Günlük ve haftalık bültenlerimize katılarak sektör lideri yapay zeka haberleri hakkında en son güncellemeler ve özel içerikler alın. Daha fazla bilgi
2025 yılı, kimlik sağlayıcılarının yazılım kalitesi ve güvenliğini iyileştirmek için her alanda çaba göstermesi gereken bir dönem olmalı. Bu, kırmızı takım (red teaming) uygulamalarını güçlendirmeyi ve uygulamalarını daha şeffaf hale getirerek standartların ötesinde nesnel sonuçlar elde etmeyi içeriyor.
Anthropic, OpenAI ve diğer öncü yapay zeka şirketleri, kırmızı takım uygulamalarını yeni bir seviyeye taşımış durumda. Kimlik sağlayıcıları, Okta gibi, bu yenilikçi süreçleri takip etmelidir.
Okta’nın Güvenlik Zayıflıkları ve CISA’nın Güvenli Tasarım İnisiyatifi
Okta, CISA’nın Güvenli Tasarım taahhüdüne imza atan ilk kimlik yönetimi şirketlerinden biridir. Ancak, hâlâ kimlik doğrulama alanında sorunlar yaşamaktadırlar. Okta’nın son uyarısı, 52 karakterden uzun kullanıcı adlarının depolanan önbellek anahtarları ile birleştirilerek, şifre girmeden giriş yapılmasına imkân tanıdığını bildirdi. Okta, kullanıcıları 23 Temmuz 2024 ile 30 Ekim 2024 tarihleri arasında sistem kayıtlarında beklenmedik kimlik doğrulama olaylarını araştırmaları için uyardı.
Güvenlik Yönetiminde İyileştirmeler Gerekiyor
Okta, kullanıcılar ve yöneticiler için çok faktörlü kimlik doğrulamanın (MFA) benimsenmesinde kendi en iyi uygulamalarını ortaya koydu. Ancak, bu artık günümüzde müşterileri korumak için yeterli değil. Google Cloud ve Microsoft, 2025 yılı itibarıyla kullanıcılar için zorunlu MFA uygulayacaklarını duyurdu. Microsoft’un açıklamasına göre, Azure CLI, Azure PowerShell, mobil uygulama ve Altyapı Kodları (IaC) araçlarında MFA’nın zorunlu hale getirilmesine yönelik adımlar atılacaktır.
Okta’nın Güvenlik Açıkları ve Direk Önlemler
Her ne kadar birçok kimlik yönetimi sağlayıcısı saldırılarla başa çıkmakta zorlanıyorsa da, Okta, kendi güvenlik açıklarını kapatmak için CISA’nın Güvenli Tasarım çerçevesini kullanarak yeniden şekilleniyor. Ancak bu süreçte bazı önemli sorunlar da yaşanmaktadır. Okta’nın geçmişinde yaşanan güvenlik ihlalleri şu şekilde özetlenebilir:
- Mart 2021 – Verkada Kamera İhlali: Saldırganlar, 150,000’den fazla güvenlik kamerasına erişim sağlayarak önemli ağ güvenlik zafiyetlerini ortaya çıkardı.
- Ocak 2022 – LAPSUS$ Grubu Kompromosu: LAPSUS$ siber suç grubunun üçüncü parti erişimlerini kullanarak Okta’nın ortamına sızdığı bildirildi.
- Aralık 2022 – Kaynak Kod Çalınması: Saldırganlar, Okta’nın kaynak kodunu çalarak iç erişim kontrollerindeki eksiklikleri ortaya koydu.
- Ekim 2023 – Müşteri Destek İhlali: Bir güvenlik ihlali sonucu 134 müşterinin destek kanallarına izinsiz erişim sağlandı.
- Ekim 2024 – Kullanıcı Adı Doğrulama Bypass’ı: İçerideki bir güvenlik açığı sebebiyle kötü niyetli kişiler, kullanıcı adı doğrulamasını atlayarak izinsiz erişim sağladı.
Gelecek için Kırmızı Takımlama Stratejileri
Okta ve diğer kimlik yönetimi sağlayıcıları, kırmızı takım uygulamalarının standartlara bağımlı kalmadan nasıl geliştirileceğini düşünmelidir. DevOps ekiplerinin güvenlik konusunda bilinçlenmesi ve güvenliği geliştirme döngülerine entegre etmeleri için daha fazlasını yapmaları gerekmektedir. Okta’nın kırmızı takımlama uygulamalarında, Anthropic ve OpenAI’den öğrenebileceği önemli stratejiler şunlardır:
- Sürekli insan-makine işbirliği: Okta, varyasyonlar simüle ederek daha sağlam savunmalar oluşturabilir.
- Uyarlanabilir kimlik testine yatırım yapmak: Adverserlerin daha sofistike kimlik sahtekarlığı yöntemlerine karşı güçlü bir savunma mekanizması oluşturabilir.
- Odaklanmış alanlarda kırmızı takım uygulamalarını sürdürmek: Yüksek riskli alanlara ayrılmış ekiplerle test süreçlerini yoğunlaştırabilir.
Adverserler, yeni otomatik silahlar ekleyerek saldırılarına hız katmaya devam ediyor. Kimlik yönetimi sağlayıcıları, ürünlerinin her yönünde güvenliklerini artırmak için bu zorluklarla cesurca yüzleşmelidir. CISA’nın Güvenli Tasarım girişimi, kimlik yönetimi sağlayıcıları için paha biçilmezdir ve Okta, bu deneyimlerle güvenlik açıklarını kapatma yolunda önemli adımlar atmıştır. Ancak, sadece başlangıç noktası olarak görmekte fayda var; red teaming uygulamalarının yoğunlaştırılması, kimlik yöneticisi olarak varlıklarını sürdürebilmeleri için hayati derecede önemlidir.