Yıllardır süren kamuoyu bilinçlendirme kampanyalarına, tekrarlanan yüksek profilli ihlallere ve devam eden düzenleyici incelemelere rağmen, Birleşik Krallık’ta “admin” ve “123456” gibi zayıf, tahmin edilebilir şifrelerin kullanımı devam ediyor. Bu sorun, ülkedeki daha derin ve sistemik bir sorunun simgesidir. siber güvenlik duruş.
Ancak bu bir farkındalık veya eğitim başarısızlığı değil, kurumsal düzeyde kimlik yönetimi, kültürel güçlendirme ve politika uygulama başarısızlığıdır.
Keeper Security’nin CEO’su ve Kurucu Ortağı.
Aralık ayının başlarında, Ulusal Siber Güvenlik Merkezi (NCSC), kimlik bilgisi yönetimine ilişkin güncellenmiş kılavuzu yayınladı. Özellikle, kılavuz “teknik savunmalara ve organizasyonel süreçlere daha fazla güvenilmesini savunmaktadır. şifreler daha geniş erişim kontrolü ve kimlik yönetimi yaklaşımınızın yalnızca bir bölümünü oluşturuyor.”
Bu, kullanıcı merkezli güvenlik modellerinden uzaklaşmayı temsil eder ve kuruluşlara, kullanıcı kimlik bilgilerini ve nihayetinde kuruluşun çalışmak için güvendiği sistemleri güvence altına alma sorumluluğunu yükler.
Birleşik Krallık hükümetinin ana hatlarıyla ortaya koyduğu öneriler arasında parolalara olan bağımlılığın azaltılması, kullanıcıların aşırı parola yüklemesiyle başa çıkmalarına yardımcı olma ve paylaşılan erişimi yönetme yönünde açık çağrılar yer alıyor. İngilizlere meydan okuma güvenlik Liderlerin asıl görevi artık bu kılavuzun sağlam olup olmadığı değil, bunu kendi kuruluşları genelinde etkili bir şekilde nasıl işlevsel hale getirecekleridir.
Rehberliğin neden önemli ve gerekli olduğu
NNCSC’nin en son kılavuzu ileriye doğru atılmış önemli bir adımdır çünkü parola yönetimini kullanıcı yükü olarak değil, otomatikleştirilmesi, merkezileştirilmesi ve tasarım gereği korunması gereken bir güvenlik kontrolü olarak yeniden çerçevelendirmektedir.
Son araştırmalar, neredeyse her beş kuruluştan birinin hala resmi kimlik kontrolü olmadan, ortak ağlara dayalı olarak faaliyet gösterdiğini gösteriyor. elektronik tablolarsabit kodlu şifreler veya hiçbir yönetim sistemi yok. Bu çerçevede, zayıf şifrelerin hem tüketici hem de kurumsal ortamlarda yaygın olarak kalması şaşırtıcı değildir.
Parola aşırı yükleme sorunu
Aşırı şifre yüklemesi dijital toplumumuzun bir belirtisidir. Araştırma, ortalama bir kişinin yaklaşık 250 hesabı olduğunu, bunların 168’inin kişisel hesaplarda, 87’sinin ise iş hesaplarında olduğunu gösteriyor.
NCSC’nin işaret ettiği gibi, bu kadar büyük miktarda şifre oluşturma gerekliliğinin “aşırı şifre yüklemesine” yol açması ve son kullanıcıları, şifrelerin yeniden kullanılması, şifrelerin bir yere yazılması ve öngörülebilir şifreler gibi kendi başa çıkma mekanizmalarını tasarlamaya zorlaması riski vardır.
Bazı kullanıcıların güvenebileceği başka bir başa çıkma mekanizması da kullanmaktır. tarayıcıtabanlı şifre yöneticileri.
Tarayıcı tabanlı şifre yöneticileri kolaylık sunarken, hiçbir zaman kurumsal düzeyde erişim kontrollerini veya yönetişim gereksinimlerini destekleyecek şekilde tasarlanmamıştır. Ayrıca sınırlı görünürlük, tutarsız politika uygulaması ve satıcıya bağlı kalma yoluyla operasyonel risk de getirirler.
Bireyler için saygın üçüncü taraf şifre yöneticileri, güçlü, benzersiz kimlik bilgilerini desteklerken belleğe bağımlılığı azaltan en basit korumalardan biri olmaya devam ediyor. Ancak kurumsal düzeyde şifre yönetiminin daha geniş bir kimlik stratejisinin parçası olarak yönetilmesi ve uygulanması gerekir.
Bu, hükümetin ‘aşırı şifre’ konusundaki uyarısını karşılıyor ve sonuçta minimum maliyet veya kesintiyle tüm organizasyonu daha güvenli hale getiriyor.
