TOA var mı? Hala Parola Güvenliğine İhtiyacınız Var

SSO harika bir üretkenlik ve güvenlik aracıdır, ancak parolayla ilgili güvenlik boşlukları bırakır.

Tek oturum açma (SSO) çözümlerinin popülaritesi, COVID-19 pandemisi buluta çılgınca bir hücum başlatmadan önce bile hızla artıyordu. Artık SSO, kuruluşlara aşağıdakiler dahil olmak üzere dağıtılmış iş gücü sağladığı kolaylık ve güvenlik avantajları nedeniyle her zamankinden daha popüler:

• Çalışanların hatırlaması için sadece bir şifre. "Parola yorgunluğunun" ortadan kaldırılması, SSO'nun benimsenmesinin en büyük itici güçlerinden biridir. Her uygulama ve hizmet için farklı bir parola yerine, çalışanların yalnızca tek oturum açma parolalarını ezberlemeleri gerekir.
• Günde bir kez girilecek yalnızca bir parola. Birden çok parolayı hatırlamak zorunda kalmamanın yanı sıra, çalışanların iş günü boyunca birden çok parola girmesine gerek yoktur. SSO şifrelerini iş günlerinin başında bir kez girerek iş günü boyunca şifreleri yazarak boşa zaman harcamalarını ortadan kaldırırlar.
• Yardım masası biletlerini yarıya indirin. Gartner Group, yardım masası biletlerinin %50'ye kadarını parola sıfırlamalarının oluşturduğunu tahmin ediyor. SSO, destek çalışanlarının daha karmaşık sorunları olan son kullanıcılara yardımcı olmak için daha fazla zaman harcamasını sağlayarak bu biletleri sanal olarak ortadan kaldırmayı vaat ediyor.
• Kimlik erişimi ve yönetiminin (IAM) daha kolay dağıtımı. SSO, kimlik doğrulama ve erişim kontrollerini yapılandırmanın karmaşıklığını azaltarak, IAM çözümlerinin daha hızlı ve daha basit bir şekilde dağıtılmasını ve ayrıca sıfır güven ortamına daha hızlı bir yol sağlar.
• Daha kolay uyumluluk raporlaması. Birçok yaygın uyumluluk çerçevesi, kullanıcı oturum açma verileri için kullanıcı denetim izleri gerektirir. SSO, bu verilerin uyumluluk raporlarına dahil edilmesini kolaylaştırır.

SSO'nun Eksikliği: Parolayla İlgili Güvenlik Açıkları

SSO'nun amacı, kaynaklara erişimi kolaylaştırmaktır. Bu üretkenlik için harika, ancak güvenlik açısından değil:

