İnternet hayatımızın her anında, teknoloji hayatımızın her alanında yer alıyor. Atılan her yeni adımda sayısız faydasını gösteren ve bu adımlarla birçok yeniliğe öncü olan teknolojinin önemi, son yıllarda özellikle yaşadığımız pandemi sürecinde daha da arttı ve farkındalık kazanıldı. İşlerin sürdürülebilirliği, hayatın normal seyrinden olabildiğince az şekilde etkilenerek devamlılığı ve bunların da yer-zaman, kişi faktörlerinin en aza indirgenerek sağlanması teknoloji sayesinde gerçekleştirilebiliyor. Avantajlarının yanında kolay erişilebilirlik, son kullanıcı zafiyetlerinin kurumsal sistemler üzerindeki etkisi konusundaki riski artırdı. Gelişen güvenli iletişim protokollerine rağmen son kullanıcı etkisi bilişim sistemleri üzerinde öngörülemeyen riskler oluşturuyor.
Günümüzde yaygın olarak kullanılan ve bir kullanıcı kimliği, parola ile sağlanan oturum açma yönteminin en büyük eksikliklerinden birisi, parolanın ele geçirilme ihtimalidir. Bu durum, hem bireysel hem de kurumsal firmalar için büyük zararlar doğurabilecek tehlikenin sinyalini vermektedir.
Eset Threat Report 2021 araştırmasına göre parola tahmini ile ağ saldırıları %53 oranında olduğu açıklanmıştır. Bu tür durumları engellemek için hesabı kilitlemek bir çözüm gibi görünse de, bilgisayar korsanlarının sistem erişimi için başka yöntemleri de var. Nitekim kimlik avı dolandırıcılığının 43 milyar dolarlık kayba sebep olduğu geçtiğimiz sene gazete afişlerinde yer alıyordu.
2021 yılında kullanılan saldırı çeşitlerini ve CVE numaralarını aşağıda bulabilirsiniz.
- Password guessing
- MS Exchange CVE-2021-26855
- SMB.DoublePulsar scan
- Apache Struts2 CVE-2017-5638
- Apache Log4j CVE-2021-44228
- MS IIS CVE-2015-1635
- Pulse Secure CVE-2019-11510
- MS SMB1 EternalBlue
- MS Exchange CVE-2021-34473
- MS SMB3 CVE-2020-0796
- MS RDP CVE-2019-0708 BlueKeep
- Other web-based attacks and probes
Çok Faktörlü Kimlik Doğrulama Nedir ve Nasıl Çalışır?
Güvenliğimizi tehdit eden bu unsurlardan yola çıkarak geliştirilen çok faktörlü kimlik doğrulama kavramı, bir hesaba erişmek için iki veya daha fazla doğrulama faktörü sağlamasını gerektirir. Sistem, yetkisiz bir kişinin erişim için gerekli faktörleri sağlayamaması ihtimali üzerine kuruludur. Bir erişim girişiminde parçalardan en az birinin eksik olması ya da hatalı sağlanması durumunda, kullanıcının kimliği doğrulanamayacak ve erişimi istenen alan ve/veya veri ulaşılamaz durumda olacaktır.
Kimlik doğrulama faktörleri içindeki en yaygın doğrulama unsurları; bilgi faktörü, sahip olma faktörü ve kalıtım faktörleridir.
- Bilgi faktörü; bilgiye dayalı kimlik doğrulama, kullanıcının bildiği bir unsuru kullanarak erişim sağlamasını işaret etmektedir. Kişisel şifreler, nümerik parolalar(pin) bilgi faktörü yöntemlerine örnek olarak verilebilir.
- Sahip olma faktörü; kullanıcıların akıllı kart (smart card), fiziksel anahtar (hardware token), mobil cihaz (softotp, push notification) gibi erişim için belirli bir donanıma sahip olmasını gerektiğini işaret etmektedir.
- Kalıtım faktörü; kullanıcının erişim için herhangi bir biyolojik özelliğinin kullanılmasını gerektiğini işaret etmektedir. Kalıtım faktörü; retina iris taraması, parmak izi, sesli kimlik, yüz tanıma gibi biyometrik teknolojileri içerir.
Kullanıcı konumu ve zamana dayalı kimlik doğrulama da bu faktörler ile beraber değerlendirilebilecek metotlar arasında yer almaktadır. Küresel konumlandırma sistemi izleme özelliğine sahip mobil cihazlar, oturum açma konumunun güvenilir bir şekilde onaylanmasını sağlarken; zamana dayalı faktör ise günün belli bir saatinde (belli bir lokasyonda) varlığını tespit ederek kimlik kanıtlanması için kullanılır.
Çok faktörlü kimlik doğrulama metodlarından yaygın olarak iki faktörlü kimlik doğrulama (2FA) tercih edilir. İki faktörlü kimlik doğrulamada (2FA) amaç yüksek düzeyde güvenliği sağlarken son kullanıcı işlemlerini mümkün olduğunca basit tutmaktır.
Kullanıcı adı ve parola sonrasında SMS mesajı ile iletilen dinamik geçici şifre(OTP), kayıtlı cihaza özel üretilen zamana bağlı şifre(SoftOTP) ve mobil uygulamaya push bildirimleri , 2fa nın yaygın biçimleri olarak karşımıza çıkmaktadır. Dinamik olarak oluşturulan geçici parolaların kullanımı, kullanım kolaylığı, donanım, yazılım ve kişisel kimlik seviyelerinde güvenlik katmanları eklenebilmesi, maliyet uygunluğu gibi avantajlar çok faktörlü kimlik doğrulamayı güvenli erişim için cazip kılmaktadır.
SecTrail MFA çok faktörlü kimlik doğrulama ürünü olarak uzun yıllardır, telekomünikasyon, bankacılık, finans, sağlık gibi pek çok sektörde hizmet vermekte olan kararlı bir çözümdür. Yazılım ekibimiz tarafından bünyemizde geliştirilmekte olan ürün yerli yazılım statüsündedir. Geliştirilebilir, modüler yapısıyla değişik entegrasyon senaryolarına uyum sağlayabilmektedir. Detaylı bilgi için SecTrail ürün sayfamızı ziyaret edebilirsiniz.