Microsoft ve büyük bulut sağlayıcıları, kurumsal müşterilerini daha güvenli kimlik doğrulama biçimlerine ve bulut hizmetlerine erişmek için şifrelenmemiş kanallar üzerinden kullanıcı adları ve parolalar kullanmak gibi temel güvenlik zayıflıklarının ortadan kaldırılmasına yönlendirmek için adımlar atmaya başlıyor.
Örneğin Microsoft, 1 Ekim’den itibaren Exchange Online hizmeti için temel kimlik doğrulamayı kullanma özelliğini kaldıracak ve müşterilerinin bunun yerine belirteç tabanlı kimlik doğrulama kullanmasını zorunlu kılacaktır. Bu arada Google, iki aşamalı doğrulama sürecinde 150 milyon kişiyi otomatik olarak kaydettirdi ve çevrimiçi bulut sağlayıcısı Rackspace, açık metin e-posta protokollerini yıl sonuna kadar kapatmayı planlıyor.
Malwarebytes kötü amaçlı yazılım istihbarat araştırmacısı Pieter Arntz, son teslim tarihlerinin, bulut hizmetlerine erişimlerini güvence altına alma çabalarının artık ertelenemeyeceği konusunda şirketlere bir uyarı olduğunu söylüyor. yakın zamanda bir blog yazısı kaleme aldı Microsoft Exchange Online kullanıcıları için yaklaşan son tarihi vurgulayarak.
“Bence denge, kullanıcıları, kullanımı nispeten kolay olan çözümler sunmaya çalışırken, ekstra güvenliğin en iyi çıkarları olduğuna ikna edebileceklerini hissettikleri bir noktaya kayıyor” diyor. “Microsoft genellikle bir trend belirleyicidir ve bu planları yıllar önce açıklamıştır, ancak yine de uygun önlemleri almak için mücadele eden ve mücadele eden kuruluşlar bulacaksınız.”
Kimlikle İlgili İhlaller Yükselişte
Güvenlik bilincine sahip bazı şirketler bulut hizmetlerine güvenli erişim sağlamak için inisiyatif alırken, diğerlerinin teşvik edilmesi gerekiyor – bulut sağlayıcılarının, Microsoft gibi, özellikle şirketler kimlikle ilgili daha fazla ihlalle mücadele ederken, giderek daha fazla istekli oluyorlar. Identity Defined Security Alliance’ın “Dijital Kimlikleri Güvende Tutmada 2022 Trendleri” raporuna göre, 2022’de şirketlerin %84’ü kimlikle ilgili bir ihlal yaşadı; bu, önceki iki yılda %79’du.
Temel kimlik doğrulama biçimlerini kapatmak, kurbanları tehlikeye atmanın ilk adımı olarak giderek artan bir şekilde kimlik bilgisi doldurma ve diğer toplu erişim girişimlerini kullanan saldırganları engellemenin basit bir yoludur. Kimlik doğrulaması zayıf olan şirketler, kendilerini kaba kuvvet saldırılarına, yeniden kullanılan parolaların kötüye kullanılmasına, kimlik avı yoluyla çalınan kimlik bilgilerine ve ele geçirilen oturumlara açık bırakır.
Bulut için kimlik güvenliği sağlayıcısı Ermetic’in araştırma başkanı Igal Gofman, saldırganların kurumsal e-posta hizmetlerine erişim sağladıktan sonra, hassas bilgileri sızdırabileceklerini veya iş e-postası güvenliği (BEC) ve fidye yazılımı saldırıları gibi zararlı saldırılar gerçekleştirebileceklerini söylüyor. Hizmetler.
“Özellikle bulutta zayıf kimlik doğrulama protokollerinin kullanılması çok tehlikeli olabilir ve büyük veri sızıntılarına yol açabilir” diyor. “Ulus devletler ve siber suçlular, bulut hizmetlerine karşı çeşitli kaba kuvvet saldırıları gerçekleştirerek zayıf kimlik doğrulama protokollerini sürekli olarak kötüye kullanıyor.”
