Ayrıcalıklı kullanıcılar genellikle kuruluşlar içinde önemli konumlara sahiptir. Genellikle kuruluşun BT sistemlerinde, ağlarında, uygulamalarında ve kritik verilerinde yükseltilmiş erişim, yetki ve izin seviyelerine sahiptirler. Bu nedenle kurumsal siber güvenliğiniz için risk oluşturabilirler ve ayrıcalıklı kullanıcıları izlemek çok önemlidir.
Ayrıca, GDPR, HIPAA ve NIST 800-53 dahil olmak üzere çok sayıda düzenleme ve veri güvenliği standardı, kuruluşların ayrıcalıklı kullanıcıları resmi olarak izlemesini talep ediyor. Aşağıdaki makale, kritik varlıklarınızı korumanıza ve siber güvenlik tehditlerini azaltmanıza yardımcı olabilecek Privileged User Monitoring (PUM) için en iyi uygulamaları ortaya koymaktadır.
PUM Neden Temeldir?
Çalışanlar, erişim haklarına göre ayrıcalıklı ve normal kullanıcılar olarak iki gruba ayrılabilir.
Her iki kategori de kapsamlı bir izleme gerektirse de, bunun nedenleri farklıdır:
Düzenli kullanıcılar şunlar için izlenir:
- Çalışan performansının değerlendirilmesi.
- Üretkenliği artırmak.
- Hassas verileri ve kritik sistemleri koruma.
- İçeriden ve dışarıdan gelen tehditleri azaltmak.
- Uyum bağlılığının sağlanması.
Bunun aksine, ayrıcalıklı kullanıcılar şunlar için izlenir:
- Hassas verileri nasıl işlediklerini kontrol etme.
- Sistemlerdeki değişiklikleri izleme.
- Yetkili erişimi belirleme.
- Hassas verileri ve kritik sistemleri koruma.
- İçeriden ve dışarıdan gelen tehditleri azaltmak.
- Uyum bağlılığının sağlanması.
Tüm bunlardan, normal kullanıcılar genellikle performanslarını değerlendirmek için izlenirken, ayrıcalıklı kullanıcıların ayrıcalıklarını kötüye kullanmadıklarından emin olmak için izlendiği sonucuna varmak kolaydır.
“Ayrıcalıklı hesaplar etkin bir şekilde nasıl izlenir?” diye sorabilirsiniz. Ayrıcalıklı etkinlik izleme için en iyi 10 uygulamaya bakalım.
10 Ayrıcalıklı Kullanıcı İzleme En İyi Uygulaması
için en iyi uygulamaları daralttık. kullanıcı izleme kuruluşunuzdaki kritik sistemlerin ve verilerin bütünlüğünü ve gizliliğini korumanıza yardımcı olmak için.
Ayrıcalıklı Kullanıcı İzleme En İyi Uygulamaları |
---|
Ayrıcalıklı kullanıcı işlemlerini tamamen izleyin |
Ayrıcalıkları kısıtla |
Tüm yönetici hesaplarını net bir şekilde görün |
Ağınızdaki USB cihazlarını izleyin |
Paylaşılan hesaplar için ikincil kimlik doğrulaması uygulayın |
Uzak bağlantılara göz kulak olun |
Günlüklerin değiştirilmesini engelle |
Olağandışı davranışlara dikkat edin |
Olağandışı davranışlara dikkat edin |
Ayrıcalıklı kullanıcıları sürekli olarak izleyin |
Çalışanlarınız arasında siber güvenlik eğitimi düzenleyin |
1. Ayrıcalıklı kullanıcı işlemlerini tamamen izleyin
Çoğu kuruluş, yalnızca belirli veri türleri ile eylemleri izler. Ama bu büyük bir hata.
Ayrıcalıklı kullanıcılar genellikle kritik varlıklarınıza neredeyse sınırsız erişime sahip olduğundan, eylemlerine dikkat etmek çok önemlidir.
Bilgileri basit formatlarda kaydeden ve her kullanıcı eylemini ekran görüntüleri veya video kayıtlarında yakalayan bir kullanıcı etkinliği izleme çözümü seçin. Bu kayıtlara daha sonra bakmak, özellikle bir olay meydana gelirse büyük bir avantaj olacaktır.
2. Ayrıcalıkları kısıtlayın
Ne kadar az ayrıcalıklı kullanıcınız varsa ve onların da ayrıcalığı ne kadar azsa, eylemlerini izlemek o kadar kolay olacaktır. Bu nedenle, yalnızca sınırlı bir süre için buna ihtiyaç duyan çalışanlara yükseltilmiş erişim hakları vermeyi düşünün.
