Microsoft, daha geniş Güvenli Gelecek Girişiminin (SFI) bir parçası olarak, tüm uygulamalarda yüksek ayrıcalıklı erişimi (HPA) sistematik olarak ortadan kaldırarak Microsoft 365 ekosisteminin güvenliğini artırmada önemli bir adım attı.
Bu girişim, siber güvenlik korumalarını geliştirmek için şirketin altyapısı, ürünleri ve hizmetleri üzerindeki çabaları entegre eder ve Koruma Kiracılarına özel bir vurgu ve üretim sistemleri sütunu izole eder.
HPA, teknik olarak bir uygulamanın veya hizmetin geniş, hizmet-hizmetten hizmete (S2S) etkileşimleri gibi kullanıcı bağlamı doğrulaması gerekmeden müşteri içeriğine taklit eden erişim kazandığı senaryolar olarak tanımlanır.
Siber Güvenliği Geliştirme
Örneğin, Uygulama B, API’larda API’larda API’larda depolanan müşteri verilerine erişirse, HPA’yı örneklendirir, potansiyel olarak kimlik varsayımını mümkün kılar ve hizmet uzlaşmaları, kimlik bilgisi sızıntıları veya token maruziyetleri gibi riskleri güçlendirir.
Microsoft, sürekli en az ayrıcalık ilkelerini uygulayarak, Microsoft 365 içindeki tüm başvurular arası iletişimlerin, kullanıcı delege olmayan senaryolarda bile bu güvenlik açıklarını hafifleterek gerekli izinlere bağlı olmasını sağlar.
Bu yaklaşım sadece kritik iş iş akışlarını korumakla kalmaz, aynı zamanda potansiyel müdahalelerin titiz kimlik doğrulama protokolleri yoluyla önleyici olarak ele alındığı bir ‘Vars Eşleştir’ zihniyeti ile de hizalanır.
Dahili dönüşümler
Dahili olarak, Microsoft, tüm Microsoft 365 uygulamalarının kapsamlı bir denetimi ve S2S kaynak sağlayıcıları ile etkileşimlerini gerçekleştirerek HPA kalıplarını kolaylaştıran eski kimlik doğrulama mekanizmalarının kullanımdan kaldırılmasına yol açtı.
Mühendisler, granüler erişim kontrollerini desteklemek için mimarileri yeniden yapılandırarak modern, güvenli protokollerin benimsenmesini hızlandırdı.
Örneğin, ‘sites.read.l’ gibi geniş izinler yerine, uygulamalar artık belirli SharePoint sitelerini okumak için ‘Siteler. Seçilmiş’ gibi hassas kapsamlarla sınırlıdır ve müşteri senaryolarını bozmadan en az müstehcen uygulama sağlar.
Bu anıtsal çaba 200’den fazla mühendis içeriyordu ve 1.000’den fazla HPA vakasını başarıyla azalttı.
Ek olarak, sürekli görünürlük ve hızlı iyileştirme yetenekleri sağlayarak, kalıntı yüksek pratik erişimleri tespit etmek ve raporlamak için standartlaştırılmış izleme sistemleri dağıtılmıştır.
Rapora göre, bu değişiklikler, Microsoft’un birbirine bağlı ortamlarda saldırı yüzeylerini azaltma taahhüdünün altını çizmektedir, burada uygulamaların değer sağlamak için sorunsuz bir şekilde etkileşime girmesi gerekmektedir.
Microsoft’un gelişmiş güvenlik duruşunu yansıtmak için kuruluşlara, uygulama izinlerini yönetmek için sağlam bir onay çerçevesi sunan Microsoft 365’in yerel araçlarından ve Microsoft Entra Kimlik Platformundan yararlanmaları tavsiye edilir.
Temel uygulamalar, kullanılmayan veya aşırı izinleri iptal etmek için mevcut uygulamaların denetlenmesi, içerik erişim talepleri için insan rızasını zorunlu kılmak ve uygulamaların yalnızca imzalı bir kullanıcının kapsamı içinde hareket etmesine izin veren delege izinlerin önceliklenmesi yer alır.
Geliştiriciler, en az ayrıcalık ilkelerini en baştan yerleştirmeli, periyodik incelemeler için katı denetim kontrolleri uygulamak uyum sağlar.
Bu önlemleri benimseyerek, işletmeler HPA ile ilişkili riskleri önemli ölçüde azaltabilir ve daha esnek bir dijital ekosistem teşvik edebilir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.