Çalınan kimlik bilgilerinin modern kuruluşların karşılaştığı en tehlikeli saldırı vektörlerinden biri haline geldiğinin bilincinde olan Google, ayrıcalıklı hesapların korunmasına ilişkin kapsamlı bir kılavuz yayınladı.
Yeni öneriler, saldırganların hassas sistemleri ihlal etmek ve değerli verileri çalmak için bu “krallığın anahtarlarından” nasıl giderek daha fazla yararlandığını ele alıyor.
Son tehdit istihbaratına göre, çalınan kimlik bilgileri artık saldırganların kuruluşlara sızmanın en yaygın ikinci yolu olarak sıralanıyor ve 2024’teki izinsiz girişlerin %16’sını oluşturuyor.
Bu değişim, siber suçluların şifreleri ve oturum belirteçlerini toplamak için karmaşık kötü amaçlı yazılımlar ve sosyal mühendislik taktikleri kullandığı, büyüyen bir eğilimi yansıtıyor. Yapay zeka destekli kimlik bilgileri hırsızlığı kampanyalarının yükselişi sorunu daha da acil hale getirdi.
Genişleyen Saldırı Yüzeyi
Güvenlik ekiplerinin karşılaştığı zorluk önemli ölçüde daha karmaşık hale geldi. Günümüzde kuruluşlar geleneksel yönetici hesaplarından çok daha fazlasını yönetiyor.
Bulut ortamları, kapsayıcıya alınmış uygulamalar ve otomasyon sistemleri, hizmet hesapları, API anahtarları ve geliştirici kimlik bilgileri dahil olmak üzere saldırganların artık aktif olarak hedeflediği sayısız yeni ayrıcalıklı kimlik ortaya çıkardı.
Google’ın kılavuzunda “Ayrıcalık, rol ve katmanla bağlantılıdır” diye açıklıyor. Bir hesap, kötüye kullanımının sistem ayarlarını değiştirebileceği, güvenlik politikalarını değiştirebileceği veya hassas verilere erişebileceği durumlarda ayrıcalıklı hale gelir.
Bu tanım, etki alanı yöneticileri gibi bariz hedeflerin ötesine geçerek, bulut platformu erişimine sahip geliştiricileri ve web uygulamaları aracılığıyla finansal bilgileri işleyen iş kullanıcılarını da kapsar.
Bu hesaplar güvenlik planlarında sıklıkla gözden kaçırıldığı için sorun daha da tehlikeli hale geliyor.
Pek çok kuruluş, yalnızca etki alanı yöneticilerine odaklanan dar PAM stratejilerini sürdürüyor ve geniş sistem erişimlerine rağmen hizmet hesaplarını ve API anahtarlarını büyük ölçüde izlenmiyor.
Google, birbirine bağlı üç temel üzerine kurulu derinlemesine bir savunma yaklaşımı önermektedir: önleme, tespit ve müdahale.
Önleme, bir kuruluş içindeki tüm ayrıcalıklı hesapların açıkça tanımlanması ve sınıflandırılması, ardından gerçek iş gereksinimlerine göre uygun erişim düzeylerinin atanmasıyla başlar.
Kuruluşlar, tüm yönetim yollarında çok faktörlü kimlik doğrulamayı uygulamalı ve kimlik bilgileri ile oturumları kaydeden ayrıcalıklı erişim yönetimi çözümlerini zorunlu kılmalıdır.
Tespit, ayrıcalıklı etkinliklerin görünürlüğünün korunmasını gerektirir. Güvenlik ekipleri, yönetici hesaplarındaki olağandışı davranışları tespit etmek ve kimlik bilgilerinin ortamda nasıl hareket ettiğini izlemek için izleme sistemlerini ayarlamalıdır.
Tespit sistemleri, saldırganların ağlarda harcadığı süreyi azaltmaya öncelik vermelidir; mevcut küresel ortalama bekleme süresi 2024’te 11 gün olarak kalacaktır.
Müdahale yetenekleri, uzlaşmalar meydana geldiğinde hızlı araştırma ve iyileştirme sağlamalıdır.
Bu, cam erişimini kırmak için test edilmiş prosedürlere sahip olmayı ve kontrolleri doğrulamak için düzenli güvenlik tatbikatları yapmayı içerir. Google, ayrıcalıklı erişim yönetimi programları için dört olgunluk aşamasını özetlemektedir.
Kuruluşlar, manuel süreçler ve elektronik tablo takibi ile henüz başlatılmamış bir durumda başlar, geçici nokta çözümleri yoluyla ilerler, platformlar arasında tutarlı kontrollerle tekrarlanabilir bir aşamaya ulaşır ve sonuçta otomasyonun güvenliği sürekli olarak iyileştirdiği yinelemeli optimizasyona ulaşır.
Kılavuz, bir PAM aracının tek başına dağıtılmasının yetersiz olduğunu vurgulamaktadır. Kuruluşların güçlü yönetim oluşturması, katmanlı hesap yapılarını uygulaması ve tüm kaynaklardaki etkili izinleri düzenli olarak denetlemesi gerekir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.