Active Directory (AD), üretim ortamında halen kullanılan en eski yazılım parçalarından biridir ve günümüzde çoğu kuruluşta bulunabilir. Bu, tarihsel güvenlik açıklarının hiçbir zaman değiştirilmemiş olmasına rağmen. Örneğin, bir parola ve kullanıcı adı eşleşmesini denetlemenin ötesinde herhangi bir güvenlik önlemi uygulayamaması nedeniyle, AD (ve yönettiği kaynaklar), güvenliği ihlal edilmiş kimlik bilgilerinin kullanımına tehlikeli bir şekilde maruz kalır. Ayrıca, bu maruz kalma şirket içi ortamla sınırlı değildir. AD ile bulut kimlik sağlayıcısı arasında parolaları senkronize etmeye yönelik yaygın uygulama, herhangi bir AD ihlalinin SaaS ortamı için de potansiyel bir risk olduğu anlamına gelir.
Bu makalede, AD’nin doğasında bulunan güvenlik zayıflıklarını inceleyeceğiz ve bunların kapsamlarını ve potansiyel etkilerini inceleyeceğiz. Ardından, Silverfort’un Birleşik Kimlik Koruması platformunun bu zayıflıkları kökünden nasıl giderebileceğini ve AD kullanan kuruluşlara kimlik tehditlerini engellemek ve güvenliği ihlal edilmiş kullanıcı hesaplarının risklerini azaltmak için ihtiyaç duydukları dayanıklılığı nasıl sağlayabileceğini öğreneceğiz.
Ne Bulutu? AD Neden Hibrit Ortamın Bir Parçası Olmaya Devam Edecek?
Bulut bilgi işlem, BT’de tektonik bir değişimi tetiklese de şirket içi ortamı tamamen değiştirmedi, bunun yerine onunla yan yana yaşıyor. Çoğu kuruluşun seçtiği pragmatik yol, SaaS ve web kaynaklarına kullanıcı erişiminin özel bir kimlik sağlayıcı tarafından yönetildiği, AD’nin ise şirket içi kaynakları yönettiği hibrit bir ortamı sürdürmektir.
Operasyonlar açısından, buluta taşınabilen veya SaaS uygulamalarıyla değiştirilebilen birden fazla kaynak olduğundan bu strateji mantıklıdır. Ancak, bu yaklaşımın, AD’nin uzun süredir göz ardı edilen güvenlik zayıflıklarının hala büyük olduğu anlamına geldiğinin farkında olmak önemlidir.
Silverfort’un kimlik güvenliği duruşunuzdaki zayıflıkları nasıl ele aldığı hakkında daha fazla bilgi edinmek için kaynağımıza göz atın, Silverfort MFA: Korunamayanı Koruyun.
AD’nin Aşil Topuğu: Ele Geçirilmiş Kimlik Bilgileri Kullanılarak Kötü Amaçlı Erişim Girişimleri Saptanamıyor ve Önlenemiyor
Bir kullanıcı bir erişim isteği başlattığında, AD yalnızca tek bir şeyin nasıl yapılacağını bilir: kullanıcı adı ve parolanın eşleşip eşleşmediğini kontrol edin. Aksi takdirde, AD erişimi engeller; yaparlarsa, erişim verilir. Ancak kullanıcı adı ve parola eşleşirse ancak bunları ele geçiren bir düşman tarafından kullanılıyorsa AD ne yapabilir? Ne yazık ki, cevap kesinlikle hiçbir şey.
Kulağa ne kadar tuhaf gelse de, AD’nin bakış açısına göre, doğru kullanıcı adı ve parolayı sağlayan meşru bir kullanıcı ile aynı şeyi yapan kötü niyetli bir düşman arasında hiçbir fark yoktur. Her ikisine de aynı erişim verilir.
Öyleyse Neden Geleneksel MFA Bu Sorunu Çözemiyor?
Bu noktada, MFA’nın neden SaaS uygulamalarında olduğu gibi AD kimlik doğrulama işlemine eklenemeyeceğini merak edebilirsiniz. Cevap, ne yazık ki, o kadar basit olmadığıdır. AD ve kimlik doğrulama protokolleri (NTLM ve Kerberos), yirmi yılı aşkın bir süre önce, yani MFA’nın varlığından çok önce oluşturulmuş ve tasarlanmıştı. Sonuç olarak, SaaS uygulamalarının kullandığı modern kimlik doğrulama protokollerinin aksine, MFA’yı hiçbir şekilde destekleyemezler. Microsoft’un bu protokolleri açıp bu yeteneğe sahip olacak şekilde yeniden yazma planları da yok.
Bu, bir AD ortamında güvenliği ihlal edilmiş kimlik bilgilerini kullanan bir saldırganın, hiçbir güvenlik önlemi önünü kesmeden istediği herhangi bir iş istasyonuna, sunucuya veya uygulamaya tam anlamıyla bağlanabileceği, başa döndüğümüz anlamına gelir.
