YORUM
Veri ihlalleri her hafta manşetlere taşınıyor ve kuruluşlarını güvende tutmak için büyük baskı altında olan bilgi güvenliği yöneticilerini (CISO’lar) ön plana çıkarıyor. Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) yeni dört günlük ihlal bildirimi gerekliliklerive siber güvenlik riski hakkında yıllık bilgi paylaşma zorunluluğu, CISO’lara her zamankinden daha fazla sorumluluk yükledi. Sonuç olarak, CISO’lar kendilerini odadaki en büyük fil olan kimlik yönetimini denetlerken ve bu konuda daha fazla etkiye sahipken buldular.
Raporlama yapıları kuruluşa ve sektöre göre değişse de, çoğu zaman kimlik yönetimi baş bilgi sorumlusuna (CIO) rapor verir. Tarihsel olarak, kuruluşlar kimlik alma, çıkarma ve sürdürme sürecini, kuruluşu korumak için kritik olan temel bir güvenlik işlevi olmaktan çok bir “etkinleştirme hizmeti” olarak sınıflandırır. Yakın tarih bize bir şey gösterdiyse, o da kimliğin güvenliğin temel taşı olduğudur ve genellikle harika güvenlik araçlarına ve ekiplerine sahip harika şirketlerin hala ihlal edilmesinin birincil nedenidir.
Aşağıda, kuruluşların kimlik güvenliği ekiplerini raporlama yapısı, roller ve eğitim açısından daha iyi konumlandırmalarının yollarını ele alacağım.
CISO’ların Mevcut Riskler Hakkında Net Bir Görüşe İhtiyacı Var
Kimlik ve erişim yönetimi (IAM) uzun zamandır operasyonel güvenlik politikasının bir çerçevesi olarak var olmuştur ve Active Directory ve Okta gibi araçlar kuruluşların dijital kimlikleri yönetmesini sağlamıştır. Ancak bu araçlar kimliklerin bir kuruluşun ağı içinde güvenli kalmasını gerektirir. Bir saldırganın tehlikeye atılmış kimlik bilgilerini ele geçirdiğinde ne olduğuna bakın: Bunları kuruluş içinde yatay olarak hareket etmek için kullanabilirler. 2023’te Okta ihlali tüm destek biletlerini görüntüleme ve yüklenen dosyaları okuma erişimi olan sızdırılmış bir hizmet hesabının hassas müşteri bilgilerini çalmak için kullanıldığı. Kuruluşlar, arasındaki farkları anlamalıdır yönetmek araçlar ve kimlik güvenlik araçlar. Kuruluşları ve hassas verilerini güvende tutmak için birleşik bir güvenlik katmanı gereklidir.
Kimlik CISO’lara Rapor Edilmelidir
Tarihsel olarak, CISO’lar kimliği etkilemek için mücadele eder. Bu, Kimlik yönetiminden güvenliğine kadar her şeye ilişkin sınırlı görünürlüğü içerir. Yine de, günümüzün modern kuruluşunda, CISO’nun emanet sorumluluğu, kimlik yönetimi de dahil olmak üzere bir kuruluş içindeki güvenli araçların ve politika ekosisteminin tüm yönlerini şekillendirmelerini gerektirir. Dahası, CISO’ya rapor veren güvenlik kuruluşları, BT gücünde etkili kontroller ve dengeler sağlamak için benzersiz bir konumda olduklarından, risk yönetimi altında genellikle etkili “ikinci savunma hattı” olarak hizmet eder. Etkili bir karşı dengeleyici siber risk işlevi tarafından kontrol edilmeyen ve yönetilmeyen kimlik, genellikle yönetilmeyen ve aşırı ayrıcalıklı hesapların ve BT kuruluşunun derinliklerinde gizlenmiş gölge kimliklerin ortaya çıkmasına yol açar. Bu ayrımı ve kalite kontrolünü elde etmek için raporlamayı hizalamanın faydası hafife alınamaz.
BT ve kimlik güvenliği arasındaki sorumluluk ayrımı, güvenlik kuruluşlarına kimlik taleplerini en iyi güvenlik uygulamalarına göre inceleme yetkisi verir. En az ayrıcalık ve uygun segmentasyon kavramını zorlayabilirler. Bunlar, ileride büyük karlar getiren ve bir kimlik ihlalinin açığa çıkmasını engellemeye yardımcı olan faydalardan sadece birkaçıdır.
