KURUM İÇİ ÖNLEMLER

Kimlik doğrulama gerekliliklerinin yükü nasıl azaltılır?

Julia
Julia
31 Temmuz 2024

Kimlik doğrulama mekanizmaları siber güvenliğin yeterli korumayı hak eden hayati bir yönüdür ancak artan karmaşıklık onları daha kolay bir hedef haline getirmektedir. 

Amerikalı bilgisayar bilimcisi Fernando José Corbató’nun 1960’larda ilk parola tabanlı kimlik doğrulamayı yaratmasından bu yana parolalar, tüm dünyada BT güvenliğinin ayrılmaz bir parçası olmuştur. Ancak başkaları tarafından bilinmeyen bir karakter dizisi kullanma ilkesi aynı kalsa da bilgisayar dünyası katlanarak daha karmaşık hale geldi ve bir kişinin şu anda, 87’si işle ilgili olmak üzere ortalama 168 parolası var.  

Bu sadece genel kullanıcılar için değil aynı zamanda şirketlerinde çok sayıda uygulama ve cihazla çalışan yüzlerce hatta binlerce çalışanın güvenli kimlik doğrulama ihtiyaçlarını karşılayan BT yöneticileri için de baş ağrısına neden olmaktadır. 

Siber güvenlik alanında küresel bir lider olan ESET, işletmelerin yalnızca kötü amaçlı yazılımlara karşı güvenilir savunmalara değil aynı zamanda güvenli kimlik doğrulama dahil günlük görevleri yönetmelerine yardımcı olan kullanımı kolay platformlara da ihtiyaç duyduğunu biliyor.

ESET, BT yöneticilerinin kimlik doğrulama yükünü hafifletmek için birden fazla uygulamaya çok faktörlü kimlik doğrulama sağlayan ve tek bir kontrol panelinde çalışan bulut tabanlı bir çözüm olan ESET Secure Authentication çözümünü tanıttı.

Kimlik doğrulama ihlalleri

Kimlik bilgileri, siber suçluların en sevdiği saldırı vektörleri arasındadır. Verizon 2024 Veri İhlali Araştırmaları Raporu‘na göre, temel web uygulama saldırılarının %77’si çalınan kimlik bilgilerini içeriyor, %21’i kaba kuvvet (genellikle kolayca tahmin edilebilen parolalar) sonucu gerçekleşiyor ve bu saldırıların %13’ünde güvenlik açıklarından yararlanılıyor. 

Bu raporun yazarları ayrıca son 10 yılda, çalınan kimlik bilgilerinin analiz edilen tüm ihlallerin neredeyse üçte birinde (%31) ortaya çıktığını ve kimlik bilgilerini kurumları tehlikeye atmanın temel bir bileşeni haline getirdiğini vurgulamıştır.

Küresel olarak katılımcıların %80’i 2023’te kimlik doğrulama açıkları nedeniyle bir siber ihlal yaşadı ve elbette sonuçları zararlı olabilir. 

2023 yılında FBI, kişisel verilerin sızdırılması veya kötüye kullanılmasını içeren kişisel veri ihlalleri hakkında 7.333 şikâyet almıştır. Bu ihlallerin kümülatif kaybı 109.000.000 $’ın üzerindedir. 

Örneğin JumpCloud’un 2023 Esneklik ve Yaratıcılık Anketi’nde ABD, Birleşik Krallık ve Fransa’daki küçük ve orta ölçekli işletmeler (KOBİ’ler) arasında yapılan ankette parola güvenliğinin öneminin geniş çapta kabul görmesi şaşırtıcı değildir. Anket, KOBİ’lerin %64’ünün kuruluş çapında bir parola yönetim aracı veya yazılımı kullandığını ve %10’unun bu yıl bir tane uygulamayı planladığını gösteriyor. Maliyet, parola yönetimi kullanmayanlarda en büyük faktördür. 

Kimlik doğrulama bir saldırı vektörüne dönüştüğünde

Ancak parola güvenliğinin başka bir yönü de var. Çok faktörlü kimlik doğrulama (MFA) dahil olmak üzere sağlam bir siber güvenlik çözümüne sahip olmak harikadır ancak aynı zamanda hem kullanıcılar hem de BT yöneticileri için yeni zorluklar yaratır.

Kullanıcılar arasındaki sorun, tekrarlanan MFA kimlik doğrulama taleplerinden o kadar rahatsız olabilirler ki dikkatlerini kaybedebilirler. Ve bunu kanıtlayan MFA yorgunluğu saldırıları vakaları da vardır. 

