Carolyn Crandall, Baş Güvenlik Avukatı, Attivo Networks
Bazen organizasyonlar içeriden değişirken, diğer zamanlarda değişim onlara dayatılır ve hızlıdır. COVID-19 salgını, o “diğer zamanlardan” birinin mükemmel bir örneğidir. Değişimin, özellikle BT altyapıları için son iki yılda olduğundan daha hızlı ve beklenmedik bir şekilde kuruluşlara dayatıldığı bir durumu hayal etmek zor olurdu. Uzaktan çalışmaya büyük geçiş, sayısız işletmenin iş kesintisinden kurtulmasına yardımcı oldu, ancak bunun bir bedeli vardı. En ileri görüşlü kuruluşlar bile güvenlik modellerini uygularken yaygın uzaktan erişimi dikkate almadı.
Kişisel bilgisayarlar ve telefonlar, güvenli olmayan modemler ve yönlendiriciler ve diğer cihazlar dahil olmak üzere, güvenliği zayıf uç nokta cihazlarının büyük ölçüde çoğalması, daha fazla uç nokta güvenliği ihtiyacını ön plana çıkardı. Tipik olarak bu, uç nokta algılama ve yanıt (EDR) çözümlerine dönüş anlamına geliyordu, ancak EDR’ye yönelik geleneksel yaklaşımlar artık yeterli değil. Günümüzün saldırganları, kimlik tabanlı saldırılar kullanarak uç noktadan kaçıyor ve kuruluşların uç nokta güvenliğine yönelik yaklaşımlarını yeniden düşünmelerini gerektiriyor. Kuruluşlar, EDR çözümlerini, günümüzün kimlik tabanlı tehditleriyle mücadele etmek için gereken korumayı sağlayabilen kimlik tehdidi algılama ve yanıt (ITDR) araçlarıyla tamamlamalı veya yükseltmelidir.
Kimlik Tabanlı Saldırılar Artmaya Devam Ediyor
Saldırganlar, kimlik tabanlı saldırı yöntemlerini kullanmanın geleneksel çevre savunmalarını atlatmayı ve kurumsal ağlara doğrudan erişmeyi kolaylaştırdığını biliyor. Ve ne yazık ki, kimlik bilgisi hırsızlığının, saldırganların bu kimlikleri ele geçirmesinin kolay bir yolu olduğu kanıtlanmıştır. En son Verizon Veri İhlali Araştırmaları Raporu (DBIR), artık saldırıların %61’inde şaşırtıcı bir şekilde kimlik bilgisi verilerinin bulunduğunu ve saldırganların bunlara erişme kolaylığını vurguladığını gösteriyor. Çok fazla kuruluş, kimlik bilgilerini uç noktalarda açıkta bırakarak onları ve erişime sahip oldukları sistemleri tehlikeli derecede savunmasız hale getirir.
Ne yazık ki, EDR ve Kimlik ve Erişim Yönetimi (IAM) sistemlerinde bile kimlik bilgilerinin, ayrıcalıkların ve bunları yöneten sistemlerin korunmasında boşluklar vardır. Sadece kimlik bilgilerine dayalı saldırıları tespit etmek için tasarlanmamışlardır. Dahası, kullanımdaki kimliklerin sayısı artmaya devam ettikçe ve bu kimliklerin izinlerine ilişkin yeterli görünürlük elde etmek her zaman kolay değildir. Kimliklere doğru erişim düzeyini atamak, büyük ölçekte zorlayıcı olabilir ve bu da, iş akışı kesintilerini önlemek için gerekenden fazla erişim sağlanmasına veya gerekenden daha fazla erişim verilmesine yol açabilir. Bir yandan bu, kimliklerin ihtiyaç duydukları verilere erişimde nadiren sorun yaşamalarını sağlar. Öte yandan, bir kimliği tehlikeye atan bir saldırgan, normalde olduğundan çok daha fazla veriye erişebilir.
Elbette, saldırganlar güvenliği ihlal edilmiş tek bir kimlikte durmazlar. Ağa girdikten sonra yanal olarak hareket edecekler ve ayrıcalıklarını yükseltmeye, keşif yapmaya ve diğer saldırı faaliyetlerini gerçekleştirmeye çalışacaklar. Çoğu saldırgan, hedeflerine ulaşmak için Active Directory’yi (AD) hedefler. AD, Global Fortune 1000 kuruluşlarının kabaca %90’ı için birincil kimlik hizmeti olarak hizmet ettiğinden ve kuruluş genelinde kimlik doğrulamayı ele aldığından, saldırılarını artırmak isteyen saldırganlar bunu yüksek değerli bir hedef olarak görüyor. Düşmanlar AD’yi tehlikeye atabilirse, onları ağdan kaldırmak son derece zor hale gelir. Uç noktaları ve buna bağlı olarak kimlikleri korumak, bunun olmasını önlemek için çok önemlidir.
