Şu anda bir yerlerde, bir CISO, saldırı riskini azaltmak için daha güçlü kimlik tehdidi tespiti ve yanıt (ITDR) girişimleri için elinden geleni yapıyor.
Bunun da iyi bir nedeni var: BlackCat çetesinin şirket sistemlerine erişmek ve fidye yazılımı dağıtmak için çalınan kimlik bilgilerini kullandığı iddia edilen Change Healthcare ihlalinden daha uzağa bakmayın. Ve Change Healthcare izole bir olay değil; büyüyen bir eğilimin parçası. 2024 Verizon Veri İhlali Araştırmaları Raporu, web uygulaması saldırılarının %77’sinin çalınan kimlik bilgilerinden kaynaklandığını belirtti.
Kimlik güvenliği, her dikeydeki CISO’lar için en önemli önceliktir. Bu zorluğun üstesinden gelmek için güvenlik liderleri, ITDR stratejilerini güçlendirmek için zaman ve kaynak yatırımı yapmaktadır.
Etkili IDTR’nin özünde, sistemlere ve varlıklara kimin ve ne kadar süreyle erişebileceğini inceleyen en az ayrıcalık ilkesi yer alır. Bir ITDR yaklaşımının neleri içerdiğine ve en az ayrıcalığın temellerine daha yakından bakalım, ardından en az ayrıcalığın CISO’ların başarılı ITDR stratejilerini nasıl uygulayıp yönetebildiğini inceleyelim.
ITDR ile en az ayrıcalık arasındaki ilişki
ITDR yaklaşımı doğası gereği bütüncüldür ve saldırganların hesapları ve kimlikleri nasıl tehlikeye attığına dair eksiksiz bir bakış açısına sahiptir. ITDR, kimlik ve erişim yönetimi (IAM) sistemleri, güvenlik bilgisi ve olay yönetimi (SIEM) sistemleri ve kullanıcı erişim yönetimi (UAM) araçları gibi kaynaklardan veri toplayarak kimlik etkinliği için bir temel belirlemekle başlar.
ITDR ayrıca anormallik tespiti, risk puanlaması ve tehdit istihbaratı akışlarının izlenmesi gibi şüpheli faaliyetleri tespit etmek için çeşitli teknikleri de içerir. Bir tehdit tespit edilirse, meşruiyetini veya ciddiyetini belirlemek için daha derin bir analiz yürütülür.
Etkili bir BTDR yaklaşımı, tehdide mümkün olan en kısa sürede uygun otomatik veya manuel müdahaleyi belirler.
En az ayrıcalık ilkesi, saldırı yüzeyini önemli ölçüde daraltarak tehdit yanıtını güvenlik ekipleri için çok daha kolay bir teklif haline getirir. Bunun nedeni, en az ayrıcalığın tüm gereksiz kullanıcı erişimlerinin kaldırılmasını gerektirmesidir: Erişim yalnızca bir çalışanın işini yapması için ihtiyaç duyduğu şeyle sınırlıdır ve yalnızca ihtiyaç duyduğu kadar sürer.
Mevcut hesaplar için büyük ölçüde azaltılmış saldırı yüzeyi ve daha sınırlı ayrıcalıklar, güvenlik ekiplerinin tehditleri oluştukları anda daha hızlı ve doğru bir şekilde değerlendirmelerine ve yanıtlamalarına olanak tanır. Kısacası, en az ayrıcalık başarılı ITDR’yi mümkün kılar.
En az ayrıcalığın temelleri
Kuruluşlar geleneksel olarak kullanıcılara aşırı izin vermiş ve onlara normalde ihtiyaç duyduklarından çok daha fazla varlığa ve sisteme erişim sağlamıştır. Bunun ardındaki mantık nedir? Çalışanların üretken olmalarını ve ihtiyaç duyabilecekleri her şeye her an erişebilmelerini sağlama (makul) arzusu.
Ancak kalenin tüm anahtarlarını teslim etmek kolay görünse de, saldırganların kimlik açıklarını acımasızca aradığı bir ortamda, bir CISO’nun en büyük kabusu olabilir.
En az ayrıcalık, eski çalışan veya yüklenici hesapları, terk edilmiş hizmet hesapları, mevsimsel veya projeye özgü hesaplar ve etkin olmayan ayrıcalıklı hesaplar dahil olmak üzere hareketsiz kullanıcıları ele alarak başlamalıdır.
