Banka hesaplarımıza erişmek, ulaşım sistemlerimizi hareketli tutmak, iş arkadaşlarımızla iletişim kurmak, müzik dinlemek, ticari açıdan hassas görevleri üstlenmek ve pizza sipariş etmek için internete bağlı cihazlar kullanıyoruz.
Dijital güvenlik, her gün hayatımızın ayrılmaz bir parçasıdır. BT sistemlerimiz daha karmaşık hale geldikçe, güvenlik açıkları potansiyeli de artıyor. Gittikçe daha fazla kuruluş ihlal edilmekte ve bu da finansal kayıplara, kesintiye uğramış tedarik zincirlerine ve kimlik sahtekarlığına yol açmaktadır.
Büyük işletmeler ve kuruluşlar tarafından kullanılan güvenli teknoloji mimarisindeki mevcut en iyi uygulama, “sıfır güven” yaklaşımıdır.
Başka bir deyişle, hiçbir kişiye veya sisteme güvenilmez ve her etkileşim merkezi bir varlık aracılığıyla doğrulanır.
Ne yazık ki, kullanılan doğrulama sistemine mutlak güven verilir. Yani bu sistemi ihlal etmek, bir saldırgana krallığın anahtarlarını verir. Bu sorunu ele almak için, “merkezi olmayanlaştırma”, tek bir güvenlik açığı noktasını ortadan kaldıran yeni bir paradigmadır.
Çalışmamız, etkili bir merkezi olmayan doğrulama sistemi kurmak için gereken algoritmaları araştırıyor ve geliştiriyor.
Çabalarımızın dijital kimliklerin korunmasına yardımcı olacağını ve çoğumuzun güvendiği doğrulama süreçlerinin güvenliğini artıracağını umuyoruz.
Asla güvenme, her zaman doğrula Sıfır güven sistemi, doğrulamayı mümkün olan her adımda uygular.
Uygulamadan önce her kullanıcı doğrulanır ve yaptıkları her işlem de doğrulanır.
Bu yaklaşıma doğru ilerlemek o kadar önemli görülüyor ki, ABD Başkanı Joe Biden geçen yıl tüm ABD federal hükümet kuruluşlarının sıfır güven mimarisini benimsemesini gerektiren bir yürütme emri çıkardı.
Birçok ticari kuruluş davayı takip ediyor.
Ancak, sıfır güven ortamında, mutlak inanç (sezgisel olarak karşıt olarak), çoğu durumda bir Kimlik ve Erişim Yönetimi (IAM) sistemi olan doğrulama ve doğrulama sistemine yerleştirilir.
Bu, ihlal edildiğinde tüm kuruluş sistemlerine engelsiz erişim sağlayan tek bir güvenilir varlık oluşturur.
Saldırgan, bir kullanıcının çalınan kimlik bilgilerini (kullanıcı adı ve parola gibi) o kullanıcının kimliğine bürünmek ve yetkilendirildiği her şeyi yapmak için kullanabilir – ister kapıları açmak, ister belirli ödemeleri yetkilendirmek veya hassas verileri kopyalamak olsun.
Ancak, bir saldırgan tüm IAM sistemine erişim kazanırsa, sistemin yapabileceği her şeyi yapabilir. Örneğin, tüm maaş bordrosu üzerinde kendilerine yetki verebilirler.
Ocak ayında kimlik yönetimi şirketi Okta saldırıya uğradı. Okta, bir şirket çalışanlarının tüm şirket sistemleri için tek bir parolaya sahip olmasına olanak tanıyan bir tek oturum açma hizmetidir (çünkü büyük şirketler, her biri farklı oturum açma kimlik bilgileri gerektiren birden çok sistem kullanır).
Okta’nın hack’ini takiben, hizmetlerini kullanan büyük şirketler hesaplarını ele geçirdi ve bilgisayar korsanlarına sistemleri üzerinde kontrol sağladı. IAM sistemleri, kuruluşlar üzerinde merkezi bir otorite noktası olduğu sürece, saldırganlar için çekici bir hedef olmaya devam edecekler.
Merkezi olmayan güven En son çalışmamızda, merkezi olmayan bir doğrulama sistemi oluşturmak için kullanılabilecek algoritmaları geliştirdik ve doğruladık, bu da bilgisayar korsanlığını çok daha zor hale getirecek.
Endüstri işbirlikçimiz TIDE, doğrulanmış algoritmaları kullanan bir prototip sistem geliştirdi.
Şu anda, bir kullanıcı bir IAM sisteminde bir hesap oluşturduğunda, sistemin daha sonra kullanmak üzere şifrelemesi ve saklaması gereken bir şifre seçer. Ancak şifrelenmiş bir biçimde bile saklanan parolalar çekici hedeflerdir.
Ve çok faktörlü kimlik doğrulama, bir kullanıcının kimliğini doğrulamak için faydalı olsa da, atlatılabilir.
Parolalar bu şekilde saklanmak zorunda kalmadan doğrulanabilseydi, saldırganların artık net bir hedefi olmazdı. İşte burada ademi merkeziyetçilik devreye giriyor. Ademi merkeziyetçilik, güveni tek bir merkezi varlığa yerleştirmek yerine, ağa bir bütün olarak yerleştirir ve bu ağ, onu kullanan IAM sisteminin dışında var olabilir.
Merkezi olmayan otoriteyi destekleyen algoritmaların matematiksel yapısı, tek başına hareket edebilecek hiçbir düğümün olmamasını sağlar.
Ayrıca, ağdaki her düğüm, bir banka, telekomünikasyon şirketi veya devlet daireleri gibi bağımsız çalışan bir kuruluş tarafından çalıştırılabilir.
Bu nedenle, tek bir sırrı çalmak, birkaç bağımsız düğümün hacklenmesini gerektirir. Bir IAM sistemi ihlali durumunda bile, saldırgan tüm sisteme değil, yalnızca bazı kullanıcı verilerine erişim elde eder.
Kendilerine tüm kuruluş üzerinde yetki vermek için, bağımsız olarak çalışan 14 düğümden oluşan bir kombinasyonu ihlal etmeleri gerekir. Bu imkansız değil, ama çok daha zor.
Ancak güzel matematik ve doğrulanmış algoritmalar hala kullanılabilir bir sistem oluşturmak için yeterli değil.
Merkezi olmayan otoriteyi bir kavramdan hesaplarımızı güvende tutacak işleyen bir ağa götürmeden önce yapılacak daha çok iş var.