Bir AD İhlali AD, Düşmanın Bulut Kaynaklarınıza Giden Yolu Açar
Pek çok güvenlik paydaşının sıklıkla unuttuğu şey, şirket içi ve bulut ortamlarının iç içe geçmiş olmasıdır. Aslında, SaaS uygulamalarına erişmeye çalışan birçok saldırgan, bunlara doğrudan bir tarayıcı aracılığıyla saldırmak yerine şirket içi ortamdan ödün vererek erişmeyi tercih ediyor. Bu tür saldırıların yaygın modeli, sosyal mühendislik kullanarak bir çalışanın uç noktasının kontrolünü ele geçirmek ve bir kez oradayken, bunları SaaS uygulamalarına kötü amaçlı erişim için kullanmak üzere kullanıcı adlarını ve parolaları tehlikeye atmaya çalışmaktır. Alternatif olarak, bir federasyon sunucusu mevcutsa, saldırganlar diğer şirket içi kaynaklarda olduğu gibi bu sunucudan da kolayca ödün verebilir ve oradan SaaS erişimi elde edebilir.
Öyle ya da böyle, AD’nin güvenlik açıklarından bahsederken bunun yalnızca AD tarafından yönetilen ortamın değil, tüm kullanıcıları ve kaynaklarıyla birlikte tüm hibrit ortamın risk altında olduğu anlamına geldiğini anlamak önemlidir.
Silverfort Birleşik Kimlik Koruması: Gerçek Zamanlı Koruma ile AD’nin Eksikliklerini Aşın
Silverfort, hedeflenen kaynaklara erişmek için gizliliği ihlal edilmiş kimlik bilgilerini kullanarak kimlik tehditlerine karşı – gerçek zamanlı – koruma sağlamak için özel olarak oluşturulmuş ilk platforma öncülük etmiştir. Silverfort, hem şirket içinde hem de bulutta, herhangi bir kullanıcı tarafından herhangi bir kaynağa yapılan her gelen kimlik doğrulama ve erişim talebinde sürekli izleme, risk analizi ve aktif politika uygulaması sağlar.
Bu şekilde Silverfort, AD’nin yerel kimlik doğrulama akışıyla bir entegrasyon yoluyla AD’nin güvenlik açıklarını kökünden çözebilir, böylece AD için bir kullanıcıya bir kaynağa erişirken tamamen güvenilip güvenilemeyeceğine karar verme rolünü üstlenebilir.
Silverfort’un AD Koruması: AD’nin Kimlik Doğrulama Akışına Yerel Olarak Entegre Edilmiş Bir Tehdit Koruma Katmanı
İşte nasıl çalıştığı:
- Bir kullanıcı bir kaynağa erişmek ister ve AD’ye bir erişim isteği başlatır.
- AD, parola eşleşmesine göre erişimin verilip verilmeyeceğine kendi başına karar vermek yerine, bu erişim talebini Silverfort’a iletir.
- Silverfort, erişim talebini alır ve çok katmanlı bir AI motoru kullanarak analiz ederken aynı zamanda talebi önceden yapılandırılmış erişim politikalarına göre değerlendirir.
- Analiz şüpheli bir güvenlik açığını ortaya çıkarırsa, Silverfort kullanıcıyı kimliğini doğrulamaya zorlamak için bir MFA hizmetine bağlanır.
- MFA hizmeti kullanıcıya mesajı gönderir ve yanıtını Silverfort’a geri iletir.
- MFA yanıtına bağlı olarak Silverfort, AD’ye erişimi engelleme veya izin verme talimatı verir.
- AD, Silverfort’un talimatına göre erişimi engeller veya izin verir.
Aracısız ve Proxysiz Teknoloji, Tüm Protokoller ve Erişim Yöntemlerinden Agnostik
Gördüğünüz gibi, AD’den her erişim girişimini gerçek zamanlı olarak almaya yönelik bu benzersiz yetenek, Silverfort’un eksik risk analizi ve MFA yeteneklerini AD kimlik doğrulama akışına eklemesini sağlar. Ayrıca, Silverfort AD’nin arkasında oturduğundan ve kimlik doğrulama isteklerinin %100’ünü aldığından, bu, MFA aracılarını ayrı kaynaklara yükleme veya önlerine bir proxy yerleştirme ihtiyacını ortadan kaldırır. Ayrıca, hangi protokolün kullanıldığı veya MFA’yı destekleyip desteklemediği fark etmez. AD’ye bir doğrulama yapıldığı sürece, AD bunu Silverfort’a iletecek ve koruma yerinde olacaktır.
Silverfort’un AD koruması hakkında daha fazla bilgi edinmek ister misiniz? Uzmanlarımızdan biriyle bir görüşme planlayın.