Hesap sayısını en aza indirdikten sonra, ayrıntılı bilgi edinebilir ve kalan hesapların erişim ayrıcalıklarını inceleyebilirsiniz. Kimin neye erişebileceğini belirlemek, çeşitli erişim kontrollerini belirlemekle başlar:
- Bağlam tabanlı erişim denetimi (CBAC): Bir kaynağa erişim izni verilip verilmeyeceğine karar vermek için konum, zaman, cihaz türü ve kullanıcı davranışını dikkate alır.
- Öznitelik tabanlı erişim denetimi (ABAC): Departman veya konum gibi kullanıcı özelliklerine göre erişim sağlar ve roller ve gruplar arasında ilişkiler oluşturur.
- Rol tabanlı erişim denetimi (RBAC): Kaynak erişimini belirlemede kullanıcının rolünü dikkate alır.
Bu denetimlerin her birinin sağlanan erişim miktarında değişiklik gösterdiğini belirtmek önemlidir. Bu nedenle, ABAC ve RBAC sınırlandırılmalıdır, ancak gerektiğinde bu denetimleri zamana bağlı olarak sağlamak için sistemler yerinde olmalıdır. Ayrıca, yükseltilmiş erişime sahip ayrıcalıklı kullanıcılar, kimlik bilgilerinin kötüye kullanılmadığından emin olmak için yakından izlenmelidir.
En az ayrıcalığın bir diğer kritik yönü, kullanıcılara ne kadar süreyle erişim verildiğidir. Tam zamanında (JIT) erişim, kullanıcıların yalnızca ihtiyaç duyduklarında ve gereken en kısa süre boyunca erişim almasını sağlar. Oturum yönetimi, JIT erişimini uygulamak için önemlidir, çünkü boşta olan kullanıcılar için oturum zaman aşımı ve otomatik oturum kapatma gerektirir. Bu, bir saldırganın etkin bir oturuma erişim elde etmesi durumunda olası hasarı en aza indirir.
En az ayrıcalığın ITDR için neden önemli olduğu
Hesapları ve erişimi basitleştirmek, başarılı bir ITDR uygulamasının temelini oluşturur. Sonuç olarak, bir şirketin kimliği ve erişim güvenliği duruşu çeşitli şekillerde güçlendirilir:
- Azaltılmış saldırı yüzeyi ve patlama yarıçapı: Daha az erişim noktası ve sınırlı izinlerle şirketler hem kasıtlı hem de kazara ihlal riskini azaltır. Saldırganların bir ağ içindeki güvenlik açıklarını istismar etme fırsatları daha azdır ve çalışanların erişilen verileri yanlışlıkla ifşa etme riski düşer.
- Gelişmiş algılama: En az ayrıcalık, ITDR’nin önemli bir unsuru olan kullanıcı etkinliği izlemeyi basitleştirir. Kullanıcı erişiminin etrafındaki net sınırlarla, anormal davranışların belirlenmesi daha kolay hale gelir. Güvenli bir binada daha az kapı olduğunu hayal edin. Yetkisiz herhangi bir giriş anında belirgin hale gelir.
- Azaltılmış ayrıcalık artışı: En yaygın saldırılardan biri, düşük seviyeli bir hesabı istismar edip daha hassas verilere erişmek için ağ içinde hareket etmeyi içerir. En az ayrıcalık, bu tür saldırılardan kaynaklanan olası hasarı önemli ölçüde azaltır. Bir saldırgan düşük seviyeli bir hesabı ele geçirse bile, yanlara doğru hareket etme ve kritik sistemlere erişme yeteneği kısıtlanır.
- İyileştirilmiş uyumluluk: Birçok düzenleme katı erişim kontrolleri emreder. En az ayrıcalık, veri gizliliği ve güvenliği için uyumluluk gereklilikleriyle mükemmel bir şekilde uyumludur. En az ayrıcalık yaklaşımını uygulamak, veri korumasına yönelik proaktif bir duruş gösterebilir.
CISO’lar tüm veri ihlallerine son veremezler, ancak en az ayrıcalık yaklaşımını uygulayanlar saldırıları çok daha zor hale getirirler. Erişimi en yönetilebilir seviyeye indirerek, ITDR stratejileri kullanan CISO’lar ekiplerinin ihlal riskini azaltmak için iyi konumlandırılmasını sağlayacaktır.