CISO’ların Statükoyu Değiştirmek İçin Görünürlüğe ve Yetkilendirmeye İhtiyacı Var
CISO’ların doğrudan bir hatta, açık bir sahipliğe ve kimliğin kurumsal sorumluluğuna ihtiyacı vardır. Birçok kişi bir CISO’nun statükoyu değiştirmek ve güvenlik programının temel prensiplerini uygulamak için tek başına etki kullanabileceğini savunurken, bu pratikte elde edilmesi çok daha zor bir şeydir ve bazen neredeyse ulaşılamaz ve ulaşılamaz hale gelir. Genellikle bu, bir CISO’nun bir CINO (sadece ismen şef) haline gelmesiyle sonuçlanır ve kuruluş yetkisiyle değişiklik yapma yeteneğinden yoksundur. SolarWinds faciası ve ardından gelen SEC eylemi bize bir şey gösterdiyse, o da kuruluşların ve yönetim kurullarının CISO’lara güvenlik programını uygulamak ve şirketlerinde bulunan güvenlik risklerini ele almak için gerçek kurumsal güç ve yetenek kazandırmaya doğru yönelmeleri gerektiğidir.
Elbette, BT ve güvenlik ekipleri arasında sorumluluk paylaşımı gereklidir ve etki hala CISO’ların kritik bir becerisidir. Aksine, önerdiğim değişim, hem hesap verebilirliği hem de sorumluluğu birincil otorite olarak CISO’nun altında hizalamak, kimlik ve diğer temel işlevlere yönelik var olmayan veya noktalı çizgiyi etkili bir şekilde kalın, sağlam bir çizgiye dönüştürmektir.
Kimlik Koruması ve Mikrosegmentasyon ile Açığı Kapatma
CDK Global ihlali yüksek profilli bir kimlik ihlalinin en son örneğidir. Bu, aşağıdakiler de dahil olmak üzere birkaç başkasını takip eder: Sağlık Hizmetlerini Değiştir Ve Santander Yasağı.
Yıllar önce, kuruluşlar kimlik kutularının “işaretlendiğine” inanarak çok faktörlü kimlik doğrulamayı (MFA) varsayılan olarak kullandılar, ancak bu yeterli değil. Dahası, hala birçok şirketin yalnızca ilk oturum açmada veya daha kötüsü, belirli kullanıcılar, uygulamalar ve kaynaklar için MFA kullandığını görüyoruz. Sistemleri ve verileri güçlü kimlik erişim kontrolleriyle evrensel olarak korumayı başaramadıkları için saldırganların kurbanı olduklarını öğreniyorlar.
Odak noktası, özellikle en fazla maruziyetin olduğu en ayrıcalıklı hesaplardan kritik varlıklara erişimi etkinleştirmek ve engellemek olmalıdır. Kuruluşlar, kimlik korumasını her insan kimliğine ve insan olmayan kimliğe (hizmet hesapları gibi) şu şekilde dağıtmalıdır:
-
Uygun durumlarda MFA’yı kullanmak
-
Kimliklerin kritik ağlara, altyapıya ve veri depolarına erişimini engelleyerek erişimi bölümlendirme
-
Erişimi kısıtlamak için insan olmayan kimliklerin yönetilmesi
-
Güvenli bölümlendirmeyi ve erişimin en az ayrıcalıklı bir standartla sınırlandırılmasını zorunlu kılma
Son olarak, güvenlik ve BT ekipleri ağ segmentasyonu kavramını kimlik segmentasyonuna uygulamalıdır. Ağ segmentasyonundaki temel kusur, kuruluşların genellikle ağ segmentini tek bir kimlikle köprülemesi ve böylece segmentasyonun ilk etapta amacını boşa çıkarmasıdır. Sonuç olarak, bu kimlik tehlikeye girer ve ağ segmentasyonu kuruluşu yanal hareket ve kötü amaçlı yazılım yayılımına karşı korumada başarısız olur. Şirketler yalnızca ağ ve kimlik segmentasyonunu birleşik bir kimlik güvenliği yaklaşımında birleştirerek kritik varlıkları ve verileri segmentlemenin faydalarını gerçekten elde edebilirler.
Dönüşümsel değişim genellikle bir sorunu denetlemek için farklı bir beceri setine sahip yeni bir lider gerektirir. Kimlik yönetimi BT ile iyi bir sebepten dolayı birlikte çalışır, ancak artık kimliğin her saldırıda ortak payda olduğu çok açık olduğundan, kimlik güvenliğinin CISO gibi güvenlik geçmişine sahip bir lider tarafından sahiplenilmesi ve BT ile yakın ortaklık içinde yapılması zamanı geldi.
Kimlik için en iyi güvenlik uygulamalarını (genellikle uç noktalar ve ağlar için de kullanılır) izleyerek, örneğin kullanıcıların en az ayrıcalığa sahip olmasını sağlayarak, şirketin normal etkinlik olarak tanımladığı konularda uyum sağlayarak ve ardından anormal etkinliği hızla tespit edip durdurarak, kuruluşlar gelecekteki saldırılara karşı daha iyi korunacaktır.