Geçmişte birçok kuruluş, güvenli sınırları dahilindeki kullanıcılara ve cihazlara güvenmeyi seçiyordu. Çalışanların coğrafi olarak dağılmış olması ve birden fazla konumdan ve cihazdan erişime ihtiyaç duyması nedeniyle bu artık mümkün değil. Son kullanıcılar, geleneksel iş sınırlarının ötesinde kurumsal sistemlere ve bulut uygulamalarına erişmeye ihtiyaç duyuyor ve sorunsuz, hızlı kimlik doğrulama bekliyorlar.
Bu baskılar, birçok kuruluşun, verilerine erişen kullanıcıları doğrulamak için sıfır güven modeline yönelmesi anlamına geldi. Ağ kimlik doğrulamasının omurgası olan Active Directory, herhangi bir erişim güvenliği stratejisinde önemli bir husustur.
İçinde saklanan kimlik bilgilerinin güvenli tutulması hayati öneme sahiptir; peki Active Directory’mizi güvende tutmak için sıfır güven ilkelerini nasıl uygulayabiliriz?
Sıfır güven modelini uygulama
Sıfır güven modelini hiç şüphesiz duymuşsunuzdur: Bu, konumu veya ağı ne olursa olsun, hiçbir kullanıcıya veya sisteme güvenmediğini varsayan bir siber güvenlik yaklaşımıdır. “Asla güvenme, her zaman doğrula” ilkesiyle çalışır.
Sıfır güven modelinde, her kullanıcı, cihaz ve ağ bileşeninin herhangi bir kaynağa veya veriye erişmeden önce kimlik doğrulaması ve yetkilendirilmesi gerekir.
Kulağa basit geliyor ancak sıfır güvene ulaşmak için kesin bir kontrol listesi yok. Herhangi bir güvenlik modelini uygulamak, birkaç en iyi uygulamayı benimsemenin veya tek bir yazılım çözümünü dağıtmanın ötesine geçer. Çeşitli teknolojileri, süreçleri ve politikaları kapsayan çok katmanlı bir güvenlik çerçevesinin oluşturulmasını içerir.
Başlamak için bazı fikirler önerdik ancak sıfır güven ilkelerini Active Directory güvenliğinize uygulamanın devam eden bir yolculuk olduğunu unutmayın.
En az ayrıcalık ilkesini uygulayın
Önemli ayrıcalıklara sahip hesaplara sahip olmak doğası gereği risk taşır. Yöneticilerin kazara veya kötü niyetli olarak haklarını normal bir son kullanıcının yapamayacağı şekilde kötüye kullanma riski vardır. Üstelik kötü niyetli bir aktör ayrıcalıklı bir hesabı başarıyla ele geçirirse ciddi zarar potansiyeli katlanarak artar.
Bu, en az ayrıcalık ilkesinin uygulanmasını Active Directory ortamlarının korunmasında önemli bir adım haline getirir.
En az ayrıcalık ilkesi, bireylerin veya kuruluşların yalnızca görevlerini veya işlevlerini yerine getirmek için gereken minimum erişim düzeyine sahip olması gerektiğini belirtir. Bu, ayrıcalıkları yalnızca gerekli olanlarla sınırlandırarak olası hasarı veya yetkisiz erişimi sınırlamayı amaçlamaktadır.
Kuruluşlar, en az ayrıcalık ilkesini uygulayarak, her kullanıcının veya sistem bileşeninin yalnızca gerekli izinlere sahip olmasını sağlayarak bir güvenlik ihlalinin veya içeriden gelen tehdidin potansiyel etkisini en aza indirir.
Sıfır güven modelinin uygulanması, yöneticilere bile yalnızca gerekli olduğunda ve sınırlı bir süre için yükseltilmiş ayrıcalıklar verilmesi anlamına gelecektir. Active Directory’de “tam zamanında” ayrıcalık yükseltme elde etmeye yönelik yöntemler arasında ESAE (Kızıl Orman) modeli, senkronize biletin süresinin dolduğu geçici grup üyeliği ve ihtiyaç duyulana kadar devre dışı bırakılmış durumdaki geçici yönetici hesapları yer alır.
