YORUM
Siber güvenlik alanında geçirdiğim 32 yıl boyunca, ağ hizmeti hesaplarıyla ilişkili risklerin yönetilmesi, acı verici bir sabit olmuştur.
Hizmet hesaplarının, insan etkileşimi olmadan tekrarlanan ve otomatikleştirilmiş zamanlanmış görevleri gerçekleştiren makineden makineye hesaplar olması gerekir. Hizmet hesaplarının yaygın örnekleri arasında işletim sistemlerinde uygulamaların çalıştırılması, veritabanları, otomatik yedeklemeler ve ağ bakımı yer alır. Son derece sınırlı erişim haklarına sahip olmalı, insan etkileşimine izin vermemeli ve yalnızca amaçlanan işlevi yerine getirmelidirler.
Hizmet hesabı endişelerini güvenlik perspektifinden yeterince ele alan yönetim modeli nadirdir. En iyi uygulamalar, tehdit aktörlerinin, izleme sistemlerimiz tarafından fark edilmeden kuruluş içinde yatay hareket etmek için bu tür hesapları kullanma yeteneğini azaltır.
Hizmet Hesaplarının Sorun Noktaları
Her kuruluşun hizmet hesapları vardır. Her kuruluş ayrıca daha az hesaba sahip olmak ve sahip olmaları gereken hesapların daha iyi izlenmesini ve kontrol edilmesini ister. Tehdit aktörleri şunu anlıyor: hizmet hesaplarının güvenlik riskleri ve yararlanın.
Görünürlük eksikliği. Hizmet hesaplarının süreçlerde, uygulamalarda, veritabanı yapılarında ve programatik sistemlerde karmaşık bağımlılıkları olabilir. Bu hesapların izlenmesi ve uygun şekilde güvence altına alınması imkansız olmasa da son derece zor olabilir.
İzlemede zorluk. Hizmet hesapları genellikle belirli bir kişiyle ilişkili olmadığından günlüklerin izlenmesi kafa karışıklığına neden olabilir ve olay araştırmalarını karmaşık hale getirebilir. Bu, ağların tehdit aktörlerinin eylemlerine ve yanal hareketlerine maruz kalmasına neden olurken, kötü niyetli aktörlerin ağ içinde dolaşırken tamamen tespit edilememesiyle sonuçlanabilir.
Tahliyelerin karmaşık doğası. Tehdit aktörleri ağınızı ihlal ederse ve onları tahliye etmeniz gerekirse, her bir şifrenin kısa bir süre içinde, bazıları birden fazla kez değiştirilmesi gerekir. Bu, hizmet hesaplarının gerçekten külfetli ve karmaşık hale gelebileceği zamandır. Tahliye işlemini gerçekleştirmek için her bir hizmet hesabı parolasını değiştirmeniz gerekir. İyi bir envanteriniz yoksa ve tüm hizmet hesaplarının işlevselliğini anlıyorsanız, tahliye girişiminde bulunmamalısınız. Böyle bir durumda değiştiremediğiniz birkaç hizmet hesabı muhtemelen tehdit aktörleri tarafından kullanılacaktır.
Bilgideki Yaygın Eksiklikler
Yıllar boyunca, bir olaya müdahale görevi sırasında, kuruluşların hizmet hesaplarıyla ilgili olarak şu eğilimleri olduğunu birçok kez gördüm:
-
Hiç kimse kaç tane hizmet hesabının bulunduğunu veya bunların nasıl kullanıldığını bilmiyor.
-
Şifreler yıllardır değiştirilmiyor ve hiç kimse şifrenin nasıl değiştirileceğini ya da değiştirilirse neyin bozulacağını bilmiyor.
-
Hiç kimse bir hizmet hesabının neden var olduğunu veya hesabın kime ait olduğunu bilmiyor.
-
Kuruluşun hizmet hesaplarını izlemeye ve güvenliğini sağlamaya yönelik bir süreci yoktur.
Bu nedenle tehdit aktörlerinin hizmet hesaplarına yönelmesi mantıklıdır. Çoğu zaman bu hesapların gereksiz hakları ve erişimleri vardır.
Kapsamlı Bir Strateji Geliştirme
Sorunu anlamak kapsamlı bir strateji geliştirmenin yalnızca ilk kısmıdır. Şimdi hizmet hesaplarıyla ilgili güvenlik sorunlarını çözme adımlarını tanımlayalım.
-
Tüm hizmet hesaplarının envanterini çıkarın. Bu, PowerShell veya Active Directory araçları kullanılarak programlı olarak yapılabilir.
-
İyi bir envanteriniz olduğunda her hizmet hesabına bir sahip atayın. Bu, insana içgörü ve sorumluluk getirir. Bazı hizmet hesaplarına artık ihtiyaç duyulmadığını görebilirsiniz.
-
Tüm hizmet hesaplarının amacını belirleyin. Hesap nasıl kullanılır ve ne işe yarar?
-
Bu bilgiyi çok dikkatli bir şekilde belgeleyin.
Son olarak, artık hizmet hesabı programınızı daha fazla güvenlik ve gözetim sağlayacak şekilde resmileştirebilirsiniz. Hizmet hesaplarınızı bir hesaba eklemeyi seçebilirsiniz. ayrıcalıklı erişim yönetimi (PAM) sistemibu ideal olurdu. Ancak bunun uzun ve yorucu bir çaba olabileceğini unutmayın. Çabaya değer olsa da çok fazla zaman ve çaba gerektirmeyeceğini düşünmeyin.
Daha sonra, PAM kullansanız da kullanmasanız da, resmileştirilmiş bir denetim mutabakatı programı her hizmet hesabının kullanımıyla ilgili. Bu büyük ölçüde hizmet hesabı sahiplerine bağlı olacaktır. Bir kuruluş, her hesap sahibinin hizmet hesabına sürekli ihtiyaç duyulduğunu periyodik olarak beyan etmesini zorunlu kılmalıdır (bunu her altı ayda bir yapıyordum) ve hesabın sürekli kullanımına ilişkin riski kabul etmelidir. Hesap sahibi, hizmet hesabıyla ilgili riskleri kabul ettiğinde hesabın şifresini değiştirir.
İdeal olarak, riskleri yönetmek ve kuruluşlara yardımcı olmak için tasarlanmış yazılım platformlarını kullanarak bu süreci otomatikleştirebilirsiniz. yönetişim, risk ve uyumluluk (GRC) sorunlar. Böyle bir sistemde otomatik iş akışı doğru işlenmezse hizmet hesabı otomatik olarak devre dışı bırakılır. Hizmet belirli bir süre boyunca devre dışı kalırsa otomatik olarak silinecektir. Bu, hizmet hesaplarının yönetimine sorumluluk getirir.
Bu kapsamlı strateji, hizmet hesaplarının kullanımına ilişkin riskleri azaltacaktır. En önemli şey, stratejinin tüm hizmet hesaplarının belgelenmesini sağlaması ve belirli bir kişiyi bunların sürekli kullanımından sorumlu tutmasıdır. Rutin şifre değişiklikleriyle birlikte bu sorumluluk, riskleri önemli ölçüde azaltacak ve bu önemli ve sıklıkla gözden kaçan güvenlik zayıflığının giderilmesine yardımcı olacaktır.