• Tek bir parola, tek bir hata noktasına eşittir. Bir çalışan, tek bir hesabın parolasını kaybeder veya unutursa, o hesaptan kilitlenir. SSO parolalarını unuturlarsa tüm hesapları kilitlenir. Daha da önemlisi, bir siber suçlu bir SSO parolasını ele geçirirse, çalışanın işle ilgili tüm hesaplarına girebilir. Verizon, başarılı veri ihlallerinin %80'inden fazlasının, büyük bir dezavantaj olan, güvenliği ihlal edilmiş parolalardan kaynaklandığını tahmin ediyor.
• Eski iş kolu (LOB) uygulamaları SSO'yu desteklemez. COVID-19 salgınının dijital dönüşüm çabalarını birkaç yıl hızlandırmış olmasına rağmen, çoğu kuruluş hala SSO'yu desteklemeyen en az birkaç eski LOB uygulaması kullanıyor. Çok eski oldukları için onları modernize etmek gerçekçi değil; çok uzmanlaşmış olduklarından, onları değiştirmek de mümkün değil.
• Tüm modern uygulamalar SSO'yu desteklemez. Eski uygulamalar tek sorun değil. Pek çok modern uygulama ve hizmet, özellikle masaüstü uygulamaları olmak üzere TOA'yı da desteklemez. Bir kuruluşun SSO dağıtımının, çalışanlarının kullandığı tüm uygulamaları, özellikle de kelimenin tam anlamıyla yüzlerce uygulamanın kullanımda olabileceği daha büyük kuruluşlarda kapsaması nadirdir.
• Farklı uygulamalar farklı SSO protokollerini kullanabilir. Çalışanlarınızın, kuruluşunuzun kimlik sağlayıcısının (IdP) kullandığından farklı bir protokol kullanan uygulamaları kullanması gerekebilir. Örneğin, IdP'niz SAML protokolünü kullanıyorsa, TOA çözümünüz OAuth kullanan uygulamaları desteklemeyecektir.
• Kullanıcı şifresi alışkanlıkları üzerinde kontrol yok. SSO dağıtımları, hatalı parola güvenlik uygulamalarına ilişkin herhangi bir görünürlük sağlamaz. Çalışanlar, TOA oturum açma işlemleri için zayıf veya önceden güvenliği ihlal edilmiş bir parola seçebilir veya birden fazla ek hesapta kullandıkları bir parolayı yeniden kullanabilirler. SSO dağıtımınızın desteklemediği tüm uygulamalar için aynı şeyi yapabilirler. Ayrıca şifrelerini yetkisiz kişilerle paylaşabilirler.
• Ayrıcalıklı kullanıcılar veya oturumlar için koruma yoktur. Tipik olarak, kullanıcıların özellikle hassas sistemlere ve verilere erişmek için ayrı kimlik bilgileri girmeleri gerekir, ancak SSO'nun amacı, kullanıcılara tek bir kimlik doğrulama ile tam erişim geçişi sağlamaktır.

SSO Tarafından Bırakılan Parolayla İlgili Güvenlik Açıklarını Kapatmanın 4 Yolu

Bu risklere rağmen, güvenlik odaklı kuruluşlar, SSO dağıtımlarını devre dışı bırakmamalıdır. Hiçbir güvenlik çözümü her derde deva değildir. Kuruluşlar, SSO çözümlerini tamamlayıcı teknolojilerle eşleştirerek, SSO kullanım avantajlarının üretkenliğini ve kolaylığını korurken parolayla ilgili güvenlik açıklarını destekleyebilir.

#1. Tüm kullanıcılar için en az ayrıcalıklı erişimle rol tabanlı erişim denetimi (RBAC) uygulayın

Kullanıcıların işlerini yapmak için yalnızca minimum düzeyde sistem ayrıcalıklarına erişmelerini ve daha fazlasını yapmamalarını gerektiren en az ayrıcalık ilkesi, bir kuruluşun potansiyel saldırı yüzeyini azaltmak için kritik öneme sahiptir. Erişim kontrol düzeylerinin atanmasını ve yönetimini basitleştiren RBAC'a girin.

RBAC rol atamalarını daha yönetilebilir hale getirmek için, kullanıcılara doğrudan rol atamaktan kaçının. Bunun yerine gruplar oluşturun, gruplara ayrıcalıklar atayın ve gruplara buna göre kullanıcılar ekleyin. Rol atamalarının sayısını en aza indirmenin yanı sıra bu uygulama, bir grup içindeki her kullanıcı için bir ayrıcalık değişikliği yapılması gerektiğinde zaman kazandırır. Gruplarınızın yeniden kullanılabilir olduğundan emin olun ve çok fazla özel rol oluşturmaktan kaçının.

#2. Ayrıcalıklı kullanıcılar için Privileged Session Management (PSM) ile Privileged Access Management (PAM) uygulayın

Erişimi olabildiğince kolaylaştırmaya odaklanan SSO'nun aksine PAM, bir şirketin en hassas sistemlerine ve verilerine erişimi kısıtlamaya odaklanır. Kuruluşlar, en kritik ve hassas sistemlerine erişimi kısıtlamak ve izlemek için PAM kullanır. Ayrıcalıklı kullanıcılar, genellikle BT ve güvenlik yöneticileri ve C düzeyindeki yöneticiler gibi üst düzey şirket içi kişilerdir, ancak güvenilir satıcılar ve ortaklar da bu kategoriye girebilir.

