SaaS uygulamalarındaki kimlik tabanlı tehditler, güvenlik uzmanları arasında giderek artan bir endişe kaynağı haline geliyor; ancak bunları tespit edip yanıtlama becerisine sahip olan kişi sayısı oldukça az.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) göre, tüm siber saldırıların %90’ı kimlik tabanlı bir tehdit olan kimlik avıyla başlar. Çalınan kimlik bilgilerini, aşırı sağlanan hesapları ve içeriden gelen tehditleri kullanan saldırıları da hesaba katarsak, kimliğin birincil saldırı vektörü olduğu oldukça açık hale gelir.
Daha da kötüsü, hedef alınan sadece insan hesapları değil. Tehdit aktörleri ayrıca hizmet hesapları ve OAuth yetkilendirmeleri de dahil olmak üzere insan olmayan kimlikleri ele geçiriyor ve bunları SaaS uygulamalarının derinliklerine taşıyor.
Tehdit aktörleri ilk savunmaları aştığında, Kimlik Güvenliğinin ayrılmaz bir parçası olarak sağlam bir Kimlik Tehdit Algılama ve Yanıtlama (ITDR) sistemine sahip olmak büyük çaplı ihlalleri önleyebilir. Geçtiğimiz ayki Snowflake ihlali mükemmel bir örnektir. Tehdit aktörleri hesaba erişmek için tek faktörlü kimlik doğrulamasından yararlandı. İçeri girdikten sonra, şirket anlamlı bir tehdit algılama yeteneğinden yoksundu ve bu da tehdit aktörlerinin 560 milyondan fazla müşteri kaydını sızdırmasına olanak sağladı.
ITDR Nasıl Çalışır?
ITDR, SaaS tehditlerini tespit etmek için çeşitli öğeleri bir araya getirir. SaaS yığınındaki olayları izler ve bir tehdidi gösteren davranışsal anormallikleri belirlemek için oturum açma bilgilerini, cihaz verilerini ve kullanıcı davranışını kullanır. Her anormallik bir tehlike göstergesi (IOC) olarak kabul edilir ve bu IOC’ler önceden tanımlanmış bir eşiğe ulaştığında, ITDR bir uyarı tetikler.
Örneğin, bir yönetici alışılmadık miktarda veri indirirse, ITDR bunu bir IOC olarak değerlendirir. Ancak, indirme gecenin ortasında gerçekleşirse veya alışılmadık bir bilgisayarda gerçekleşirse, bu IOC’lerin birleşimi bir tehdit olarak değerlendirilebilir.
Benzer şekilde, bir kullanıcı kaba kuvvet oturum açma girişimlerinin ardından şüpheli bir ASN’den oturum açarsa, ITDR oturum açmayı bir tehdit olarak sınıflandırır ve bu da bir olay yanıtını tetikler. Birden fazla uygulamadan gelen zengin bir veri kümesini kullanarak, ITDR farklı uygulamalardan gelen verilere dayanarak tehditleri tespit edebilir. Bir kullanıcı aynı anda New York’tan bir uygulamada ve Paris’ten ikinci bir uygulamada oturum açarsa, ITDR tek bir uygulama için olay günlüklerini incelemekle sınırlıysa bu normal bir davranış olarak görünebilir. SaaS ITDR’nin gücü, SaaS yığınındaki verileri izlemekten gelir.
Adaptive Shield tarafından tespit edilen son bir ihlalde, tehdit aktörleri bir İK bordro sistemine sızdı ve birkaç çalışanın banka hesaplarının hesap numaralarını değiştirdi. Neyse ki, ITDR motorları anormal eylemleri tespit etti ve tehdit aktörlerine herhangi bir fon aktarılmadan önce hesap verileri düzeltildi.
Kimlik Tabanlı Riskleri Azaltma
Kuruluşların kimliğe dayalı tehditlere karşı risklerini azaltmak ve kimlik yapılarını güçlendirmek için atmaları gereken bazı adımlar vardır.
Çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) bu çabalarda kritik öneme sahiptir. İzin azaltma, en az ayrıcalık ilkesine (PoLP) uyma ve rol tabanlı erişim kontrolü (RBAC) de kullanıcı erişimini sınırlar ve saldırı yüzeyini azaltır.
Ne yazık ki, birçok kimlik yönetimi aracı yeterince kullanılmıyor. Kuruluşlar MFA’yı kapatıyor ve çoğu SaaS uygulaması, SSO’nun çökmesi durumunda yöneticilerin yerel oturum açma yeteneklerine sahip olmasını gerektiriyor.