Parolalara bağımlılığın azaltılması
Parolaların bir gecede kaybolması pek olası değil; ancak saldırganlar parolaları giderek daha geniş ölçekte istismar ettikçe rolleri giderek azalıyor.
Parolalarla ilgili sorunlar aynı kalıyor ancak kimlik bilgilerinin ele geçirilme ve kötüye kullanılma biçimleri hızla değişiyor. yapay zeka-Hızlandırılmış kırma, kimlik bilgileri doldurma ve kimlik avı, uzlaşmaya yönelik engelleri azaltmaya devam ederken, tutarsız organizasyonel uygulamalar kolay giriş noktaları sağlamaya devam ediyor.
Geçiş anahtarlarının ve parolasızlığın yükselişi kimlik doğrulama kimlik bilgilerinin saldırganlar için birincil hedef olmaya devam ettiği bir dönemde, sektörün insan davranışına olan bağımlılığı ortadan kaldıran daha güçlü, yerleşik kontrollere doğru kaymasını yansıtıyor.
Yönetilen paylaşılan erişim
Birleşik Krallık’taki kuruluşlar için, paylaşılan erişimin Ayrıcalıklı Erişim Yönetimi (PAM) aracılığıyla yönetilmesi, giderek daha karmaşık hale gelen BT ortamlarındaki risklerin azaltılması açısından kritik öneme sahiptir. Yönetim kurulları ve yönetici ekipler için, yönetilmeyen ayrıcalıklı erişim hem güvenlik açığını hem de yönetişim başarısızlığını temsil eder.
Birleşik Krallık’ta bu risk, hesap verebilirlik, denetlenebilirlik ve operasyonel esneklik konusundaki düzenleyici beklentiler nedeniyle giderek daha da artıyor. Paylaşılan ve ayrıcalıklı hesaplar, özellikle kimlik bilgilerinin yeniden kullanıldığı, kötü izlendiği veya ekipler arasında manuel olarak yönetildiği durumlarda, saldırganlar için birincil hedef olmaya devam ediyor.
PAM, en az ayrıcalıklı erişimi zorunlu kılarak, paylaşılan kimlik bilgilerini güvenli bir şekilde saklayıp döndürerek ve kimin neye, ne zaman ve neden eriştiği konusunda net görünürlük ve denetlenebilirlik sağlayarak bu sorunun çözülmesine yardımcı olur.
Bir ihlal durumunda PAM çözümleri, gereksiz ayrıcalıkları kısıtlayarak ve yüksek riskli hesapları izole ederek yatay hareketi önemli ölçüde sınırlayabilir ve kuruluşların olayları daha hızlı kontrol altına almasına yardımcı olabilir.
PAM, güvenliğin ötesinde, kimlik bilgileriyle ilgili olayların azalması, hassas verilerin daha güçlü korunması ve daha düşük BT dahil olmak üzere somut operasyonel faydalar da sağlar. yardım masası Bu da onu düzenleyici baskılar ve gelişen tehdit ortamıyla mücadele eden Birleşik Krallık’taki kuruluşlar için temel bir kontrol haline getiriyor.
Yeni bir çevre olarak kimlik
Kuruluşlar için en büyük öncelik tedavi etmektir. kimlik yeni çevre olarak kullanın ve uçtan uca kimlik bilgisi yaşam döngüsü yönetimini uygulayın.
Bu, katılım ve erişim sağlamadan sürekli kimlik doğrulamaya, ayrıcalık değişikliklerine ve roller değiştiğinde veya çalışanlar ayrıldığında yetkilendirmenin zamanında kaldırılmasına kadar kullanıcının dijital kimliğinin her aşamasını güvence altına almak anlamına gelir.
Kuruluşlar, kimlik bilgilerini silolar yerine bütünsel olarak yöneterek saldırı yüzeylerini azaltabilir, yanal hareketi sınırlayabilir ve erişimin gerçek iş ihtiyaçlarıyla sürekli olarak uyumlu olmasını sağlayabilir.
Kullanıcıların, cihazların ve uygulamaların geleneksel ağ sınırlarının çok ötesinde çalıştığı bir ortamda güçlü kimlik yönetimi, etkili güvenliğin temeli haline gelir.
Zayıf şifreler kaçınılmaz değildir. Bunlar yetersiz kontrollerin, tutarsız politika uygulamalarının ve modası geçmiş davranışların sonucudur.
Güçlü parola yönetimi, güçlü ayrıcalıklı erişim denetimi ve sıfır güven zihniyeti sayesinde kuruluşlar, maruz kaldıkları riskleri önemli ölçüde azaltabilir ve bunu yaparak, bugün Birleşik Krallık’taki işletmelerin karşı karşıya olduğu en çok istismar edilen saldırı vektörlerinden birini zayıflatabilir.
En iyi özel tarayıcıyı sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro