Hizmet hesapları, makineden makineye etkileşimleri otomatikleştirmek için kullanılan insan olmayan kimliklerdir. Komut dosyalarını, hizmetleri ve web siteleri, API’ler ve veritabanları gibi uygulamaları çalıştırmak gibi kritik işlevleri destekler ve entegrasyonları kolaylaştırır, insanlara bir proxy olarak çalışır ve iş süreçlerini destekler.
İdeal bir dünyada, hizmet hesaplarının tek bir “işi” vardır, kaynaklara en az ayrıcalıklı erişim hakkı verilir ve kimlik güvenliği hijyeni en iyi uygulamaları göz önünde bulundurularak izlenir ve yönetilir. Bu ütopyada, tehdit aktörleri ve veri ihlalleri yoktur.
Ancak gerçek dünya bu. Hizmet hesapları genellikle aşırı ayrıcalıklı, unutulmuş ve uygun parola güvenlik protokollerinden yoksundur. Bu bir zamanlar üretken olan hizmet hesaplarından bazıları zamanla uykuda kalır ve bu da onları tehdit aktörleri için uygun hedefler haline getirir.
Hizmet hesaplarının hareketsiz kalmasına ne sebep olur?
Hareketsiz hesaplar etkin olmayan hizmet hesaplarıdır. Bir hizmet hesabının hareketsiz olarak kabul edilmesi için evrensel olarak kabul edilmiş tek bir zaman çerçevesi olmasa da, genellikle 90 günlük hareketsizlik tanımın uygulanmaya başladığı zamandır. Hizmet hesabı 90 gün sonra işlemleri gerçekleştirmek veya sistemlere erişmek için kullanılmamışsa veya kullanımdan kaldırılmış uygulamalarla veya hizmetlerle ilişkilendirilmişse, hareketsiz olarak kabul edilirler.
Hareketsiz hizmet hesaplarının diğer parametreleri arasında artık ihtiyaç duyulmayan hesaba atanmış güncel olmayan izinler veya roller bulunur. İşlevleri daha yeni hesaplarla değiştirilmiş yedek hizmet hesapları da hareketsiz olarak kabul edilir. Son olarak, hizmet hesaplarının amacını, erişim zincirlerini takip etmek ve parolaları yönetmek ve güncellemek için tanımlanmış bir sahibin olmaması da onları hareketsiz hale getirir.
Hareketsiz hizmet hesapları saldırganlar için nasıl görünmez anahtarlara dönüşür?
Bu görünüşte “ölü” hesaplar, kolayca istismar edilebildikleri için dünya çapında her sektördeki kuruluşları rahatsız eder. Hareketsiz hesaplar fark edilmez ve kuruluşları erişim ayrıcalıklarından, bağlandıkları sistemlerden, bunlara nasıl erişileceğinden ve hatta varoluş amaçlarından habersiz bırakır.
Yükseltilmiş ayrıcalıkları, gevşek güvenlik önlemleri ve görünmezlikleri, hareketsiz hizmet hesaplarını sızma için birincil hedefler haline getirir. Saldırganlar, böyle bir hesabı tehlikeye atarak, genellikle uzun süreler boyunca anında şüphe uyandırmadan sistemlere ve hassas verilere önemli erişim elde edebilirler. Bu süre zarfında, siber suçlular ayrıcalıkları yükseltebilir, verileri sızdırabilir, işlemleri aksatabilir ve kötü amaçlı yazılımlar ve arka kapılar yükleyerek çok geç olana kadar tamamen fark edilmeden tam bir kargaşaya neden olabilir.
Hareketsiz hesapların başına bela olan zayıflıklar, bunların bir organizasyonun sistemine kapılar açmasına neden olur. Tehlikeye atılırsa, aşırı ayrıcalıklı hareketsiz bir hesap, müşteri PII, PHI, fikri mülkiyet ve finansal kayıtlar gibi hassas verilere yol açabilir ve bu da maliyetli ve zararlı veri ihlallerine yol açabilir.
İhlal edilmese bile, hareketsiz hesaplar önemli yükümlülüklerdir ve potansiyel olarak operasyonel kesintilere ve düzenleyici uyumluluk ihlallerine neden olurlar. Düzenleyiciler tarihsel olarak kimliği kullanıcılarla ilişkilendirmiştir ve bu da insan hesaplarını güvence altına almak için tasarlanmış çok sayıda aracın geliştirilmesine yol açmıştır. Örneğin, MFA kullanıcı hesapları için sağlam bir güvenlik yöntemidir. Ancak, MFA hizmet hesaplarına uygulanamaz; otomatik botlar olarak kimliklerini kanıtlayamazlar.
Yüksek düzeyde düzenlenen sektörlerde, aşırı ayrıcalıklı hareketsiz hesaplar uyumsuzluğa yol açarak yasal sonuçlara, itibar kaybına ve önemli para cezalarına neden olabilir.
Güvenlik algısının modern yöntemlere kaydırılması
Geleneksel olarak, güvenlik uygulayıcıları tehdit aktörleri için ana giriş noktasının çevre olduğunu varsaymışlardır; ancak siber tehditlerin yaygınlaşması ve büyümesi ile teknolojideki hızlı ilerlemeler, çok sayıda yeni saldırı vektörü yaratmıştır.
Bunu ele almak için, siber güvenliğin farklı yönlerini ele almaya odaklanmış 3.500’den fazla satıcı bulunmaktadır. Güvenlik uygulayıcıları, kuruluşlarını korumak ve en son değişiklikler ve gelişmelerle güncel kalmak için çeşitli araçları ve teknolojileri bir araya getirme gibi zorlu bir göreve sahiptir.
Ancak, profesyonellerin saldırganların zaten sistemde olduğunu varsaymasını gerektiren yeni bir gerçeklikte yaşıyoruz. Bu bakış açısı değişikliği, işletmelerin uykuda olan hizmet hesapları gibi iç zayıf noktalarını ele alarak olası saldırılara daha iyi hazırlanmalarını sağlar.
Çoğu kuruluş şu anda hem insan hem de insan olmayan (hizmet) kimliklerdeki anormal aktiviteleri tespit etmek için statik kimlik zaafiyeti çözümlerine güvense de, bu araçlar genellikle yetersiz kalmaktadır. Bunlar yalnızca geçerli davranışın anlık görüntüsünü sağlar ve zaman içindeki değişiklikleri izleme yeteneğinden yoksun, hareketsiz hesapları hesaba katmaz.
Kritik ilk adım, ilişkili hizmetleri ve ayrıcalıklarıyla birlikte hareketsiz hesapları keşfetmektir. Davranışsal izleme ve akış yeteneklerine sahip modern bir kimlik güvenliği çözümü uygulamak, kuruluşların hem insan hem de makine hesaplarını bulmasını ve faaliyetleri hakkında gerçek zamanlı güncellemeler almasını sağlayarak anormal davranışların sürekli izlenmesine ve tespitine olanak tanır.