İnsan olmayan çalışanlar neden işletmenizdeki güvenlik sorunlarını artırabilir?

Çoğu kuruluş, botlar, RPA'lar ve hizmet hesapları gibi insan olmayan çalışanlarına, insan işçiler ve kimlik yaşam döngülerini yaptıkları gibi aynı düşünceyi ve ilgiyi göstermez.

Resim: iStock / NanoStockk

İnsan olmayan işçi terimi birkaç imge çağrıştırıyor. Bu durumda, “cansız işçiler” den bahsediyoruz, bu nedenle herhangi bir hayvana kötü muamele etme konusunda endişelenmenize gerek yok. Bazı örnekler şunları içerir: sohbet robotları, robotik süreç otomasyonu, robotlar ve daha fazlası. Artık ofiste yanımızda çalışıyor olmaları muhtemeldir.

GÖRMEK: İşletmelerde robotik (ücretsiz PDF) (TechRepublic)

“İnsan olmayan çalışanların sayısı artıyor, özellikle de küresel kuruluşlar bulut bilişime daha fazla öncelik verirken, DevOps, Nesnelerin interneti cihazlar ve diğerleri dijital dönüşüm girişimler, “dedi SecZetta CEO'su David Pignolet bir e-posta röportajında.

Pignolet'in insan olmayan işçilerle bir sorunu yoktur; onun endişesi, eksikliği kimlik yönetimi insan olmayan çalışanlar ve insan olmayan çalışanlara verilen erişim ayrıcalıklarının yıkılmasının neden olduğu artan sayıdaki siber saldırı ve veri ihlalleri ile ilgili olarak.

Forrester Research makalesi İnsan Olmayan Kimlikler Nasıl Korunur ve Yönetilir sorarak başlar:

  • Ağınıza kaç yazılım botu, fiziksel robot veya IoT cihazının bağlandığını biliyor musunuz?
  • Bu cihazlardan kaç tanesi kritik verileri depoluyor veya bunlarla etkileşim kuruyor?

Makalede, “Bu tür insan olmayanlar üretkenliği artırır, ancak aynı zamanda keşif, yaşam döngüsü yönetimi ve uyumlulukla ilgili operasyonel zorlukları da artırır” dedi. “Ayrıca tehdit yüzeyinizi genişletebilir ve kötü niyetli kişilerin saldırıları gerçekleştirmek için kullanacağı yönetilmeyen zombi hesaplarına yol açabilir.”

İnsan olmayan işçiler kovulduğunda

Siber güvenlik departmanları kimlik yönetimi kontrol altındadır. Çalışanlara, istihdamın sona ermesi üzerine iptal edilen ayrıcalıklar ve erişim ile birlikte, belirli ayrıcalıklar ve erişim sağlanır. İnsan olmayan çalışanlar için bu her zaman doğru değildir.

Pignolet, “Hizmet hesapları, RPA'lar, IoT cihazları ve botlar dahil olmak üzere insan olmayan çalışanlar, erişim ayrıcalıklarına artık gerek duyulmadığında bile dokunulmadan kalıyor,” dedi. “Bu, siber suçluların öksüz hesaplara verilen yetkisiz erişim ayrıcalıklarını elde etmesini kolaylaştırarak organizasyonu potansiyel siber riske açar.”

GÖRMEK: Hayalet hesaplar, kuruluşunuzu fidye yazılımlarına karşı nasıl savunmasız bırakabilir? (TechRepublic)

Pignolet, insan olmayan çalışanların türlerini ve kimlik yönetimi ile ilgili ortaya çıkardıkları sorunları tartıştı:

Servis hesapları: Bunlar işletim sistemlerinde uygulamaları çalıştırmak veya programları çalıştırmak için kullanılır. İçinde çalıştıkları uygulamalara, veritabanlarına ve sunuculara ayrıcalıklı erişim gerektirirler, ancak bu hesaplar:

  • Asla süresi dolmayan (ve manuel olarak değiştirilmesi gereken) şifreler
  • Genellikle yapılandırma dosyalarına gömülü olan, bulunması kolay kimlik bilgileri

Pignolet, “Bu faktörler siber güvenlik için pek iyi bir işaret değil ve tehditleri birkaç cephede açığa çıkarıyor” dedi. “Bahsetmiyorum bile, hizmet hesapları kötü bir şekilde kötü yönetiliyor – küresel kuruluşların% 73'ü hizmet hesaplarını denetlemediğini, kaldırmadığını veya değiştirmediğini itiraf ediyor.”