PAM ve PSM el ele gider. PAM, hassas kaynaklara kullanıcı erişimini kontrol ederken, PSM, ayrıcalıklı kullanıcı oturumlarını kontrol ederek, izleyerek ve kaydederek ayrıcalıklı kullanıcıların bu erişimi kötüye kullanmasını önler. Tipik PSM izleme ve kaydı çok ayrıntılıdır ve tuş vuruşlarını, fare hareketlerini ve ekran görüntülerini içerir. Güvenliği sağlamaya ek olarak, HIPAA, PCI DSS, FISMA ve SOX dahil olmak üzere çeşitli uyumluluk çerçeveleri tarafından PSM denetim izleri gereklidir.

#3. Çok faktörlü kimlik doğrulamayı, onu destekleyen tüm uygulamalarda ve hizmetlerde uygulayın

Çok faktörlü kimlik doğrulama (2FA), güvenliği ihlal edilmiş parolalara karşı en güçlü savunmalardan biridir. Bir siber suçlu bir parolayı ele geçirse bile, ikinci kimlik doğrulama faktörü olmadan parolayı kullanamaz. 2FA, tüm kullanıcıları, şirketin en ayrıcalıklı kullanıcılarına en az sistem erişimine sahip olanlardan korur. Kuruluşların kullanıcı kimliklerini doğrulamasına izin vererek sıfır güveni artırır.

Bazı kuruluşlar, çalışanları oturum açmak için ek adımlar atmaya zorlayarak üretkenliği engelleyeceği korkusuyla 2FA'yı uygulamakta tereddüt ediyor. Bu sorun, 2FA'yı kullanıcıların 2FA kimlik bilgilerini parolalarıyla birlikte saklamasına olanak tanıyan modern bir parola güvenlik çözümüyle eşleştirerek kolayca giderilebilir. .

#4. Şirket çapında bir kurumsal parola güvenliği ve şifreleme platformu dağıtın

Parola güvenliği ve şifreleme platformu, çalışanların tüm oturum açma kimlik bilgilerini tek bir merkezi, özel, şifreli havuzda güvenli bir şekilde saklamasını sağlar. SSO gibi, kullanıcılar da dijital havuzlarındaki tüm kimlik bilgilerine erişmek için kullanılan yalnızca bir "ana parolayı" ezberler.

SSO'dan farklı olarak, iyi bir kurumsal parola güvenliği ve şifreleme platformu, eski uygulamalar da dahil olmak üzere tüm hizmet ve uygulamalarla çalışacak şekilde tasarlanmıştır; otomatik güçlü parola oluşturucular ve otomatik doldurma araçları gibi ek özellikler içerirler. Ayrıca BT yöneticilerine kullanıcı parolası alışkanlıkları konusunda tam bir görünürlük sağlar ve parola güvenlik ilkelerini uygular. Mevcut SSO dağıtımınızla sorunsuz bir şekilde bütünleşen ve RBAC, 2FA, denetleme ve olay raporlama için destek sağlayan kurumsal düzeyde bir parola güvenliği ve şifreleme platformu dağıttığınızdan emin olun.

SSO, yalnızca kuruluşlar bunu bağımsız bir çözüm olarak görürse güvenlik riskleri oluşturur. SSO'da bulunan parolayla ilgili güvenlik açıklarını kabul ederek ve 2FA, RBAC, PAM/PSM ve parola güvenliği ve şifreleme platformu gibi tamamlayıcı teknolojileri uygulayarak bunları telafi ederek kuruluşlar verimliliği artırabilir, son kullanıcı deneyimini iyileştirebilir, ve parolayla ilgili siber saldırılara karşı kendilerini korurlar.

Teresa Rothaar tarafından yazıldı.