Eski veya etkin olmayan yönetici hesaplarınızın olup olmadığını bilmek mi istiyorsunuz? Active Directory’nizin ücretsiz salt okunur taramasını çalıştırın.
Parola sıfırlamaları için MFA’yı kullanın
Parola sıfırlama işlemleri, özellikle kullanıcının e-postasına veya telefonuna bir sıfırlama bağlantısı veya kodu gönderilmesini içerdiğinde, genellikle bir kuruluşun Active Directory güvenliğindeki bir güvenlik açığı noktasıdır.
Ancak bir saldırgan kullanıcının e-posta hesabına yetkisiz erişim sağlarsa veya sıfırlama kodunu ele geçirirse yine de şifreyi sıfırlayabilir. Uygun kimlik doğrulama prosedürleri olmadan, yetkisiz kişiler bunları hassas veri ve sistemlere erişim sağlamak için kullanabilir.
Bilgisayar korsanları, şifre sıfırlama süreçlerinden yararlanmak için yardım masalarını sosyal mühendislikle hedef alıyor. Cihazlarını kaybetmiş gibi davranacaklar ve bunun yerine saldırganın kontrolündeki bir cihaza sıfırlama bağlantısı gönderilmesini sağlamaya çalışacaklar. Bir saldırgan artık meşru bir hesabı ele geçirip başka saldırılar başlatabileceğinden bu durum tehlikelidir.
Risk, bilgisayar korsanlarının hizmet masasını arayıp fidye yazılımını dağıtmadan önce oturum açma bilgilerini ele geçirmeyi başardıkları son MGM Resorts fidye yazılımı saldırısında açıkça vurgulandı.
MFA, parolanın ötesine ek kimlik doğrulama katmanları eklediğinden sıfır güven stratejisinin önemli bir parçasıdır. Specops uReset gibi çözümler, yalnızca kimliği doğrulanmış son kullanıcıların parolalarını sıfırlayabilmesini sağlamak için self servis parola sıfırlama sürecine MFA ekler.
Bu, kuruluşların biyometrik doğrulama, SMS kimlik doğrulaması, e-posta doğrulaması ve Google Authenticator gibi üçüncü taraf kimlik doğrulayıcıları gibi çeşitli kimlik doğrulama yöntemleri arasından seçim yapmasına olanak tanır.
Güvenliği ihlal edilmiş şifreler taranıyor
Neden şifrelerden tamamen uzaklaşmıyorsunuz? Çoğu kuruluş için bu kesinlikle mümkün değildir. Sayıları azaltılsa bile şifreler çoğu siber güvenlik stratejisinin bir unsuru olacaktır, bu nedenle onları mümkün olduğunca güvenli hale getirmemiz gerekiyor.
Sıfır güven ilkelerinin uygulamaya konması kesinlikle yardımcı olur, ancak bu, şifre güvenliği için sihirli bir değnek değildir.
Kimlik avı saldırıları, veri ihlalleri ve parolaların yeniden kullanımı yoluyla güçlü parolaların bile ele geçirilmesi yaygın bir durumdur. Ve ne yazık ki bilgisayar korsanlarının MFA’yı atlatmak için birden fazla yöntemi var.
Bu nedenle kuruluşların ele geçirilen şifreleri kontrol edecek bir yola sahip olması çok önemlidir; aksi takdirde bir bilgisayar korsanı, uyguladığınız sıfır güven süreçlerini nispeten basit bir şekilde atlayabilir.
Specops Parola Politikası, ele geçirilen parolaları sürekli olarak taramanıza olanak tanır. Araştırma ekibimizin saldırı izleme veri toplama sistemleri, hizmeti günlük olarak günceller ve ağların şu anda gerçekleşen gerçek dünya şifre saldırılarına karşı korunmasını sağlar.
İhlal Edilen Parola Koruması hizmeti, ihlal edilen bu parolaları Active Directory’de engeller ve son kullanıcılara derhal yeni ve güvenli bir parola değiştirmeleri konusunda bildirimde bulunur.
Specops Şifre Politikasını ihtiyaçlarınıza göre nasıl uyarlayabileceğiniz konusunda sorularınız mı var? Demo veya ücretsiz deneme sürümüyle nasıl çalıştığını görmek için Specops Software ile iletişime geçin.
Specops Software tarafından desteklenmiş ve yazılmıştır.