Uç Nokta Güvenliğini Yeniden Düşünmek
Uç noktalar ve kimlikler arasındaki çizgi, bulut hizmetlerinin ortaya çıkması ve her türlü net tanımlamayı ortadan kaldıran insan dışı kimliklerin çoğalmasıyla bulanıklaştı. Buluttaki bir sanal makine hem bir uç nokta hem de bir kimlik olabilir; sonuçta, belirli verilere ve ağın alanlarına erişmesine izin veren izinlere ve yetkilere sahiptir. Bu durum, saldırganlar için yeni bir fırsat sunar ve savunucuları kimlik güvenliğini düşündükleri gibi uç nokta güvenliğini düşünmeye zorlar.
Uç noktaların güvenliğini sağlamak görünürlükle başlar. Kuruluşların, artık veya yinelenen kimlik bilgileri, ayrıcalıklı hesaplar vb. dahil olmak üzere uç noktalarda açıkta kalan tüm kimlik varlıklarının görünürlüğüne ihtiyacı vardır. Savunanlar, kullanıcı, cihaz ve etki alanı denetleyicisi yanlış yapılandırmaları ve güvenlik açıklarıyla ilgili riskleri kolayca göremedikleri veya anlayamadıkları zaman kimlikleri koruyamazlar. Uç noktadan Active Directory’ye ve kritik sunuculara olası saldırı yollarını belirlemek de önemlidir. Son noktayı tehlikeye atan riskler ve diğer güvenlik açıkları hakkında iyi bir fikre sahip olduklarında, kuruluş iyileştirme sürecine başlayabilir.
Savunucular daha sonra kimlik bilgilerinin korunmasına öncelik vermelidir. Kimlik bilgisi hırsızlığını önlemek günümüzün tehdit ortamında çok önemlidir ve kuruluşlar, saldırganların bunları çalmasını ve kullanmasını zorlaştırmak için kimlik bilgilerini uygulamalara bağlamak gibi adımlar atabilir. Savunucular ayrıca proaktif olabilir ve saldırganları onları çalmaları için kandırmak için ağ uç noktalarına yanlış kimlik bilgileri yerleştirebilir. Bir saldırgan bir dizi aldatıcı kimlik bilgisi kullanmaya çalıştığında, sistem bunu saldırgan etkinliği olarak işaretleyebilir ve savunucuları gerçek zamanlı olarak bilgilendirebilir. Kuruluşlar, sahte kimlik bilgilerinin tohumlanmasına ek olarak, gerçek kimlik bilgilerini gizlemek için adımlar atabilir ve bu da onları saldırganlara görünmez hale getirebilir. Savunucuların göremediklerini koruyamadıkları gibi, saldırganlar da göremediklerini çalamazlar. Ve geçerli bir kimlikten ödün veremezlerse, uç noktadan ayrılmayı ve saldırılarını artırmayı çok daha zor bulacaklardır.
Uç Nokta ve Kimlik Güvenliğini Bir Araya Getirme
Kuruluşlar, EDR araçlarını tamamlamak ve kimlik bilgisi hırsızlığı, kimlik bilgilerinin kötüye kullanımı, ayrıcalık yükseltme ve geleneksel uç nokta güvenlik çözümlerinin yönetmek için tasarlanmadığı diğer saldırı etkinliklerini ele alma becerisi sağlamak için giderek daha fazla ITDR çözümlerini uyguluyor. Bu çözümler birlikte, savunucuların uç noktada potansiyel güvenlik açıklarını belirlemelerine yardımcı olurken, toplu hesap veya parola değişiklikleri, kaba kuvvet saldırıları, devre dışı bırakılmış hesapların kullanımı ve daha fazlası gibi şüpheli etkinlikleri belirlemek için gerçek zamanlı algılama özellikleri ekler. Rakipleri çekmek için tasarlanmış sahte kimlik bilgilerini yerleştirirken geçerli kimlik bilgilerini gizleme yeteneği, saldırganların uç noktadan ayrılmasını ve Active Directory’ye erişmesini zorlaştırmak için tasarlanmış yeni bir savunma katmanı ekler. Günümüzün kuruluşları, uç nokta güvenliğine yönelik yaklaşımlarını yeniden düşünerek ve bunu kimlik tabanlı çözümlerle bütünleştirerek, günümüzün en yaygın ve kaçamak saldırılarından bazılarına karşı savunmalarını güçlendirebilirler.
yazar hakkında
Carolyn Crandall, özerk bir siber güvenlik platformu şirketi olan SentinelOne’ın stratejik danışmanıdır. SentinelOne’dan önce Carolyn, Attivo Networks’te Baş Güvenlik Avukatı ve CMO olarak görev yaptı. Yeni pazarlar ve başarılı kurumsal altyapı şirketleri oluşturma konusunda 30 yılı aşkın deneyime sahip, yüksek etkili bir teknoloji yöneticisidir. Şirketleri halka arz öncesinden milyarlarca dolarlık satışlara taşıma konusunda kanıtlanmış bir sicili var ve Cisco, Juniper Networks, Nimble Storage, Riverbed ve Seagate’de liderlik pozisyonlarında bulundu.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserinden izin almadan sınırlı olarak yararlanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.