Kimlik doğrulama güvenliğini desteklemenin faydaları hemen fayda sağlayabilir. Google, iki adımlı doğrulama sürecinde kişilerin otomatik olarak kaydedildiğini buldu hesap tavizlerinde %50 azalmayla sonuçlandı. IDSA’nın “Dijital Kimlikleri Güvende Tutmada 2022 Eğilimleri” raporuna göre, ihlale maruz kalan şirketlerin önemli bir kısmı (%43), çok faktörlü kimlik doğrulamaya sahip olmanın saldırganları durdurabileceğine inanıyor.
Sıfır Güven Mimarilerine Doğru Adım Atmak
Ayrıca, IDSA’nın Teknik Çalışma Grubuna göre, Dark Reading’e gönderilen bir e-postada, bulut ve sıfır güven girişimleri, şirketlerin yarısından fazlasının bu girişimlerin bir parçası olarak kimlik güvenliğine yatırım yapmasıyla daha güvenli kimlikler arayışına yön verdi.
Birçok şirket için, yalnızca bir kullanıcının kimlik bilgilerine dayanan basit kimlik doğrulama mekanizmalarından uzaklaşma, şirketlerin saldırı yüzey alanlarını en aza indirmeye ve mümkün olan yerlerde savunmalarını güçlendirmeye yönelmesine neden olan fidye yazılımları ve diğer tehditler tarafından teşvik edildi. Grup yazdı.
“Şirketlerin çoğu sıfır güven girişimlerini hızlandırırken, aynı zamanda mümkün olan yerlerde daha güçlü kimlik doğrulama uyguluyorlar – ancak hala bazı şirketlerin temel bilgilerle mücadele etmesi şaşırtıcı olsa da, veya [that] Henüz sıfır güveni benimsemediler, onları açıkta bıraktılar, “diye yazdı araştırmacılar.
Güvenli Kimliklerin Önündeki Engeller Kalıyor
Her büyük bulut sağlayıcısı, güvenli kanallar üzerinden ve OAuth 2.0 gibi güvenli belirteçler kullanarak çok faktörlü kimlik doğrulama sunar. Malwarebytes’ Arntz, özelliği açmak basit olsa da, güvenli erişimi yönetmek BT departmanının işlerinde artışa yol açabilir – bu, işletmelerin hazır olması gereken bir şey, diyor.
Şirketler, “hizmete kimin erişebileceğini ve hangi izinlere ihtiyaç duyduklarını yönetme konusunda bazen başarısız oluyor” diyor. “Daha yüksek bir kimlik doğrulama düzeyi ile gelen BT personeli için ekstra iş miktarıdır – darboğaz budur.”
IDSA’nın Teknik Çalışma Grubundaki araştırmacılar, eski altyapının da bir engel olduğunu açıkladı.
“Microsoft, bir süredir kimlik doğrulama protokollerini ilerletme sürecindeyken, eski uygulamalar, protokoller ve cihazlar için geçiş ve geriye dönük uyumluluk zorluğu, bunların benimsenmesini geciktirdi” dedi. “Temel auth için sonun göründüğü iyi bir haber.”
Tüketici odaklı hizmetler de kimlik doğrulamaya yönelik daha güvenli yaklaşımları benimsemekte yavaştır. Google’ın bu hamlesi birçok tüketici için güvenliği iyileştirmiş ve Apple, kullanıcılarının %95’inden fazlası için iki faktörlü kimlik doğrulamayı etkinleştirmiş olsa da, tüketicilerin çoğu, yalnızca birkaç hizmet için çok faktörlü kimlik doğrulamayı kullanmaya devam ediyor.
IDSA’nın raporuna göre, şirketlerin neredeyse üçte ikisi (%64) dijital kimlikleri güvence altına alma girişimlerini 2022’de en önemli üç önceliklerinden biri olarak belirlerken, kuruluşların yalnızca %12’si kullanıcıları için çok faktörlü kimlik doğrulamayı hayata geçirdi. Ancak firmalar, tüketici odaklı bulut sağlayıcılarının %29’unun şu anda daha iyi kimlik doğrulaması uygulaması ve %21’inin gelecek için planlama yapmasıyla bu seçeneği sunmaya çalışıyor.