Olay müdahalesi (IR) zamana karşı bir yarıştır. Kötü bir şeyin olduğuna dair yeterli kanıt olduğu için dahili veya harici ekibinizle iletişime geçersiniz, ancak kapsam, etki ve temel neden konusunda hala körsünüz. Ortak IR araçları ve uygulamaları seti, IR ekiplerine kötü amaçlı dosyaları ve giden ağ bağlantılarını keşfetme yeteneği sağlar. Ancak kimlik konusu, yani ağınıza yayılmak için kullanılan, güvenliği ihlal edilmiş kullanıcı hesaplarının tespit edilmesi ne yazık ki göz ardı ediliyor. Bu görevin IR ekipleri için en fazla zaman harcayan görev olduğu ortaya çıktı ve saldırganların hala hasar verebilecekleri değerli zamanı kazanmalarına olanak tanıyan zorlu, zorlu bir savaş haline geldi.
Bu makalede, IR kör noktalarının kimliğinin temel nedenini analiz ediyoruz ve hızlı ve verimli bir süreç için engelleyici olarak görev yaptığı örnek IR senaryolarını sunuyoruz. Daha sonra Silverfort’un Birleşik Kimlik Koruma Platformunu tanıtıyoruz ve gerçek zamanlı MFA ile kimlik segmentasyonunun bu kör noktanın üstesinden nasıl gelebileceğini ve kontrol altına alınan bir olay ile maliyetli bir ihlal arasındaki farkı nasıl yaratabileceğini gösteriyoruz.
IR 101: Bilgi Güçtür. Zaman Herşeydir
Bir IR sürecinin tetiklenmesi milyonlarca şekilde olabilir. Hepsinin ortak bir benzerliği var, öyle düşünüyorsunuz, hatta bundan eminsiniz: bir şey yanlış ama tam olarak bilmiyorsun Ne, NeresiVe Nasıl. Şanslıysanız ekibiniz tehdidi içeride hâlâ güç toplarken ancak kötü niyetli hedefini henüz gerçekleştirmemişken fark etti. Eğer öyleysen Olumsuz O kadar şanslısınız ki, düşman varlığının ancak etkisi ortaya çıktıktan sonra farkına varıyorsunuz (şifrelenmiş makineler, eksik veriler ve diğer her türlü kötü amaçlı etkinlik).
Öyle ya da böyle, IR işlemeye başladığında en acil görev, karanlığı ortadan kaldırmak ve ortamınızdaki tehlikeye atılmış varlıklar hakkında net bilgiler elde etmektir. Bulunup doğrulandıktan sonra, makineleri karantinaya alarak, giden trafiği engelleyerek, kötü amaçlı dosyaları kaldırarak ve kullanıcı hesaplarını sıfırlayarak saldırıları kontrol altına alacak adımlar atılabilir.
Aslına bakılırsa, son görev, güvenliği ihlal edilmiş kullanıcı hesaplarıyla uğraşırken önemsiz olmaktan çok uzaktır ve henüz çözülmemiş bir zorluğu beraberinde getirir. Bunun neden olduğunu anlayalım.
Kimlik IR Boşluğu #1: Güvenliği Tehlikeye Girmiş Hesapları Tespit Etmek İçin Başucu Kitabı Hareketi Yok
Kötü amaçlı yazılım dosyalarından veya kötü amaçlı giden ağ bağlantılarından farklı olarak, Güvenliği ihlal edilmiş bir hesap aslında kötü amaçlı hiçbir şey yapmaz; yalnızca normal bir hesabın yaptığı gibi kaynaklarda oturum açar. Günlük olarak birden fazla iş istasyonuna ve sunucuya erişen bir yönetici hesabıysa (birçok saldırıda durum böyledir), yanal hareketi anormal bile görünmeyecektir.
Silverfort platformunun Olay Müdahale yetenekleri hakkında daha fazla bilgi edinmek ister misiniz? Bugün bir demo planlayın!
Sonuç olarak ele geçirilen hesabın keşfi yalnızca gerçekleşir sonrasında güvenliği ihlal edilmiş makineler bulunur ve karantinaya alınır ve o zaman bile, orada kayıtlı tüm hesapların manuel olarak kontrol edilmesi gerekir. Ve yine, zamana karşı yarışırken manuel ve hataya açık incelemelere bağımlılık kritik bir gecikmeye neden olur.
Kimlik IR Boşluğu #2: Saldırıyı Hemen Kontrol Altına Alacak ve Daha Fazla Yayılmasını Önleyecek Başucu Kitabı Hareketi Yok
Gerçek hayatta olduğu gibi, tam tedaviden önce gelen acil ilk yardım aşaması vardır. IR dünyasındaki eşdeğeri, saldırıyı mevcut sınırları içinde tutmak ve aktif bileşenleri keşfedilmeden önce bile daha fazla yayılmamasını sağlamaktır. Ağ düzeyinde bu, potansiyel olarak kötü amaçlı etkinlik barındıran bölümlerin henüz güvenliği ihlal edilmemiş olanlardan geçici olarak izole edilmesiyle yapılır. Uç nokta düzeyinde bu, kötü amaçlı yazılımın bulunduğu makinelerin karantinaya alınmasıyla yapılır.
Burada yine kimlik boyutunun yetişmesi gerekiyor. Mevcut tek sınırlama, AD’deki kullanıcı hesabının devre dışı bırakılması veya parolasının sıfırlanmasıdır. İlk seçenek, özellikle yanlış pozitifler durumunda, yol açtığı operasyonel aksaklık nedeniyle hiçbir işlemin yapılmamasıdır. İkinci seçenek de iyi değil; Şüphelenilen hesap makineler arası bir hizmet hesabıysa, parolasının sıfırlanması büyük olasılıkla yönettiği kritik süreçleri bozacak ve saldırının neden olduğu zararın yanı sıra ek hasara yol açacaktır. Saldırganın kimlik altyapısını tehlikeye atmayı başarması halinde, parolanın sıfırlanması işlemi başka bir hesaba geçilerek derhal ele alınacaktır.
Kimlik IR Boşluğu #3: Saldırıda Düşmanların Hedeflediği Açık Kimlik Saldırısı Yüzeylerini Azaltmak İçin Başucu Kitabı Hareketi Yok
Kimlik saldırısı yüzeyini kötü niyetli kimlik bilgileri erişimine, ayrıcalık yükseltmeye ve yanal harekete maruz bırakan zayıflıklar, güvenlik yığınındaki duruş ve hijyen ürünleri için kör noktalardır. Bu, Yİ ekibini, süreci önemli ölçüde hızlandırabilecek kritik uzlaşma belirtilerinden mahrum bırakır.
Öne çıkan örnekler arasında NTLM (veya daha da kötüsü NTLMv1) gibi güvenlik açığı bulunan kimlik doğrulama protokolleri, kısıtlanmamış yetkilendirmeyle ayarlanan hesaplar gibi yanlış yapılandırmalar, gölge yöneticiler, eski kullanıcılar ve çok daha fazlası yer alıyor. Düşmanlar, Karada Yaşamak rotasını çizerken bu zayıflıkların tadını çıkarıyor. Bu zayıflıkları içeren hesapları ve makineleri bulma, yeniden yapılandırma veya koruma konusundaki yetersizlik, IR’yi bir kedi sürüsüne dönüştürür; burada analist, Hesap A’nın ele geçirilip geçirilmediğini görmek için analiz yapmakla meşgulken, düşmanlar zaten tehlikeye atılmış Hesap B’den yararlanmaktadır.
Özetle: Alet Yok. Kısayol yok. Saldırı Tam Hızdayken Sadece Yavaş ve Manuel Günlük Analizi
Durum böyle: IR ekibinin, saldırganın ortamınıza yayılmak için kullandığı, ele geçirilen kullanıcı hesaplarının kim olduğunu nihayet keşfetmesi gerektiğinde. Bu kimsenin bahsetmediği bir sırdır ve IR süreci gerçekleşirken bile yanal hareket saldırılarının neden bu kadar başarılı ve kontrol altına alınmasının zor olduğunun gerçek temel nedenidir.
Silverfort’un çözdüğü zorluk budur.
IR Operasyonları için Silverfort Birleşik Kimlik Koruması
Silverfort’un Birleşik Kimlik Koruması platformu, şirket içi ve buluttaki kimlik altyapısıyla (Active Directory, Entra ID, Okta, Ping, vb.) entegre olur. Bu entegrasyon, Silverfort’un her türlü kimlik doğrulama ve erişim girişiminde tam görünürlüğe sahip olmasını, MFA veya erişim engelleme yoluyla kötü amaçlı erişimi önlemek için gerçek zamanlı erişim uygulamasını ve hizmet hesaplarının otomatik olarak keşfedilmesini ve korunmasını sağlar.