Kimliğe dayalı ihlallerin riskini azaltmak için bazı proaktif kimlik yönetimi önlemleri şunlardır:
Hesaplarınızı Sınıflandırın
Yüksek riskli hesaplar genellikle birkaç kategoriye ayrılır. Güçlü kimlik yönetimi ve yönetimi oluşturmak için güvenlik ekipleri farklı kullanıcı türlerini sınıflandırarak başlamalıdır. Bunlar eski çalışanların hesapları, yüksek ayrıcalıklı hesaplar, hareketsiz hesaplar, insan olmayan hesaplar veya harici hesaplar olabilir.
1. Eski Çalışanların Yetkilendirmesini Kaldırın ve Hareketsiz Kullanıcı Hesaplarını Devre Dışı Bırakın
Eski çalışanların aktif hesapları kuruluşlar için önemli risklere yol açabilir. Birçok SaaS yöneticisi, bir çalışan Kimlik Sağlayıcı’dan (IdP) çıkarıldığında, erişiminin şirket SaaS uygulamalarından otomatik olarak kaldırıldığını varsayar.
Bu, IdP’ye bağlı SaaS uygulamaları için doğru olabilirken, birçok SaaS uygulaması bağlı değildir. Bu koşullarda, yöneticiler ve güvenlik ekipleri eski kullanıcıların yerel kimlik bilgilerini kaldırmak için birlikte çalışmalıdır.
Hareketsiz hesaplar mümkün olduğunca tanımlanmalı ve devre dışı bırakılmalıdır. Genellikle yöneticiler bu hesapları test yapmak veya uygulamayı kurmak için kullanırdı. Yüksek ayrıcalıklara sahiptirler ve kolayca hatırlanabilen bir parola ile birden fazla kullanıcı tarafından paylaşılırlar. Bu kullanıcı hesapları uygulama ve verileri için önemli bir risk oluşturur.
2. Harici Kullanıcıları İzleyin
Harici hesaplar da izlenmelidir. Genellikle ajanslara, ortaklara veya serbest çalışanlara verilen bu hesaplar, kuruluşun verilerine kimin eriştiği konusunda gerçek bir kontrole sahip değildir. Projeler sona erdiğinde, bu hesaplar genellikle aktif kalır ve uygulamayı tehlikeye atmak için kimlik bilgilerine sahip herkes tarafından kullanılabilir. Çoğu durumda, bu hesaplar da ayrıcalıklıdır.
3. Kullanıcı İzinlerini Düzenleyin
Daha önce de belirtildiği gibi, aşırı izinler saldırı yüzeyini genişletir. En az ayrıcalık ilkesini (POLP) uygulayarak, her kullanıcı yalnızca işini yapmak için ihtiyaç duyduğu uygulama içindeki alanlara ve verilere erişebilir. Yüksek ayrıcalıklı hesapların sayısını azaltmak, bir şirketin büyük bir ihlale maruz kalma riskini önemli ölçüde azaltır.
4. Ayrıcalıklı Hesaplar için Çekler Oluşturun
Yönetici hesapları yüksek risklidir. Tehlikeye atılırlarsa, kuruluşları önemli veri ihlallerine maruz bırakırlar.
Kullanıcılar şüpheli davrandığında uyarı gönderen güvenlik kontrolleri oluşturun. Şüpheli davranışa örnek olarak alışılmadık gece yarısı oturum açmaları, yurtdışından bir iş istasyonuna bağlanma veya büyük miktarda veri indirme verilebilir. Yüksek ayrıcalıklı kullanıcı hesapları oluşturan ancak bunları yönetilen bir e-posta adresine atamayan yöneticiler şüpheli olabilir.
Bu tür davranışları izleyen güvenlik kontrollerini tanımlamak, güvenlik ekibinize erken aşamadaki bir saldırıyı tespit etmede bir avantaj sağlayabilir.
Kimlik Tehdit Tespiti Öncelik Haline Getiriliyor
Daha hassas kurumsal bilgiler kimlik tabanlı bir çevrenin arkasına yerleştirildikçe, kuruluşların kimlik yapılarına öncelik vermeleri giderek daha önemli hale geliyor. Kimliğin etrafına yerleştirilen her güvenlik katmanı, tehdit aktörlerinin erişim sağlamasını daha da zorlaştırıyor.
İlk savunmaları aşan kişiler için, kimlik yapısının ayrılmaz bir parçası olarak sağlam bir ITDR sistemine sahip olmak, güvenliği sağlamak ve hassas verileri ifşadan korumak için olmazsa olmazdır. Etkin tehditleri belirler ve güvenlik ekiplerini uyarır veya tehdit aktörlerinin herhangi bir hasara yol açmasını önlemek için otomatik adımlar atar.
SaaS yığınınızdaki tehditleri tespit etme hakkında daha fazla bilgi edinin