Bir MFA yorgunluk saldırısının veya bir MFA bombardımanının başlangıcında, saldırganların hedeflerin kimlik bilgilerini kimlik avı, kaba kuvvet, parola püskürtme vb. yollarla elde etmesi gerekir. Hedeflerin kimlik bilgileri çalındıktan sonra saldırganlar, “kabul et” seçeneğine tıklamaları ve böylece saldırganların oturum açma girişimlerine en az bir kez izin vermeleri umuduyla onları 2FA push bildirimleri ile bombalamaya başlar. 

Öte yandan, zaten portal ve uyarı yorgunluğu ile mücadele eden BT yöneticileri, güncelleme veya uyarı yönetimi gibi MFA sistem yönetimi ile ilgili yeni sorumluluklar kazanmıştır. 

Bu nedenle, örneğin Kanada Siber Güvenlik Merkezi, güvenliği en üst düzeye çıkarmak ve kesintileri en aza indirmek için genel kullanıcı deneyimi ile güvenlik korumasının dengelenmesini tavsiye etmektedir. 

Tavsiyeler

İşte kullanıcı deneyimini iyileştirme ve BT kaynakları üzerindeki yükü azaltmaya yönelik diğer bazı tavsiyeler:

  • Kullanıcıları eğitmek için hem bir farkındalık kampanyası hem de eğitim düzenleyin
  • Kullanıcılara mümkün olan yerlerde güvenlik anahtarları, biyometri veya PIN gibi farklı faktör türlerini kullanma esnekliği tanıyın. 
  • Kullanıcılara MFA deneyimleri hakkında geri bildirim sağlama imkânı verin.
  • Yetkili kullanıcıların bağlı hesaplarında otomatik olarak oturum açmaları için tek oturum açma (SSO) uygulamasıyla MFA uygulayın. 
  • Kullanıcılara yedek bir MFA faktörü sağlayın ve birincil faktörlerinin kaybolması, kullanılamaması veya tehlikeye girmesi durumunda bunları kendi başlarına sıfırlamanın kolay bir yolunu ayarlayın. 
  • Anormal oturum açma etkinliklerini tespit etmek için MFA olaylarını izleyin ve kimlik doğrulama raporlarını kontrol edin.
  • Kullanıcılara kayıp veya çalıntı bir cihazın/güvenlik anahtarının hesaplarıyla ilişkisini kesme olanağı tanıyın. 

Zor zamanlara son 

Kullanıcılar genellikle dağıtılmış kimlik doğrulama, hizmetler arasında bölünme ve uç nokta ile mücadele ettiğinden BT yöneticileri bu tür altyapıyı sürdürmek ve yükseltmek için zor zamanlar geçirir. ESET Secure Authentication, bu sorumlulukları kullanıcıların elinden almayı hedefliyor:

  • ESET Secure Authentication ile ESET, bakım ve yükseltmeyi denetler, bunları ölçeklenebilir tutar ve güvenlik açıklarını avlar.
  • Yeni gösterge paneli, yöneticilere kaç kullanıcının korumalı ve korumasız olduğunu, başarısız girişleri vb. gösterir, böylece geliştirilebilecek gri alanları görebilirler.
  • Yöneticilerin iş davetiyeleri oluşturmasına gerek yoktur. Sadece bir yükleyici oluştururlar, onu alırlar, kullanıcıların cihazlarına yüklerler ve onları kaydederler.
  • Diğer satıcıların kimlik doğrulama çözümleri desteklenmektedir.
Kimlik doğrulama mekanizmaları siber güvenliğin yeterli korumayı hak eden hayati bir yönüdür ancak artan karmaşıklık onları daha kolay bir hedefe dönüştürür.

Daha az bakım, daha fazla koruma

Güvenli kimlik doğrulama, siber güvenliğin hayati bir yönüdür ancak aynı zamanda kişinin sinirlerini kolayca bozabilir. Tekrarlanan kimlik doğrulama, parola değiştirme ve bunu çeşitli uygulamalarda yapma, kullanıcıların MFA yorgunluğuna yol açabilir ve aynı zamanda bunu yöneten BT personelini de tüketebilir. 

Ve bu sadece kullanıcıları ve BT yöneticilerini mutlu etmekle ilgili değil aynı zamanda MFA yorgunluğu nedeniyle tehlikeye girebilecek işletmeleri güvence altına almakla da ilgilidir. 

ESET Secure Authentication ile işletmeler otomasyonu artırabilir ve BT yöneticilerinin bakım görevlerini azaltabilir, böylece kimlik bilgisi tabanlı saldırılara karşı dayanıklılıklarını artırabilirler.      

Etiketler:

Öne Çıkanlar

© 2024, ESET Türkiye

© 1992 – 2024 ESET, spol. s r.o. – Tüm hakları saklıdır. Burada kullanılan markalar ESET spol. s r.o.’nun ya da ESET Kuzey Amerika’nın tescilli markalarıdır.
Diğer tüm isim ve markalar sahipleri olan saygıdeğer şirketlerin tescili altındadır.

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye