YORUM
Son zamanlarda yüksek profilli örgütlere yapılan saldırıların gelişen hikayesi, aksiyon filmlerinin siber güvenlik eşdeğeri haline geliyor. Çocukken, kahramanın hikayedeki düşmanın kötülüğünü yenmek için kahramanca savaştığını ekrana hayranlıkla bakardım. Denemeler ve sıkıntılar olurdu ve kahraman her zaman seyircinin büyük sevincine göre olumsuzlukların üstesinden gelmenin bir yolunu bulurdu.
Çoğu zaman bu zafer neredeyse sihirli bir çözüm kılığında gelirdi. Bazı durumlarda, bu meşhur gümüş kurşunlar vampirlere veya kurt adamlara son vermek için ortaya çıkardı. Gümüş kurşunların zor durumlarımızı çözeceğine inanmamız sağlandı. Ne yazık ki bu bizim gerçekliğimiz değildi.
Gümüş kurşunların en zor durumlarımızı çözebileceğine inanma cazibesi, modern siber güvenlik dünyasında yaşamaya devam ediyor. “[insert name] “Teknoloji öldü!” ve güvenlik alanındaki tüm sorunları çözmek için başka bir çözümün ortaya çıktığı doğru mu?
Çok faktörlü kimlik doğrulama (MFA) bu yaz sihirli bir çözüm olarak gösterildi; ancak ne yazık ki siber güvenlikte her derde deva sihirli bir çözüm bulunmuyor.
MFA’nın Yapamayacağı Şeyler
MFA’ya odaklanmak mantıklıdır. Haberlere hakim olan bulut tabanlı veri platformlarına yönelik saldırılar, öncelikli olarak kimlik bilgisi tabanlıydı ve hiper ölçekleyici Snowflake, tehlikeye atılan müşteri hesaplarında MFA’nın bulunmadığını belirledi. MFA, bir organizasyon için riskleri azaltmak için sağlam bir araçtır ve Snowflake’un MFA’yı zorunlu kılan özellikleri başlatma kararı akıllıcaydı.
Ancak MFA yeterli değil ve hiçbir zaman da olmadı. MFA ile bile sosyal mühendislik potansiyeli var. Çalıştığım bir şirketin CEO’sundan gelmiş gibi görünen, telefonunu kaybettiğini iddia eden ve oturum açabilmeleri için MFA belirtecini kendilerine geri göndermemi isteyen kısa mesajlar aldım. Bu örnek, güvenlik geçmişi olanlarımıza gülünç gelebilir ancak işe yaradığı gösterildi.
MFA, saldırganların kötü amaçlı Wi-Fi etkin noktaları kurmasını veya kullanıcıları sahte bir oturum açma sayfasına yönlendirmek için Alan Adı Sistemi (DNS) sahtekarlığı kullanmasını engellemez; MFA kodlarını ve oturum belirteçlerini yakalamak için kullanılan iki teknik. Son zamanlarda kahve dükkanının Wi-Fi’sini mi kullandınız?
Üçüncü örnek olarak göstereceğim SIM takası, saldırganın SMS yoluyla gönderilen MFA kodlarını ele geçirmek için kullanıcının telefon numarasını kontrol altına almasıdır. MFA her zaman MFA değildir: Kimlik doğrulama kodunuz bir uygulamaya erişmek için kullandığınız tehlikeye atılmış cihaza gönderilirse, bunda “çoklu” olan hiçbir şey yoktur. SMS kodları iyi güvenliğin zayıf bir alternatifidir.
Güzel Sanatlar Fakültesi’nin Ötesinde
Son zamanlarda haberlerde yer alan çok sayıda veri ihlali ışığında, daha iyisini yapabilmemiz gerekiyor. Güvenlik ekipleri durumlarını nasıl iyileştirebilir ve kuruluşlarının risklerini nasıl azaltabilir? Ron Popeil’in “ayarla ve unut” yöntemi, güvenlik açısından meseleleri iyileştirmek için pek bir şey yapmıyor.
Bir kuruluşu korumak için atılabilecek birçok adım vardır. Örneğin, parolalar kullanıcıların parolaları hatırlamalarına veya girmelerine gerek kalmadan hesaplarına giriş yapmalarına olanak tanır.
İkinci adım, kuruluşunuzun kaynaklarına bağlanan cihazların güvenlik duruşunu kontrol etmektir. Örneğin, yabancı bir ülkeden bağlanan dizüstü bilgisayarın bunu yapması mı gerekiyor? Kuruluşunuz için çalışan birileri var mı? Dizüstü bilgisayarın yazılımı ve işletim sistemi güncel olarak yamalı mı?
Son olarak, Parolalar, kuruluşta sıklıkla gözden kaçırdığımız bir kontroldür. Nasıl yönetilirler? Kullanılan parolalar, bileşimlerinde benzersiz midir? Çok faktörlü kimlik doğrulama (MFA) yerinde olsa bile, karışımın bir parçası olarak parolalarla hala sıkışmış durumdayız. Yakın zamanda ortadan kalkmayacaklar. Çalışanlarınız doğru araçlara sahip olmadıkları için zayıf, kolay hatırlanabilen parolalar kullanıyorsa, kuruluşunuz risk altında olabilir.
Tek Bir Çözüm Yok
Hepimiz kendi hikayelerimizin kahramanı olmak istiyoruz. Ancak en sevdiğim çocukluk filmlerini taçlandıran büyülü zaferler, modern siber güvenlik dünyasına yansımıyor.
MFA önemli bir çözümdür. Kesinlikle yardımcı olabilir. Ancak günü kurtaracak tek çözüm kesinlikle bu değildir.