Kullanıcı ayrıcalıklarını sınırlamak için en az ayrıcalık, sıfır güven mimarisi veya tam zamanında PAM ilkesini takip edebilirsiniz.
3. Tüm yönetici hesaplarını net bir şekilde görün
Ayrıcalıklı kullanıcıların erişim haklarını başkalarıyla paylaşması yaygın bir uygulamadır. Örneğin, bazı kullanıcılar yönetici benzeri erişim izinlerine sahip olabilir, ancak etki alanı yöneticileri gibi yönetici gruplarının parçası olmayabilir. Bunlara gölge yöneticiler denir ve izlenmesi oldukça zordur.
Gurucul tarafından hazırlanan 2023 İçeriden Gelen Tehdit Raporu, içeridekilerin %54’ünün ağlara ve hizmetlere kimlik bilgileriyle erişim sağladığını ortaya koydu. Bu nedenle, gölge yöneticileri de izlemek çok önemlidir. Kurumsal ağınızda neler yaptıklarını izlemeli ve yeni hesapların ne zaman oluşturulduğunu veya eskilerinin kaldırıldığını tespit etmelisiniz.
4. Ağınızdaki USB cihazlarını izleyin
Kötü niyetli bir kişi, önemli verileri çalmak için bir USB sürücüsü kullanabilir. Bu nedenle, kuruluşunuzun verilerini güvende tutmak için ağınıza bağlı tüm USB cihazlarını, özellikle ayrıcalıklı kullanıcılar tarafından kullanılan USB cihazlarını izlemelisiniz.
USB cihaz bağlantılarını takip edebilen, olağandışı USB cihazları algılandığında uyarı gönderebilen ve gerektiğinde engelleyebilen izleme yazılımını entegre etmek çok önemlidir.
5. Paylaşılan hesaplar için ikincil kimlik doğrulaması uygulayın
Birçok kuruluş, yönetim süreçlerini kolaylaştırmak için paylaşılan ayrıcalıklı hesapları tercih eder. Ancak bu, istemeden de olsa BT ağlarında siber güvenlik açıklarına kapı aralıyor.
Paylaşılan hesaplar, kullanıcıların eylemlerini ayırt etmeyi neredeyse imkansız hale getirdikleri için kullanıcı etkinliği izleme ve denetimini karmaşık hale getirir. Ek bir güvenlik önlemi olarak ikincil kullanıcı kimlik doğrulamasını uygulayarak, hesapları paylaşan ayrıcalıklı kullanıcıların etkinliklerini etkili bir şekilde belirleyebilirsiniz.
6. Uzak bağlantılara dikkat edin
Artan uzak çalışanlarla, güvenlik tehditleri daha şiddetli hale geldi. Kuruluşlar, düzenli çalışanlarına, yarı zamanlı çalışanlara ve taşeronlara verilerine uzaktan erişim izni verir. Bu tür kullanıcılar ağınızdaki hassas bilgilere erişirse, uzak masaüstü izleme yazılımını kullanarak onları yakından izleyin.
Ayrıcalıklı kullanıcılar için RDP’yi (Uzak Masaüstü Protokolü oturumları) da izlemelisiniz. İçerideki kötü niyetli kişiler, hassas verilere yetkisiz erişim elde etmek veya ağ içinde yetkisiz eylemler gerçekleştirmek için RDP oturumlarından yararlanabilir. RDP oturum kaydı ve izleme, şüpheli etkinliklerin belirlenmesine ve içeriden gelen tehditlerin önlenmesine yardımcı olur. Ayrıca, uzaktan oturum açma yoluyla hangi sistemlere ve verilere erişilebileceğini belirtmenizi ve IP veya MAC adresleri için beyaz listeler oluşturmanızı önemle tavsiye ederiz.
7. Günlüklerin değiştirilmesini önleyin.
İzinlerinin kapsamına bağlı olarak, ayrıcalıklı kullanıcılar günlükleri ve kayıtları değiştirme ve hatta silme olanağına sahip olabilir. Bu sorunu çözmek için, yalnızca belirli bir role veya kısıtlı bir kullanıcı grubuna sistem günlüklerine tam erişim izni vermenizi tavsiye ederiz.
İzleme yazılımı seçerken, günlüklerde veya raporlarda herhangi bir değişiklik yapılmasını önleyen bir çözüm seçmek çok önemlidir. Bu tür yazılımları kullanmak, kayıtların değiştirilmeden kalacağını bilerek içinizin rahat olmasını sağlar.
8. Olağan dışı davranışlara dikkat edin
Harici bir saldırganın veya kötü niyetli bir içeriden kişinin eylemleri, yetkili bir kullanıcınınkinden farklı olabilir.
