Yetki sürünmesi nasıl oluşur
Yetki sürünmesi nadiren tek bir kötü karardan kaynaklanır. Sıradan olaylarla birikir: Bir çalışan yeni bir ekibe geçer ancak kimse eski grup üyeliklerini kaldırmaz, geçici bir proje izni hiçbir zaman geri alınmaz ya da bir yönetici yeni işe alınan kişiye mevcut bir çalışanın izinlerini kopyalar. Her adım tek başına zararsız görünür.
Yıllar içinde ortaya çıkan sonuç, artık kullanmadığı sistemlerde yetkilere sahip bir kimliktir. Bu örüntü en çok uzun süredir çalışan ve birçok departman değiştiren kişilerde görülür; denetçilerin erişim örneklemesine genellikle bu kişilerden başlamasının nedeni de budur.
Temel neden asimetridir: Erişim vermek acil ve görünürdür, kaldırmak ise ikisi de değildir. Kaldırma tarafını zorlayan bir süreç olmadan erişim yalnızca büyür.
Yetki sürünmesi neden tehlikelidir
Gereksiz her yetkilendirme, ele geçirilen bir hesabın etki alanını genişletir. On yıllık birikmiş erişime sahip bir kullanıcıyı oltalayan saldırgan, bu erişimin tamamını anında devralır. Fazla izinler ayrıca iç tehdit riskini artırır ve kimin gerçekte ne yapabildiğini anlamayı zorlaştırır.
Yetki sürünmesi aynı zamanda bir uyumluluk sorunudur. SOC 2, ISO 27001 ve KVKK gibi çerçeveler, erişimin en az ayrıcalık ilkesine uymasını ve düzenli olarak gözden geçirilmesini bekler. Birikmiş ve kullanılmayan yetkilendirmeler, erişim denetimlerinin ortaya çıkardığı bulguların ta kendisidir.
Yetki sürünmesi nasıl önlenir ve geri alınır
Yapısal çözüm, işleyen bir işe giriş, görev değişikliği ve işten ayrılış sürecidir: Biri rol değiştirdiğinde erişimi eskinin üzerine eklenmek yerine yeni role göre yeniden kurulur. Net tanımlanmış yetkilendirmelere sahip rol tabanlı erişim, bu yeniden kurulumu uygulanabilir kılar.
Periyodik erişim gözden geçirmeleri, otomasyonun kaçırdıklarını yakalar. Gözden geçirenler her kullanıcının mevcut yetkilendirmelerini görür, hâlâ gerekli olanları onaylar ve gerisini kaldırır; kullanım verisiyle atıl izinleri tespit etmek kolaylaşır. Monosync gibi platformlar; kimlikleri sistemler arasında ilişkilendirerek, yetkilendirmeleri eşleyerek ve birikmiş erişimi denetim iziyle kaldıran erişim gözden geçirme kampanyaları yürüterek bu süreci destekler.