivata yeni biyometrik faktör doğrulama hizmetleri geliştiriyor. Trulioo, Jumio ve Socure, tüketici dostu kimlik doğrulama yetenekleri sunar. Beyond Identity ve Axiad, parolasız kimlik doğrulama için kullanılabilir. Infinicloud ve Wootcloud, cihaz kimliği yetenekleri sunar. PlainID ve Styra, çeşitli kimlik doğrulama ve yetkilendirme hizmetleri tarafından erişilebilen bağımsız politika motorları olarak işlev görür. Aserto, Authzed ve Oso, uygulamaya özel kimlik doğrulama ve yetkilendirme iş akışları oluşturmak için kullanılabilecek geliştirici araç kitleridir.
Devam edebiliriz, ama siz anladınız. Hepsi bir arada platformların işlevselliği, belirli çalışma grupları, iş kolları veya müşteri toplulukları için ısmarlama son kullanıcı güvenlik prosedürleri geliştirmek için kullanılabilecek bir hizmet smorgasbord’una dönüştürülmektedir.
Peki gelecekte kim kazanır? Konsolide platformlar IBS pazarının çoğunluğunu ele geçirecek mi yoksa belirli çalışma gruplarının benzersiz gereksinimleri veya ödeme yapan müşterilere benzersiz deneyimler sağlama arzusu nedeniyle kendin yap çözümleri çoğalacak mı?
Belki de cevap her ikisidir. Konsolide platformlar tarafından sağlanan genel güvenlik çözümleri, birçok şirketin dahili ve müşteriye yönelik gereksinimlerini karşılamak için muhtemelen yeterli olacaktır. Öte yandan, birçok yazılım mühendisliği, farmakoloji araştırması ve tedarik zinciri modelleme ekibi, kaynak ihtiyaçlarına ve iş uygulamalarına göre uyarlanmış özelleştirilmiş DIY çözümlerini kuşkusuz memnuniyetle karşılayacaktır.
Yukarıda bahsedilen IBS girişimlerine yapılan 3 milyar dolarlık VC yatırımı, ayrıştırılmış kimlik doğrulama ve yetkilendirme hizmetleri için mevcut toplam pazarın oldukça büyük bazı projeksiyonlarına dayanmalıdır. VC’ler, şirketler önümüzdeki yıllarda IBS sistemlerini yeniledikçe, bu hizmetlerin başlangıçta platform mimarilerini artırabileceği ve nihayetinde değiştirebileceği konusunda bahse girebilir. Çok, çok yakında, özelleştirilmiş IBS çözümleri için bir pazar olup olmadığını hepimiz öğreneceğiz.