Sadece birkaç yıl öncesine kadar, yalnızca bir avuç IAM uzmanı hizmet hesaplarının ne olduğunu biliyordu. Son yıllarda, bu sessiz İnsan Olmayan Kimlikler (NHI) hesapları en çok hedef alınan ve tehlikeye atılan saldırı yüzeylerinden biri haline geldi. Değerlendirmeler, tehlikeye atılan hizmet hesaplarının fidye yazılımı saldırılarının %70’inden fazlasında yanal hareketlerde önemli bir rol oynadığını bildiriyor. Ancak, hizmet hesaplarının tehlikeye atılma riski ve potansiyel etkisi ile bu riski azaltmak için mevcut güvenlik önlemleri arasında endişe verici bir orantısızlık var.
Bu makalede, hizmet hesaplarını bu kadar kazançlı bir hedef yapan şeyin ne olduğunu, neden çoğu güvenlik kontrolünün kapsamı dışında olduklarını ve birleşik kimlik güvenliğine yönelik yeni yaklaşımın hizmet hesaplarının tehlikeye atılmasını ve kötüye kullanılmasını nasıl önleyebileceğini inceliyoruz.
Active Directory Hizmet hesapları 101: M2M için kullanılan insan dışı kimlikler
Active Directory (AD) ortamında, hizmet hesapları insanlarla ilişkilendirilmemiş ancak makineden makineye iletişim için kullanılan kullanıcı hesaplarıdır. Yöneticiler tarafından tekrarlayan görevleri otomatikleştirmek için veya şirket içi yazılım yükleme işlemi sırasında oluşturulurlar. Örneğin, ortamınızda bir EDR varsa, uç noktanızdaki ve sunucularınızdaki EDR aracısına güncellemeleri getirmekten sorumlu bir hizmet hesabı vardır. Bir NHI olmanın dışında, hizmet hesapları AD’deki diğer kullanıcı hesaplarından farklı değildir.
Saldırganlar neden hizmet hesaplarının peşine düşer?
Fidye yazılımı aktörleri, yanal hareket için tehlikeye atılmış AD hesaplarına (tercihen ayrıcalıklı olanlara) güvenir. Bir fidye yazılımı aktörü, tek bir tıklamayla birden fazla makineyi şifrelemek için yeterince güçlü bir dayanak elde edene kadar bu tür yanal hareketi sürdürür. Genellikle, bunu bir Etki Alanı Denetleyicisine veya yazılım dağıtımı için kullanılan başka bir sunucuya erişerek ve ağ paylaşımını kötüye kullanarak fidye yazılımı yükünü mümkün olduğunca çok makinede yürüterek başarırlar.
Herhangi bir kullanıcı hesabı bu amaç için uygun olsa da, hizmet hesapları aşağıdaki nedenlerden dolayı en uygunudur:
Yüksek erişim ayrıcalıkları
Çoğu hizmet hesabı diğer makinelere erişmek için oluşturulur. Bu kaçınılmaz olarak bu makinelerde oturum açmak ve kod yürütmek için gereken erişim ayrıcalıklarına sahip oldukları anlamına gelir. Tehdit aktörlerinin peşinde olduğu şey tam olarak budur, çünkü bu hesapların tehlikeye atılması onlara kötü amaçlı yüklerine erişme ve bunları yürütme yeteneği kazandırır.
Düşük görünürlük
Bazı hizmet hesapları, özellikle de şirket içi kurulu bir yazılımla ilişkili olanlar, BT ve IAM personeli tarafından bilinir. Ancak, birçoğu BT ve kimlik personeli tarafından hiçbir belge olmadan özel olarak oluşturulur. Bu, izlenen bir hizmet hesabı envanterini tutma görevini neredeyse imkansız hale getirir. Bu, saldırganların işine yarar çünkü izlenmeyen bir hesabı tehlikeye atmak ve kötüye kullanmak, saldırının kurbanı tarafından fark edilmeden kalma şansını çok daha artırır.
Güvenlik kontrollerinin eksikliği
Hesap güvenliğinin ihlal edilmesini önlemek için kullanılan yaygın güvenlik önlemleri MFA ve PAM’dir. MFA, hizmet hesaplarına uygulanamaz çünkü bunlar insan değildir ve kullanıcı adı ve parolalarının ötesinde kimliklerini doğrulamak için kullanılabilecek bir telefon, donanım belirteci veya başka bir ek faktöre sahip değildir. PAM çözümleri ayrıca hizmet hesaplarının korunmasıyla da mücadele eder. PAM çözümlerinin kullandığı ana güvenlik kontrolü olan parola rotasyonu, kimlik doğrulamalarının başarısız olması ve yönettikleri kritik süreçleri bozma endişesi nedeniyle hizmet hesaplarına uygulanamaz. Bu, hizmet hesaplarını pratik olarak korumasız bırakır.
