Microsoft, kurumsal güvenlik mimarisinde önemli bir kilometre taşını işaret eden kapsamlı güvenli gelecek girişiminin bir parçası olarak Microsoft 365 ekosistemindeki yüksek ayrı erişim güvenlik açıklarını başarıyla ortadan kaldırdı.
Teknoloji devinin deneyimler ve cihazlar için Baş Bilgi Güvenlik Görevlisi Naresh Kannan, şirketin en az müstehcen erişim ilkelerine öncelik veren sistematik bir yaklaşımla 1.000’den fazla yüksek uygulama başvuru senaryosunun hafifletildiğini duyurdu.
Yüksek ayrıcalıklı erişim, uygulamaların veya hizmetlerin müşteri içeriğine geniş erişim sağladığı ve uygun kimlik doğrulama bağlamı olmadan kullanıcıları taklit etmelerini sağlayan kritik bir güvenlik açığını temsil eder.
Bu mimari kusur, hizmet uzlaşmaları, kimlik bilgisi yanlış kullanma veya jeton maruziyet olayları sırasında önemli güvenlik riskleri yaratır. Bu erişim modellerinin ortadan kaldırılması, Microsoft’un uygulamalarının Microsoft 365 ekosisteminde nasıl etkileşime girdiğini temelden yeniden tasarlamasını gerektiriyordu.
Microsoft Networks Labs analistleri, geleneksel hizmet-servis kimlik doğrulama protokollerinin platform genelinde gereksiz güvenlik maruziyeti oluşturduğunu belirledi.
Girişim, aşırı öngörülen erişimin tüm Microsoft 365 altyapısındaki potansiyel güvenlik olaylarının etkisini güçlendirebileceğini kabul ederek bir “varsayım ihlali” zihniyetinden ortaya çıktı.
Teknik Uygulama ve Mimari Yeniden Tasarım
Eliminasyon süreci, mevcut sistemlerin kapsamlı bir şekilde yeniden yapılandırılmasını gerektiren kapsamlı üç fazlı bir yaklaşım içeriyordu.
Microsoft’un güvenlik ekibi, tüm Microsoft 365 uygulamalarının kapsamlı incelemelerini ve teknoloji yığınındaki kaynak sağlayıcılarla hizmet-servis etkileşimlerini gerçekleştirdi.
Bu analiz, uygulamaların operasyonel gereksinimlerinin ötesinde aşırı izinleri koruduğu çok sayıda örneği ortaya koymuştur.
Uygulama aşaması, yüksek pratik erişim kalıplarını doğal olarak destekleyen eski kimlik doğrulama protokollerini kullanımdan kaldırmaya odaklanmıştır.
Microsoft, yeni güvenli kimlik doğrulama protokollerinin uygulanmasını hızlandırdı ve tüm hizmet-hizmetten etkileşimlerin amaçlanan işlevleri için gerekli olan minimum ayrıcalık kapsamı dahilinde çalışmasını sağladı.
Örneğin, belirli SharePoint sitelerine erişim gerektiren uygulamalar artık daha geniş “siteler.read.lul” izinleri yerine ayrıntılı “siteler. Seçilmiş” izinler alıyor.
Bu anıtsal çaba, Microsoft’un çeşitli ürün ekiplerinde 200’den fazla mühendisle uğraştı ve şirketin kapsamlı güvenlik dönüşümüne olan bağlılığını gösterdi.
Girişim ayrıca, Microsoft 365 uygulamalarında kalan yüksek pratik erişimi tanımlamak ve raporlamak için standartlaştırılmış izleme sistemlerinin uygulanmasını ve yeni güvenlik standartlarına sürekli uyum sağlamayı da içeriyordu.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi