Microsoft Active Directory (AD) şu anda büyük kuruluşların %90’ından fazlası tarafından kullanılmaktadır. Bir kuruluşun kaynaklarının ve operasyonlarının tamamı için kullanıcı kimlik doğrulamasını ve izinlerini kontrol eden kritik bir kimlik sistemi olan ‘krallığın anahtarları’ olarak işlev görür. Active Directory’nin sağladığı erişim düzeyi çok büyüktür ve şaşırtıcı olmayan bir şekilde bilgisayar korsanlarının favorisidir. Örnek olarak: Microsoft’un 2022 Dijital Savunma raporuna göre, fidye yazılımından etkilenen Microsoft müşterilerinin %88’i AD güvenliği için en iyi uygulamaları uygulamadı.
Geleneksel olarak güvenlik çevre temellidir, yani kötü adamlar binanın dışında, iyi adamlar ise içeridedir. Ancak bu artık işe yaramıyor; hibrit ortamların yaygınlığı göz önüne alındığında, çevreler fiilen artık mevcut değil. Bilgisayar korsanları en zayıf noktayı bulup yanal olarak yayıldığından, özellikle hibrit bir ortamda bir saldırıyı kontrol altına almak neredeyse imkansızdır.
Sıfır Güven yaklaşımı bu riskleri önemli ölçüde azaltmayı amaçlamaktadır. Sıfır Güven ile ‘içeride’ olanlara artık dolaylı olarak güvenilmiyor. Active Directory çoğu kuruluşta ‘kim kimdir’in temel sistemidir ve dolayısıyla büyük ölçekli saldırılarda yer alan birincil sistemdir. Bu, AD’nin herhangi bir Sıfır Güven stratejisinin temel bileşeni olması gerektiği anlamına gelir.
Aşağıda, Active Directory kullanarak Sıfır Güven yaklaşımını uygulamaya yönelik adım adım bir kılavuz özetlenmektedir.
Aşama 1: Değerlendirme
Öncelikle, hem bulutta hem de şirket içinde hangi sistemlere sahip olduğunuzu ve hangilerinin AD’nize güvendiğini değerlendirin. Bu, hesaplarınızın nerede olduğunu, farklı sistemlerin nasıl etkileşimde bulunduğunu, hem yönetim hem de iş uygulamaları için erişim protokollerini, kullanıcıların ve grupların nerede bulunduğunu ve izinlerin ve erişimin nasıl verildiğini değerlendirmeyi içerir. Kuruluşunuzun hangi kimlik doğrulama ve SSO platformlarını kullandığını anlamak da önemlidir. Değerlendirme aşamasının amacı, kimliklerinizin ve izinlerinizin nerede yaşadığına ve bunların nasıl ilişkili olduğuna dair net bir resim elde etmektir.
Aşama 2: Yönetişim
Yönetişim, sürekli izlenebilen ve değerlendirilebilen tekrarlanabilir süreçler oluşturmak için otomatik hesaplar ve izinlerin sağlanması ve yetkilendirmenin kaldırılması da dahil olmak üzere politikaların tanımlanmasını, geliştirilmesini, izlenmesini ve uygulanmasını gerektirir. Sıfır Güven bağlamında kimlik yönetimi, güveni örtük olmaktan ziyade açık hale getirir. Bu, bir kuruluşun, çalışanlarına iş rollerine dayalı olarak sistemlere ve verilere açıkça erişim izni vermesine olanak verirken, aşırı ayrıcalıklı erişimin önlenmesini ve bir çalışan rol değiştirdiğinde veya şirketten ayrıldığında erişimin otomatik olarak kaldırılmasını sağlar. Otomatik kimlik yönetimi yoluyla uygulanan, açıkça tanımlanmış yönetim modelleri, kuruluşların uyumluluk gereksinimlerini karşılamasına ve göstermesine de olanak tanır.
Aşama 3: Ayrıntılı Yetkilendirilmiş Yönetim
Active Directory, onlarca yıl önce, bugün artık geçerli olmayan, geçerli bir yönetici ayrıcalıkları modeli kullanılarak tasarlandı. Sıfır Güven’i uygulamak için, tüm yerel AD yönetim izinlerini kaldırmanız ve bunları, benzersiz durumlar için geçici tam zamanında erişim de dahil olmak üzere, belirli bir kapsamdaki belirli görevler için belirli personele verilen ayrıntılı izinlerle değiştirmeniz gerekir. Standart erişim ayrıcalıklarını ne kadar sınırlandırırsanız, saldırı yüzeyini de o kadar sınırlandırırsınız.
Aşama 4: Otomasyon
Otomasyon, manuel ve hataya açık idari süreçleri ve dolayısıyla bunlara erişim haklarının verilmesi ve yönetilmesi zorunluluğunu ortadan kaldırır. Süreçlerin otomatikleştirilmesi ve manuel adımların kaldırılmasıyla bireysel insanlara daha az güven verilir ve saldırı yüzeyi daha da azaltılır. Erişimin otomatikleştirilmesi, kuruluşunuzun yönetişim sürecini açıkça tanımlamanıza olanak tanıdığından, otomasyon aynı zamanda yönetimle de bağlantılıdır. Açık süreçler değerlendirilebilir, izlenebilir, gözden geçirilebilir ve uyumluluk denetçileriyle paylaşılabilir. Anormal davranışlar daha kolay tespit edilebilir.