Robotik Süreç Otomasyonu: Bu teknoloji, bilgisayar yazılımının, iş süreçlerini yürütmek için kullanılan dijital sistemlerle ilişkili insan eylemlerini taklit etmesini sağlar. Pignolet, “RPA'lar, belirli iş sistemlerinde oturum açmak ve görevleri gerçekleştirmek için ihtiyaç duydukları ayrıcalıklı erişim nedeniyle yanlışlıkla siber riskler oluşturur” dedi. “Ayrıcalıklı kimlik bilgileri genellikle bir komut dosyasına gömülür ve kimlik bilgileri uzun süre izlenmezse veya uygun şekilde güvence altına alınmazsa, siber suçlular onları çalmak için saldırılar başlatabilir.”

GÖRMEK: Robotik Süreç Otomasyonunun önümüzdeki dört yıl içinde çift haneli büyüyeceği tahmin ediliyor (TechRepublic)

IoT cihazları: Nesnelerin İnterneti cihazları, internet üzerinden diğer cihazlara ve sistemlere bağlanmak ve veri alışverişi yapmak için sensörler, yazılımlar ve diğer teknolojilerle gömülü fiziksel nesnelerdir. Pignolet, “IoT cihazları verileri depoladığından ve aynı zamanda hassas şirket ve kişisel verilere erişim sağladığından, verilerden ödün vermeye meyillidirler” dedi. “Cihazın kimlik bilgileri düzenli olarak güncellenmezse veya insan olmayan çalışana artık ihtiyaç duyulmadığında iptal edilmezse, onları siber saldırılara ve veri ihlallerine açık hale getirebilir.”

Botlar: Bot, bir kullanıcı veya başka bir program için aracı olarak veya insan faaliyetini simüle etmek için çalışan bir bilgisayar programıdır. Pignolet, “Siber suçlular bir chatbot'u 'kötü bir bot'a dönüştürebilir ve bir kuruluşun ağını güvenlik açıklarına karşı taramak için kullanabilir,” dedi. “Kötü robotlar ayrıca kendilerini yasal insan kullanıcılar olarak gizleyebilir ve diğer kullanıcıların verilerine erişim sağlayabilir.”

Çözüm nedir?

Pignolet, insan olmayan çalışanların kimliklerini etkili bir şekilde yönetmek ve kuruluşları oluşturdukları potansiyel risklere karşı korumak için, bir kuruluşun uçtan uca bir kimlik yönetimi yaklaşımı benimsemesi gerektiğini söyledi. “Bu, kuruluşun kendi dijital dönüşümbir yandan BT ortamını güvende tutarken. ”

GÖRMEK: IoT özellikle sağlık hizmetlerinde yararlıdır, ancak birlikte çalışabilirlik bir zorluk olmaya devam etmektedir (TechRepublic)

İlk adım, insan olmayan tüm çalışanları tespit etmektir. Bu, aşağıdaki gibi sorular sormayı gerektirir:

  • Hangi botlar kullanılıyor?
  • Hangi RPA teknolojisi kullanılıyor?
  • Hangi hizmet hesaplarının izlenmesi gerekiyor?
  • Hangi IoT cihazlarının yönetilmesi gerekiyor?

Daha sonra bir kuruluş, tüm insan olmayan çalışanların erişim ayrıcalıkları hakkında iyi bilgilendirilmiş kararlar vermek için kullanılabilecek bir kimliğe sahip olduğunu doğrulamak için süreçler, prosedürler ve sistemler oluşturmalıdır. Bu, kuruluşun şunları düşünmesini gerektirir:

  • İnsan olmayan çalışanlarının nasıl, ne zaman ve neden kullanıldığını anlamak için düzenli denetimler yapmak
  • İnsan dışı çalışanların temel hazırlığını kaldırma ve işten çıkarma süreçlerini geliştirme
  • İnsan kimliği yaşam döngülerini insan olmayan meslektaşlarıyla yönetme konusundaki titizliği çoğaltmak

Pignolet, “Bunu başarmak için kuruluşların, erişim düzeyinde değil, çalışan düzeyinde tüm insan olmayan çalışanlar için yetkili bir kayıt oluşturması ve sürdürmesi gerekir,” dedi. “Bu kayıt, insan olmayan çalışanların yaşam döngüsünü yönetmek ve izlemek için birleştirici bir kaynak haline geliyor ve insan hataları, güvenlik açıkları ve uyum sorunları riskini azaltıyor.”

Neden önemlidir?

Kuruluşlar, işletmelerinde hayati işlevleri yerine getirmek için insan olmayan çalışanlara giderek daha fazla güvenirken, insan olmayan çalışanların kimlik yaşam döngüsünü hesaba katmalı veya siber suçluların kendi yararlarına kullanacakları bir kapıyı açma riskini hesaba katmalıdır. Pignolet şu sonuca varmıştır: “İnsan olmayan işçilere insan meslektaşları gibi davranmak, güvenlik risklerini, uyum sorunlarını ve diğer operasyonel verimlilik sorunlarının bir kısmını ortadan kaldırır.”

Ayrıca bakın

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*