Bu yeteneklerin kimlik IR sürecini nasıl hızlandırdığını ve optimize ettiğini görelim:
MFA ile Ele Geçirilmiş Hesapların Sıfır Operasyonel Kesinti ile Tespiti
Silverfort, PsExec ve PowerShell gibi komut satırı araçları da dahil olmak üzere tüm AD kimlik doğrulamasında MFA korumasını zorunlu kılabilen tek çözümdür. Bu özellik sayesinde, tüm kullanıcı hesaplarının kimliklerini MFA ile doğrulamasını gerektiren tek bir politika, ele geçirilen tüm hesapları dakikalar içinde tespit edebilir.
Politika yapılandırıldıktan sonra akış basittir:
- Düşman, kötü niyetli erişimini sürdürmeye çalışır ve hesabın ele geçirilen kimlik bilgileriyle bir makinede oturum açar.
- Gerçek kullanıcıya MFA ile bilgi verilir ve belirtilen kaynağa erişim istediğini reddeder.
Hedef #1’e ulaşıldı: Artık bu hesabın ele geçirildiğine dair şüpheye yer bırakmayacak kanıtlar var.
Yan Not: Artık doğrulanmış, güvenliği ihlal edilmiş bir hesap olduğuna göre tek yapmamız gereken, Silverfort’un günlük ekranında bu hesabın oturum açtığı tüm makineleri filtrelemek.
Saldırıyı MFA ve Erişimi Engelleme Politikalarıyla Kontrol Altına Alın
Yukarıda tanımladığımız MFA politikası yalnızca hangi hesapların ele geçirildiğini tespit etmekle kalmaz, aynı zamandao saldırının daha fazla yayılmasını önlemek. Bu, IR ekibinin düşmanın dayanak noktasını olduğu yerde dondurmasına ve henüz tehlikeye atılmamış tüm kaynakların sağlam kalmasını sağlamasına olanak tanır.
Operasyonel Kesintiye Karşı Koruma Yeniden İncelendi: Hizmet Hesaplarını Yakınlaştırın
Tehdit aktörleri tarafından yoğun şekilde suistimal edildiğinden hizmet hesaplarına özel dikkat gösterilmelidir. Bu makineler arası hesaplar, bir insan kullanıcıyla ilişkili değildir ve MFA korumasına tabi olamaz.
Ancak Silverfort bu hesapları otomatik olarak keşfediyor ve tekrarlayan davranış kalıpları hakkında fikir sahibi oluyor. Bu görünürlük sayesinde Silverfort, bir hizmet hesabı davranışından saptığında erişimi engelleyen politikaların yapılandırılmasına olanak tanır. Bu sayede, standart hizmet hesabının tüm faaliyetleri kesintiye uğramazken, kötü niyetli her türlü kötüye kullanım girişimi de engelleniyor.
Hedef #2’ye ulaşıldı: Saldırı kontrol altına alınır ve IR ekibi hızla soruşturmaya geçebilir
Kimlik Saldırı Yüzeyinde Açığa Çıkan Zayıflıkların Ortadan Kaldırılması
Silverfort’un ortamdaki tüm kimlik doğrulama ve erişim girişimlerine ilişkin görünürlüğü, saldırganların faydalandığı ortak zayıflıkları keşfetmesine ve azaltmasına olanak tanır. İşte birkaç örnek:
- Tüm gölge yöneticiler için MFA ilkelerini ayarlama
- Herhangi bir NTLMv1 kimlik doğrulaması için erişim engelleme politikalarını ayarlama
- Ön kimlik doğrulama olmadan yapılandırılmış tüm hesapları keşfedin
- Kısıtlanmamış yetkilendirmeyle yapılandırılmış tüm hesapları keşfedin
Bu saldırı yüzeyinin azaltılması genellikle ilk ‘ilk yardım’ aşamasında gerçekleşecektir.
Hedef #3’e ulaşıldı: Kimlik zayıflıkları azaltılır ve kötü niyetli yayılım için kullanılamaz.
Sonuç: Kimlik IR Yeteneklerini Kazanmak Zorunludur – Hazır Mısınız?
Ele geçirilen hesaplar, siber saldırıların %80’inden fazlasında önemli bir bileşen olup, saldırıya uğrama riski neredeyse kesindir. Güvenlik paydaşları, böyle bir saldırı gerçekleştiğinde verimli bir şekilde yanıt verebilme yeteneklerini sağlamak için bu hususu ele alabilecek IR araçlarına sahip olmaya yatırım yapmalıdır.
Silverfort platformunun IR yetenekleri hakkında daha fazla bilgi edinmek için uzmanlarımızdan biriyle iletişime geçerek hızlı bir demo planlayın.