Hizmet hesaplarınızı koruma hakkında daha fazla bilgi edinmek ister misiniz? E-kitabımızı inceleyin, Hizmet Hesaplarının Güvenlik Kör Noktalarının Üstesinden GelmekHizmet hesaplarını korumanın zorlukları hakkında daha fazla bilgi edinmek ve bu sorunlarla nasıl mücadele edeceğiniz konusunda rehberlik almak için.
Gerçekler: Her şirket, sektör ve büyüklükten bağımsız olarak potansiyel bir kurbandır
Bir zamanlar fidye yazılımlarının kurbanları herhangi bir özelliğe göre ayırmayan büyük bir demokratikleştirici olduğu söylenmişti. Bu, hizmet hesapları söz konusu olduğunda her zamankinden daha doğru. Geçtiğimiz yıllarda, finans, üretim, perakende, telekom ve diğer birçok sektörde 200 ila 200 bin çalışanı olan şirketlerdeki olayları araştırdık. 10 vakadan 8’inde, yan hareket girişimleri hizmet hesaplarının tehlikeye atılmasını içeriyordu.
Her zaman olduğu gibi saldırganlar bize en iyi zayıf halkanın nerede olduğunu öğretiyorlar.
Silverfort’un Çözümü: Birleşik Kimlik Güvenlik Platformu
Kimlik güvenliğinin ortaya çıkan güvenlik kategorisi, rakiplerin hizmet hesaplarında şimdiye kadar sahip olduğu serbest hakimiyeti tersine çevirme olasılığını ortaya koyuyor. Silverfort’un kimlik güvenliği platformu, hizmet hesapları tarafından yapılanlar da dahil olmak üzere, herhangi bir AD kimlik doğrulamasında sürekli görünürlük, risk analizi ve aktif uygulama sağlamasını sağlayan tescilli bir teknoloji üzerine kurulmuştur.
Saldırganların bunları kötü amaçlı erişim için kullanmasını engellemek için bunun nasıl kullanıldığını görelim.
Silverfort’un hizmet hesabı koruması: Otomatik keşif, profilleme ve koruma
Silverfort, kimlik ve güvenlik ekiplerinin hizmet hesaplarını aşağıdaki şekilde güvenli tutmalarını sağlar:
Otomatik keşif
Silverfort her AD kimlik doğrulamasını görür ve analiz eder. Bu, AI motorunun hizmet hesaplarını karakterize eden kesin ve öngörülebilir davranışı gösteren hesapları tanımlamasını kolaylaştırır. Kısa bir öğrenme süresinin ardından Silverfort, kullanıcılarına ayrıcalık düzeyleri, kaynakları ve hedefleri ve her birinin davranışını haritalayan diğer veriler dahil olmak üzere hizmet hesaplarının tam bir envanterini sağlar.
Davranışsal analiz
Silverfort, tanımlanan her hizmet hesabı için normalde kullandığı kaynakları ve hedefleri içeren bir davranışsal temel tanımlar. Silverfort’un motoru, hesabın davranışını mümkün olduğunca doğru bir şekilde yakalamak için bu temel çizgiyi sürekli olarak öğrenir ve zenginleştirir.
Sanal eskrim
Davranışsal temel çizgiye dayanarak, Silverfort her hizmet hesabı için otomatik olarak bir politika oluşturur ve bu politika, hesabın standart davranışından herhangi bir sapması durumunda koruyucu bir eylemi tetikler. Bu eylem yalnızca uyarı veya tam erişim engellemesi olabilir. Bu şekilde, hizmet hesabının kimlik bilgileri tehlikeye girse bile, saldırgan bunları temel çizgide yer alanların ötesindeki herhangi bir kaynağa erişmek için kullanamaz. Silverfort kullanıcısının yapması gereken tek şey, ek bir çaba sarf etmeden politikayı etkinleştirmektir.
Sonuç: Harekete geçme zamanı geldi. Hizmet hesaplarınızın korunduğundan emin olun
Saldırganlarınızdan önce hizmet hesaplarınıza erişseniz iyi olur. Bu, günümüzün tehdit manzarasının gerçek ön cephesidir. Hizmet hesaplarınızı tehlikeye karşı görmenin, izlemenin ve güvence altına almanın bir yolu var mı? Cevap hayırsa, fidye yazılımı istatistiklerine katılmanız sadece zaman meselesidir.
Silverfort’un hizmet hesabı koruması hakkında daha fazla bilgi edinmek ister misiniz? Web sitemizi ziyaret edin veya bir demo için uzmanlarımızdan birine ulaşın.