Artan kimlik bilgisi hırsızlığı tehditlerine yanıt olarak Google, Mandiant siber güvenlik bölümü aracılığıyla, savunucuların modern BT ortamlarındaki ayrıcalıklı hesapları izlemesine ve güvence altına almasına yardımcı olacak ayrıntılı bir kılavuz yayınladı.
Bu kaynak, Mandiant’ın M-Trends raporuna göre 2024’teki izinsiz girişlerin %16’sını oluşturan çalıntı kimlik bilgilerinin oluşturduğu riskleri azaltmaya yönelik pratik stratejileri vurguluyor.
Bulut geçişleri saldırı yüzeylerini insan ve insan olmayan kimliklerle genişletirken, kılavuz ayrıcalıklı erişim yönetimini (PAM) kurumsal dayanıklılığın temel taşı olarak konumlandırıyor.
Kılavuz, saldırganların, genellikle bilgi hırsızlığı yapan kötü amaçlı yazılımlar veya yapay zeka tarafından geliştirilmiş sosyal mühendislik yoluyla, ilk erişim, yanal hareket ve görev tamamlama için ayrıcalıklı hesaplardan nasıl giderek daha fazla yararlandıklarını vurguluyor.
Çalınan kimlik bilgileri, ortalama 11 günlük bekleme süresiyle ihlallere olanak tanıyor ve bu da ihlal varsayımı zihniyetine olan ihtiyacın altını çiziyor.
Savunmacılar için Google Kılavuzu
Mandiant, tavsiyelerini üç sütun etrafında yapılandırıyor: erişim yollarının güvenliğini sağlayarak önleme, görünürlük mühendisliği yoluyla tespit ve hızlı iyileştirme taktikleriyle müdahale.
Önleme, ayrıcalıklı hesapların geniş bir şekilde tanımlanmasıyla başlar; hizmet hesaplarını, API anahtarlarını ve geleneksel alan yöneticilerinin ötesinde geliştiricilerin bulut erişimini kapsar.
Hesapların etkiye göre katmanlandırılmasını (etki alanı denetleyicileri gibi taç mücevherleri için T0, çekirdek platformlar için T1, iş istasyonları için T2) ve atlama sunucuları gibi bağımlılıkların haritalandırılmasını savunur.
Kuruluşların, PAM olgunluğunu, başlatılmamış (manuel, elektronik tablo tabanlı izleme) yerine yinelemeli, otomatikleştirilmiş, analitik odaklı bir yaklaşıma doğru ilerletmeleri teşvik edilmektedir.
Temel kontroller, tüm yönetici yollarında çok faktörlü kimlik doğrulamayı (MFA), tam zamanında/tam yeterli yönetimi (JIT/JEA) ve bölümlere ayrılmış ağlarda ayrıcalıklı erişim iş istasyonlarını (PAW’ler) içerir.
Kimlik bilgilerinin saklanması, rotasyonların uygulanması ve oturum kaydı için CyberArk veya Google’ın kendi Ayrıcalıklı Erişim Yöneticisi gibi özel PAM araçları önerilir.
Kılavuz, tespit için Google SecOps gibi araçlarda yüksek kaliteli izlemeyi vurguluyor ve ayrıcalıklı anormallikleri, davranışsal analizler ve makine öğrenimi yoluyla genel IAM kötüye kullanımından ayırıyor.
Belirli avlar, Seviye 0 hesaplarındaki kaba kuvveti, GPO değişikliklerini ve hizmet hesabı sapmalarını hedefler. Olaylarda, anında izolasyon ağı çekilir ve token iptali, PAM aracılığıyla koordineli kimlik bilgisi sıfırlamalarıyla eşleşir.
İyileştirme, geliştirici sistemlerindeki kötü amaçlı yazılım taramaları da dahil olmak üzere, kuruluş çapında parola rotasyonlarını ve saldırı yollarında adli tıp işlemlerini içerir. Kurtarma planlaması, sanallaştırmanın güçlendirilmesini (örneğin, ESXi Kilitleme Modu) ve değişmez depolama ile yedeklemeleri kapsar.
Kılavuz, SoD’yi, sıfır ayakta ayrıcalıkları ve otomatik yanıtları entegre ederek, savunucuları patlama yarıçaplarını küçültecek ve NIST ve PCI DSS gibi standartlara uyacak şekilde donatıyor.
İçeriden ve üçüncü taraflardan kaynaklanan risklerin arttığı bir ortamda yayımlanan bu çerçeve, güvenlik ekiplerine “krallığın anahtarlarını” etkili bir şekilde koruma gücü veriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