Kullanıcı ve Varlık Davranışı Analitiği (UEBA) teknolojisi, kurumsal ağınızdaki kullanıcılar arasındaki anormal etkinliği belirleyebilir. UEBA araçları, ayrıcalıklı kullanıcıların olağandışı hareketlerini hızlı bir şekilde tespit etmenize yardımcı olabilir.
9. Çalışanlarınız arasında siber güvenlik eğitimi düzenleyin
Siber güvenlik bilgisine sahip olmayan çalışanlar, izlenmenin önemini kavrayamayabilir ve güvenlik önlemlerinizi ve politikalarınızı yanıltmaya çalışabilir.
Çalışanlarınız arasında siber güvenlik farkındalığı düzeyini yükseltmek çok önemlidir. Çalışanlarınız şüpheli eylemleri tespit edebilecek ve derhal güvenlik ekibine bildirebilecektir.
10. Ayrıcalıklı kullanıcıları sürekli izleyin
Belirli aralıklarla kullanıcı etkinlik izlemesi yapmak, bir kullanıcının eylemlerine ilişkin kapsamlı içgörü ve dolayısıyla hassas verilerinizin etkili bir şekilde korunmasını garanti etmez.
Ayrıcalıklı kullanıcı izleme, sürekli izleme gerektiren devam eden bir süreçtir. Ayrıcalıklı kullanıcı izleme prosedürlerinizi düzenli olarak gözden geçirmeniz ve bunları en iyi PUM uygulamalarıyla sürekli olarak geliştirmeniz çok önemlidir.
Ekran Sistem nasıl yardımcı olabilir?
Ekran System, yükseltilmiş erişime sahip olanlar da dahil olmak üzere her tür kullanıcıyı izlemenizi sağlayan, tam döngülü bir içeriden öğrenilen risk yönetimi platformudur. Ayrıca ağınızın kritik sistemlerine, uygulamalarına ve verilerine erişimi yönetmenize yardımcı olur.
Ekran System ile, içeriden gelen tehditleri yönetmeye yönelik zengin özellikler sayesinde en iyi PUM uygulamalarını uygulayabilirsiniz:
- Tüm sunucularda (atlama sunucuları, uç noktalar ve uzak iş istasyonları dahil) sürekli çalışan izleme.
- Ayrıcalıklı kullanıcı, çalışanlarınız ve üçüncü taraflar için ayrıcalıklı erişimi izleme ve yönetme.
- Hem yerel hem de RDP kullanıcı oturumlarını kaydetmek için Windows izleme.
- İçerik bakımından zengin kullanıcı oturumlarının (yerel, terminal, SSH ve RDP) aranabilir bir video formatında kaydedilmesi.
- Uygulama adları, ziyaret edilen URL’ler ve yazılan tuş vuruşları gibi kullanıcı etkinlikleri hakkında meta veri toplama.
- Kullanıcı engelleme ve işlem sonlandırma yoluyla siber güvenlik olaylarına karşı uyarı ve yanıt verme.
- Flash sürücüler ve USB modemler dahil olmak üzere bağlı USB cihazlarını izleme.
- Adli soruşturmaları kolaylaştırmak için ayrıntılı raporlar oluşturma ve kullanıcı oturumu verilerini dışa aktarma.
Bu özellikler, ayrıcalıklı kullanıcı hesaplarını ve erişebilecekleri varlıkları tam olarak görmenize yardımcı olabilir. Ayrıca, Ekran System’in işlevselliği, SOX, HIPAA, PCI DSS ve diğerleri gibi siber güvenlik standartlarını karşılamanıza yardımcı olabilir.
Son düşünceler
İçeriden gelen tehditler ve veri ihlalleri her büyüklükteki kuruluş arasında giderek daha yaygın hale geldikçe, ayrıcalıklı kullanıcı izleme için etkili stratejiler uygulamak çok önemli hale geliyor. Ayrıcalıklı kullanıcıları izleyerek, içeriden gelen tehditleri en aza indirebilir ve hassas verilerinizin ihlal edilmesini önleyebilirsiniz.
Yukarıdaki on uygulama, etkili bir ayrıcalıklı kullanıcı yönetim sistemi oluşturmanıza yardımcı olabilir. Ve Ekran System, kurumsal ağınız içindeki gizli hesaplar, kullanıcılar ve üçüncü taraf satıcıların tam görünürlüğünü elde etmenize yardımcı olabilir. Daha da önemlisi, Ekran System, RPD bağlantılarını izlemek için güçlü yetenekler sunarak daha yüksek güvenlik sağlar.