Aşama 5: İzleme ve Tehdit Tespiti
Sistemi tasarladıktan sonra, olması gerektiği gibi çalıştığından emin olmanız gerekir. Planladığınız Sıfır Güven süreçlerinizin gerçekte nasıl çalıştığını izlemek, sürekli iyileştirmeler için tüm tehlike işaretlerini ve şüpheli davranışları yakalamanıza olanak tanır.
Tehdit tespiti, izlemeyi bir sonraki seviyeye taşıyarak kuruluşunuzun savunmasız olduğunu, güvenliğinin ihlal edildiğini veya saldırı altında olduğunu gösteren belirli davranışları ve kalıpları izlemenize olanak tanır. Buna parola püskürtme, Altın Bilet ve Gümüş Bilet saldırıları, değiştirilmiş yönetim erişimi, grup politikaları ve diğerleri gibi yaygın kimlik saldırıları dahildir. Tehdit tespiti, zaman içinde saldırı ve anormallik tespitine ince ayar yapmak için makine öğrenimini de kullanabilir.
Aşama 6: İyileşme
Kurtarma her zaman Sıfır Güveni uygulamanın bir parçası olarak görülmese de, işler ters gittiğinde bir plana ihtiyacınız vardır. AD düştüğünde her şey durma noktasına gelir. Çalışanlar AD aracılığıyla oturum açar ve genellikle iş kolları, muhasebe, pazarlama, ürün ve diğer departmanların yanı sıra yazıcılar, dosya paylaşımları ve diğer temel kaynaklar genelindeki tüm dizin özellikli uygulamaların yetkilendirmesini kontrol eder. Bir AD kesintisi, çalışanlar, müşteriler, iş ortakları ve tedarikçiler de dahil olmak üzere kuruluşunuza bağlı tüm tarafları etkiler. Bir saldırı meydana gelirse, hızlı bir şekilde çalışır duruma dönebilmeniz gerekir. AD’yi olabildiğince çabuk geri yüklemenizi sağlayacak bir kurtarma planı geliştirin.
Ek En İyi Uygulamalar
Active Directory için Sıfır Güven uygulamasında dikkate alınması gereken ek hususlar şunlardır:
- Kimlik doğrulama: Birden fazla başarısız MFA oturum açma girişimini izleme ve takip etme yeteneği de dahil olmak üzere, AD kaynaklarına erişim için MFA gibi kimlik doğrulama yöntemlerinin mevcut olduğundan emin olun.
- Olay müdahale planı: AD ortamında tespit edilen tüm güvenlik ihlallerine veya anormalliklere hızlı ve koordineli bir yanıt verilmesini sağlamak için Active Directory güvenlik olaylarına özel bir olay müdahale planı geliştirin. Bunu her gün otomatik bir şekilde test ettiğinizden emin olun ve bir saldırının kesintiye yol açması durumunda geri alma yeteneklerini hesaba katın.
- Uç noktalar: Çalışanların Active Directory hesaplarını cihazlarında kullanması nedeniyle uç noktaların ve cihazların da Sıfır Güven çerçevesinin parçası olması gerekir. Çalışanların cihazlarındaki yerel yönetim ayrıcalıklarını kaldırın ve merkezi ve otomatik cihaz koruma ve yönetim politikalarını uygulayın.
Active Directory, işletmelerin çoğunluğu için temel kimlik ve erişim yönetimi sistemidir. Bu nedenle mükemmel bir saldırı hedefidir; herhangi bir etkili Sıfır Güven stratejisinde ele alınması gereken kritik bir risk vektörüdür. Active Directory’nin güvenlik duruşu bir kuruluşun siber dayanıklılığını ve iş sürekliliğini doğrudan etkiler. Güçlü Sıfır Güven ilkelerinin Active Directory göz önünde bulundurularak uygulanması, kuruluşların temel BT altyapısını kimlik tabanlı saldırılara karşı korumasını sağlar. Sonuçta bu temel sistemin korunması her kuruluşun siber savunma stratejisinin temel taşı olmalıdır.
Dmitry Sotnikov hakkında
Dmitry Sotnikov, kuruluşların şirket içi Active Directory, hibrit AD, Entra ID, Office dahil olmak üzere Microsoft platformlarını güvenli bir şekilde yönetmesine, tehditleri veya şüpheli değişiklikleri sürekli izlemesine ve anında kurtarmasına olanak tanıyan tek birleşik çözümü sunan Cayosoft’ta Ürün Direktörüdür. 365 ve daha fazlası.
Dmitry, Cayosoft’un yazılım ürünlerinin vizyonuna, stratejisine, tasarımına ve sunumuna öncülük ederek, bunların pazar taleplerine uygun olmasını ve kullanıcılara eşsiz değer sunmasını sağlar. Yirmi yılı aşkın bir süredir kurumsal BT yazılımı, bulut bilişim ve güvenlik alanında çalışan Dmitry, Netwrix, 42Crunch, WSO2, Jelastic ve Quest Software gibi saygın kuruluşlarda önemli roller üstlendi. Akademik referansları arasında Bilgisayar Bilimleri ve Ekonomi alanında yüksek lisans dereceleri yer almakta olup, Stanford Üniversitesi İşletme Enstitüsü’nden Yönetici Eğitimi de tamamlanmaktadır. Dmitry, kurumsal çabalarının ötesinde, Kaliforniya Üniversitesi, Riverside Extension’da Danışma Kurulu’nda görev yapmaktadır ve Microsoft’tan art arda 11 MVP ödülüne layık görülmüştür.
Reklam