Non-Human Kimliklerin Yönetimi: Bu krizin önüne nasıl geçebiliriz? Neden bu sorun bu kadar kritik? Hangi önlemleri alabiliriz? Gelecekte bizi neler bekliyor?
- Non-Human Kimlik Krizi Nedir?
- Özel Depolar: Yanıltıcı Bir Güvenlik Algısı
- Yapay Zeka Araçları Sorunu Daha da Kötüleştiriyor
- Docker Hub: 100.000’den Fazla Geçerli Gizli Bilgi Açığa Çıktı
- Kaynak Kodunun Ötesinde: İş Birliği Araçlarındaki Gizli Bilgiler
- İzinler Problemi
- Gizli Bilgilerin Dağılma Döngüsünün Kırılması
Non-Human Kimlik Krizi Nedir?
Non-Human Kimlikler (NHI), günümüzde yazılım ortamlarında insan kimliklerinden çok daha fazla kullanılmaktadır. Örneğin, API anahtarları, hizmet hesapları ve Kubernetes işçileri gibi kimlikler NHI kapsamına girmektedir. DevOps ortamlarında, bu tür makine tabanlı kimliklerin insan kimliklerini neredeyse 45 kat fazla kullanıldığı gözlemlenmiştir. Bu durum, modern altyapının yönetiminde önemli bir zorluk oluşturmakta ve doğru yönetilmediğinde kritik güvenlik problemlerine yol açmaktadır. Özellikle 2022 yılında halka açık depolarda tespit edilen şifrelerin %70’inin günümüzde hala aktif olarak kullanıldığı, gizlilik yönetiminde ciddi bir sistemsel sorun olduğunun kanıtıdır.
Özel Depolar: Yanıltıcı Bir Güvenlik Algısı
Kuruluşlar, kodlarının özel depolarda güvende olduğunu düşünebilir. Ancak gerçekler, özel depoların, halka açık olanlardan yaklaşık 8 kat daha fazla gizli bilgilere sahip olduğunu gösteriyor. Bu durum, ekiplerin "gizlilikle güvenlik" anlayışına başvurduklarını ve aslında doğru gizlilik yönetimi uygulamadıklarını ortaya koymaktadır. Özel depolarda sızan bilgilerin türleri de dikkat çekici bir farklılık göstermektedir. Örneğin, özel depolardaki sızıntıların %74,4’ü genel gizli bilgilere dayanmakta, bunun yanında genel şifreler özel depolarda %24 oranında bulunurken, halka açık olanlarda bu oran yalnızca %9’dur. Geliştiricilerin, halka açık depo ortamlarında daha dikkatli davrandıkları gözlemlenmektedir.
Yapay Zeka Araçları Sorunu Daha da Kötüleştiriyor
Yapay zeka tabanlı kod yazma yardımcıları, örneğin GitHub Copilot, üretkenliği artırabilirken aynı zamanda güvenlik risklerini de beraberinde getirmektedir. Yapılan araştırmalara göre, GitHub Copilot’ın etkin olduğu depolar, bu aracı kullanmayanlara göre %40 oranında daha fazla gizli bilgi sızıntısına sahip. Bu durum, yapay zeka destekli geliştirmenin, kod üretimini hızlandırsa da, güvenliği riske attığını ortaya koyuyor. Geliştiricilerin hız önceliğini güvenlikten daha öne çıkarması, geleneksel geliştirme uygulamalarında kaçınılması gereken durumları doğuruyor.
Docker Hub: 100.000’den Fazla Geçerli Gizli Bilgi Açığa Çıktı
GitGuardian tarafından yapılan kapsamlı bir analiz, Docker Hub’daki 15 milyon kamuya açık görüntüde 100.000’den fazla geçerli gizli bilginin bulunduğunu ortaya çıkardı. Bu bilgiler arasında AWS anahtarları, GCP anahtarları ve Fortune 500 şirketlerine ait GitHub token’leri yer almakta. Araştırma bulgularına göre, bu geçerli gizli bilgilerin %97’si yalnızca imaj katmanlarında bulunuyordu. Katmanların çoğunun 15MB’den küçük olduğu dikkat çekiyor. Bu durum, konteyner güvenliğindeki önemli bir kör noktanın varlığını sergilemektedir.
Kaynak Kodunun Ötesinde: İş Birliği Araçlarındaki Gizli Bilgiler
Gizli bilgi sızıntıları yalnızca kod depoları ile sınırlı değildir. İş birliği platformları olan Slack, Jira ve Confluence da önemli kimlik açığa çıkma vektörleri haline gelmiştir. Bu platformlarda bulunan gizli bilgilerin, kaynak kodu yönetim sistemlerine göre %38 oranında daha kritik veya acil sınıflandırıldığını görmekteyiz. Bu durum, bu platformların modern kaynak kodu yönetim araçlarındaki güvenlik kontrollerine sahip olmaması nedeniyle yaşanmaktadır. İş birliği araçlarında bulunan gizli bilgilerin yalnızca %7’sinin kaynak kodu tabanında da yer aldığı belirlenmiştir. Bu, gizli bilgilerin dağılması konusunda önlenmesi zor bir sorunu ortaya çıkarmaktadır.
İzinler Problemi
Ayrıca, GitGuardian, sızan kimlik bilgileri için genellikle aşırı izinlerin verildiğine dair bulgular elde etmiştir. Örneğin, GitLab API anahtarlarının %99’u ya tam erişim (yüzde 58) ya da yalnızca okunabilir erişim (yüzde 41) sağlamaktadır. Benzer şekilde, GitHub token’larının %96’sı yazma erişimine, %95’i ise tam depo erişimine sahiptir. Bu tür geniş izinler, sızan kimlik bilgilerinin potansiyel etkisini önemli ölçüde artırmakta ve saldırganların yetki aşaması ve yan hareketlilik gerçekleştirmesini kolaylaştırmaktadır.
Gizli Bilgilerin Dağılma Döngüsünün Kırılması
Kuruluşlar gizli bilgi yönetimi çözümlerini daha fazla benimsemeye başlasa da, tek başına bu araçların yeterli olmayacağı vurgulanmaktadır. GitGuardian’ın tespitlerine göre, gizli bilgi yöneticisi kullanan depolar bile 2024 yılında gizli bilgi sızıntılarında %5,1 oranına ulaşmıştır. Sorunu çözmek için kapsamlı bir yaklaşım gerekmekte, bu yaklaşım gizli bilgilerin tüm yaşam döngüsünü ele almalı, otomatik tespit ve hızlı düzeltme süreçlerini entegre etmeli ve güvenliği geliştirme iş akışının her aşamasında sağlamalıdır. Non-Human kimliklerin sayısı arttıkça, buna bağlı gizli bilgiler ve güvenlik riskleri de artmaktadır. Reaktif ve parçalı yaklaşımlar, otomatik dağıtımlar, AI tarafından üretilen kod ve hızlı uygulama teslimatının olduğu bir dünyada yeterli olmayacaktır.
