Ayrıcalıklı Hesap Yönetimi Önemsenmiyor
Privileged Access Management (PAM) ve Kimlik Güvenliği
Ayrıcalıklı kimlik yönetimi (PAM) hizmeti sunan Delinea tarafından sektörde öncü 2100 şirket üzerinde yapılan araştırmaya göre kuruluşların %84 ü son 18 ayda kimlikle ilgili güvenlik ihlali yaşadı.
Araştırmaya katılan kuruluşların %40’ı kimlik güvenliği konusunda doğru stratejileri uyguladığına inanıyor. Buna rağmen araştırmadan üç çarpıcı sonuç çıkmış durumda.
- BT güvenliği konusunda sorumlu yöneticilerin %60’ı farklı endişeler sebebiyle BT Güvenlik Stratejilerini hayata geçiremiyor
- Yöneticilerin %63’ü kimlik güvenliğini tam olarak anlamış durumda değil
- Kuruluşların %75’i ihtiyaç duydukları hizmeti, doğru stratejileri uyguladıklarını düşünerek reddettikleri için kimlik güvenliği ihlalleri ile karşı karşıya kalmaya devam edecek.
Araştırmaya göre bir çok kuruluş ayrıcalıklı kimlik güvenliği konusunda geliştirmeler yapmak için hevesli fakat %75’i bu konuda gerekli kurumsal desteği alamıyor.
Rapora göre kuruluşların %90’ı kimlik güvenliğinin iş hedeflerine ulaşmada en önemli faktör olduğunu kabul ediyor. Ayrıca %87’si kimlik güvenliğini önümüzdeki 12 ay içinde en önemli güvenlik önceliklerinden biri olarak görüyor.
Raporda yer alan diğer bilgiye göre kuruluşların %44’ünden daha azı devam eden kimlik güvenliği stratejileri uyguluyor. Buna rağmen kuruluşların %52’sinden daha fazlası ayrıcalıklı kimliklerde çok faktörlü kimlik doğrulama (MFA) kullanmıyor.
Ayrıcalıklı kimlikler, otomasyon, entegrasyon, yerel yöneticiler, hizmet hesapları, uygulama hesapları, kod ve diğer makine etkileşimine ait kullanıcıları içermektedir. Araştırmaya göre şirketlerin sadece %44’ü makine hesaplarında kimlik güvenliği yöntemlerini uyguluyor.
BT Güvenlik uzmanlarına göre kişilere ait hesaplarda uygulanan kimlik güvenliği yöntemleri örgüt içi bilgilendirme ve kültür kazanımı ile beklenen düzeye gelmiş durumda fakat ayrıcalıklı hesaplar için aynı durum geçerli değil. Makine ve otomasyonlar başta olmak üzere ayrıcalıklı yerel yöneticilere tahsis edilen hesaplarda güvenlik stratejileri göz ardı edilebiliyor.
BT güvenlik araştırmacılarının gelecekte daha da artmasını öngördüğü diğer tehtid mobilite ve bulut ortamı kimliklerinin artmasına paralel olarak saldırı ve ihlallerin artması. Bir çok şirket iş süreçlerini bulut teknolojilere transfer etmekte, bu işlem yapılırken daha önce gerek duyulmadığı kadar fazla ayrıcalıklı kimlik kullanılıyor. Bu hesaplarda gerekli tedbirler alınmazsa önceki dönemlerde yaşanan ve küçük bir kitleyi etkisi altına alan saldırılardan farklı olarak, sistem ve departmanları uzun vadede etkisi altına alabilecek saldırıların yaşanması muhtemel.