Bulut tabanlı bir kimlik sağlayıcı (IdP) kullanmanın saldırı yüzeyinizi genişlettiğini hepimiz biliyoruz, ancak yalnızca ne kadar büyük bu saldırı yüzeyi elde ediliyor mu? Ve bundan emin olabilir miyiz?
Michael Jordan'ın bir keresinde söylediği gibi, “Temelleri öğrenin, yaptığınız her şeyin seviyesi yükselecektir.” İleriye yönelik güvenli bir yol tanımlamadan önce temel bilgilere dönmenin ve bulut tabanlı kimlik yönetiminin risklerini kabul etmenin zamanı geldi.
Bulut tabanlı IdP'ler ve saldırı yüzeyiniz
IdP'ler kullanıcılarınızın ağ erişim kimlik bilgilerini bulut sunucularında saklar. Bulut tabanlı kimlik yönetimine geçiş, tehdit aktörlerinin sisteminizin “anahtarlarını” alması için daha fazla yol olduğu anlamına gelir.
Birincisi, kimlik bilgileriniz artık tamamen sizin kontrolünüzde değil.
Ayrıca ağınız fidye yazılımı gibi farklı saldırı türlerine karşı daha savunmasızdır. Yalnızca kullanıcılarınızın değil, platformdaki on binlerce kullanıcının bir kimlik avı bağlantısını tıklaması konusunda da endişelenmeniz gerekir.
Saldırı yüzeyi ne kadar büyüyebilir?
Ekim 2023'te Okta Security, şirketin destek vaka yönetimi sistemine erişmek için çalıntı kimlik bilgilerini kullanan düşmanca faaliyetler tespit etti. Bilgisayar korsanı, sisteme girdikten sonra Okta müşterileri tarafından son destek vakalarından geçerli oturum belirteçleri kullanılarak yüklenen dosyalara erişti.
Oturum belirteçleri devreye girdikçe güvenlik açıkları artar çünkü bu dağıtılmış erişim noktası, yetkisiz bir kullanıcı tarafından kullanıldığında büyük miktarlarda erişim sağlayabilir.
Buradakiler sadece birkaç örnek:
- Oturum belirtecinin kendisi: Saldırganlar bu ihlalde bir yöneticinin oturum belirtecinin güvenliğini ihlal etti. Böylece saldırganlar yalnızca ağ hesabı erişimini kolayca ele geçirmekle kalmıyor, aynı zamanda SAML SSO aracılığıyla entegre edilen daha geniş iş uygulamalarına da erişebiliyor.
- Genişletilmiş erişim: Saldırganlar, bir istemciden çalınan oturum jetonunu kullanarak çok sayıda IdP istemcisinin ağına ve verilerine erişti.
- Yanal hareket: Tek bir jeton, saldırganların platformlar içinde uygulamadan uygulamaya geçmesine ve saldırılarını kolayca bulutun diğer alanlarına genişletmesine olanak tanıdı.
Oturum belirteçlerinin güvenliği ve yönetici oturumu bağlaması gibi güvenliği ihlal edilmiş çeşitli mekanizmalara sahip, güvenliği ihlal edilmiş tek bir kullanıcı hesabı, pandora'nın ağ sızma olasılıkları kutusunu açabilir.
Çözüm nedir?
Buluttaki genişletilmiş saldırı yüzeyini hafifletmeye yönelik ilk adım, bulut kimlik sağlayıcılarının risklerini ve potansiyel güvenlik açıklarını tanımaktır.
Bulut tabanlı bir IdP kullanıyorsanız, yönetici oturumu bağlama şeffaflığıyla çok faktörlü kimlik doğrulama (MFA) uygulayarak oturum belirteçlerinin güvenliğini artırın.
Güçlü, rol tabanlı erişim yönetimi kontrolleri, saldırganın geçerli kimlik bilgilerine sahip olsa bile yetkisiz erişimi engellemenize de yardımcı olabilir.
Halihazırda bir IdP kullanmıyorsanız ancak kuruluşunuz bu yönde ilerliyorsa, geçiş yapmadan önce riskleri azaltmayı planlayın. Örneğin, kullanıcılarınızın ağ erişim kimlik bilgilerini bulutta saklamayan bir kimlik sağlayıcı seçebilirsiniz.
Bazı kuruluşlar için doğru yanıt, kimlik yönetimini şirket içinde tutarken kullanıcılara güvenli bulut erişimi sunmak olabilir.
Bulut tabanlı kimliğin risklerini nasıl yönettiğimizi yeniden düşünmenin zamanı geldi mi?
BT liderleri, bulut tabanlı kimlikle saldırı yüzeyinizin ne kadar büyüdüğünü muhtemelen değerlendirmeyeceğimiz ve edemeyeceğimiz gerçeğine hazırlanmalıdır. Ve bu çok büyük bir nedenden dolayı önemlidir: risk yönetimi. Eğer orada olduğunu bilmiyorsanız bir riski yönetmek zordur.
CISO'lar tüm erişim noktalarında güvenliği gösterme konusunda her zamankinden daha fazla baskı altındayken, kuruluşunuzun ne kadar riski tolere edebileceğini yeniden değerlendirmenin zamanı gelebilir. Cloud IdP'ler ölçeklenebilir erişim yönetimi sunarken, özellikle oturum belirteçleri gibi dağıtılmış erişim noktalarıyla kurumsal saldırı yüzeylerini katlanarak genişletebilir.
Bu ihlaller, riskleri tam olarak anlamadan bulut kimliğini benimsemeye çok aceleyle sıçradığımızın sinyalini veren bir uyandırma çağrısı olabilir mi?