Dijital dönüşümün ayak izlerini takip ederek iş akışlarını elektronik ortama taşıyan iş dünyası aktörlerinin siber güvenlik sorunlarıyla karşılaşmaları da kaçınılmaz hale geliyor. Özellikle iyi yapılandırılmamış siber güvenlik protokollerine sahip olanlar, bir başka deyişle en az ayrıcalık ve sıfır güven (zero trust) ilkelerini uygulamayanlar siber saldırı vektörleri için son derece kolay hedeflere dönüşüyor.
Açık birer hedefe dönüşme sürecinde kuruluşları en çok tehdit eden ve buna bağlı olarak da yüksek maliyetli zararlara sebep olan saldırı unsuru ise ayrıcalıkların kötüye kullanımı durumunun ardında yatıyor. BT ağınızdaki hangi kullanıcılara, hangi ayrıcalık ve erişim yetkilerinin verileceğinin doğru planlanmaması sizi bilgisayar korsanları için müthiş bir para kaynağı konumuna getiriyor.
Veri odaklı siber saldırıların %80’inin kuruluşların aktif ve eski çalışanları tarafından gerçekleştirildiği düşünüldüğünde gerekenin üzerinde ayrıcalık ve erişim izni tanınmasının neden ciddi sorunlar yaratabileceği daha iyi anlaşılabilir. Ayrıca aşırı ayrıcalık verilmesi kadar, zamanında iptal edilmeyen erişim izinleri ve yetkilendirmelerin de kötü niyetli eylemleri kolaylaştırdığını not düşmekte yarar var.
Peki BT ağı içindeki ayrıcalıklı kullanımların bir siber saldırgan tarafından saldırı vektörü oluşturmak için kullanılmaması için ne yapmanız gerekiyor?
Ayrıcalıkların kötüye kullanımı (privilege misuse), kuruluşların sahip olduğu veri yığınlarına erişmek, gizli ticari varlıkları ele geçirmek, kişisel verileri çalmak ve bunlardan yarar sağlayarak hem kazanç elde etmek hem de kuruluşlara zarar vermek amacıyla sistemdeki ayrıcalıklı bir hesabı kullanarak BT ağına sızma eylemi olarak tanımlanabilir.
BT ağı içinde kimliği doğrulanmış tüm hesaplara standart yetkiler verilir. Bu yetkilere sahip kullanıcılar standart hesaplardır. Ayrıcalıklı hesaplar ise standart hesapların üzerinde yetki ve erişime sahip hesaplardır. Bu yetki ve erişim çerçevesi kuruluşlar arasında ve kuruluşların hiyerarşik yapısı içinde farklılık gösterebilir.
Ayrıcalıklı hesaplar ve bu hesaplardaki yetkinin kötüye kullanımı (privilege misuse) önemli konulardan biri de kimlik bilgileridir. Zira ayrıcalıklı hesaplar çoğunlukla kimlik bilgilerine bağlıdır ve hackerlar bu hesaplara yönelik saldırı düzenlediklerinde kimlik bilgileri de tehlikeye girer. Nitekim Verizon tarafından hazırlanan Data Breach Investigation Report 2020 isimli çalışmaya göre kimlik bilgilerinin çalınması, veri ihlali vakalarında en yaygın şekilde kullanılan ikinci yöntemdir. Raporda ayrıcalıklı hesapların kötüye kullanımı ile ilgili ihlallerin %80’ine kayıp ya da çalıntı kimlik bilgilerinin yol açtığı belirtiliyor.
Yetkili kullanıcıların ayrıcalıkları kötüye kullanması birkaç farklı senaryo üzerinden gerçekleşebilir. Yetkili bir kullanıcı, aşağıda yer alan senaryolardan herhangi birinden hareketle BT ağınızın veri güvenliği ilkelerini ihlal ederek kritik veri yığınlarını ele geçirebilir. Fakat bunu yapabilmesi için tüm senaryolarda yeterli ayrıcalıklara sahip olması gerekir
Yukarıdaki senaryolardan en sık kullanılanı hesap manipülasyonudur. Bir siber saldırgan erişim güvenliği ihlali yaratmak ve hassas verilere ulaşmak için sadece yönetici kimlik bilgisine sahip kullanıcıların yapabileceği bir işlemi, Active Directory’deki ayarları değiştirerek sisteme sızdığı ayrıcalıklı hesabın da yapabileceği duruma getirebilir.
Öte yandan siber saldırganlar, yetkili hesaplar üzerinden gerçekleştirdikleri saldırılarda genelde sistemde kötü amaçlı yazılım çalıştırma hedefiyle hareket eder. Kötü amaçlı yazılım çalıştırma girişimi ise BT altyapıları ve sistemleri için ciddi bir tehdit unsurudur. Zira kuruluşun tüm iş akışının sekteye uğramasına sebep olacağı için hem maddi zarar yaratır hem de müşteri ilişkilerinde olumsuz durumlar ortaya çıkarır.
Aşağıda kuruluşun bünyesinde yer alan bir iç tehdit unsurunun ayrıcalıklı hesaplara ait kimlik bilgilerine erişmek için uygulayabileceği yöntemlerin listesini bulabilirsiniz. İç tehditler genelde bu yolları izleyerek kritik verileri ele geçirir.
2022 Verizon DBIR ayrıcalıkların kötüye kullanımı konusunda çarpıcı veriler ortaya koyuyor. Raporda 173 toplam vaka dikkat çekerken bu vakaların 137’si onaylanmış veri ihlallerinden oluşuyor. 2021’deki ihlallerden hareketle oluşturulan raporda privilege misuse, 137 onaylanmış ihlalle 61 onaylanmış ihlal kaydı bulunan çalıntı varlıkların önünde yer alıyor. Öte yandan ayrıcalıkların kötüye kullanımının büyük bir parçası olduğu sisteme izinsiz giriş ise doğrulanmış 1545 veri ihlali vakasıyla 2021’in lideri konumunda.
Bunlara ek olarak raporda ayrıcalıkların kötüye kullanımından en çok sağlık hizmeti sunan kuruluşların etkilendiği belirtiliyor. 29 doğrulanmış ihlal ile pastadan %19’luk pay alan sağlık sektörünü %13,7 ile perakende ve %13’er ile hizmet ve üretim sektörleri takip ediyor. Finans sektörü %11,6’lık paya sahipken enformasyona dayalı iş yapan kuruluşlar ise %8,9’luk paya sahip.
Ayrıcalıkların kötüye kullanımını engellemek için öncelikle kullanıcı rollerini ve erişim profillerini doğru tanımlamalısınız. Daha sonra bu rolleri ve profilleri BT ağınızın siber güvenlik protokolleri ile uyumlu hale getirmelisiniz. Bu sürecinde her adımında sıfır güven (zero trust) ilkesini ağınızın güvenlik protokollerinin merkezine yerleştirerek hareket etmeniz gerektiğini unutmamalısınız. Daha sonra ayrıcalıklı erişim oluşturma, ekleme ve kaldırma aşamalarının yer aldığı denetlenebilir bir süreç inşa etmelisiniz.
BT ağınızın genel ayrıcalıklı erişim yapılandırmasını tamamladıktan sonra yapmanız gerekenleri üç temel adımda özetlemek mümkün.
Tüm bu adımları rahatlıkla BT ağınızın bir parçası haline getirmek için ise Yetkili Oturum Yöneticisi, Merkezi Parola Yönetimi, İki Faktörlü Kimlik Doğrulama, Veritabanı Erişim Yöneticisi ve Dinamik Veri Maskeleme modüllerini bünyesinde barındıran bir Ayrıcalıklı Erişim Yönetimi çözümünden yararlanabilirsiniz.
Kron olarak geliştirdiğimiz ve kalitesini uluslararası araştırma kurumlarının hazırladığı raporlarda yer alarak kanıtlayan Privileged Access Management (PAM) ürünümüz Single Connect ile ayrıcalıklı hesapları 7/24 denetleyerek sıkı bir kontrol mekanizması sağlayabilirsiniz.
Aşağıdaki modüllere sahip olan PAM çözümümüz Single Connect, kritik veri alanlarına erişen kullanıcıların ayrıcalıkları kötüye kullanımını öncelikli olarak denetleyebilir ve gereksinim oluşması halinde engelleyebilir.
Siz de Single Connect’in modüler yapısının ve gelişmiş özelliklerinin sunduğu avantajlardan yararlanarak BT ağınızı ayrıcalıkların kötüye kullanımı konusunda daha güvenli hale getirmek istiyorsanız çalışma arkadaşlarımızla iletişim kurabilir, Single Connect’e dair merak ettiğiniz tüm konularla ilgili gerekli bilgileri elde edebilirsiniz.