Yönetmeniz ve Güvende Tutmanız Gereken Ayrıcalıklı Hesaplar

Ayrıcalıklı hesaplar, dijital dönüşümün ayak izlerini takip eden farklı alanlardaki kurum ve kuruluşların siber güvenlik açısından en çok dikkat etmesi gereken konu başlıklarından biri olarak dikkat çekiyor. Özellikle son yıllarda bilgisayar korsanları tarafından sıkça tercih edilen birçok siber saldırı türünün ana hedefi konumundaki söz konusu hesapların güvende tutulması büyük önem arz ediyor. Kurum içindeki ayrıcalıklı hesapların tespit edilip belirli bir çerçevede yönetilmemesi durumunda veri ihlali sorunlarıyla karşılaşması ise bir hayli olası. Kurumdan veri sızıntısı gerçekleşmesi de hassas bilgilerin çalınmasına yol açacağı için fidye talebi ya da kuruma veya kurum çalışanlarına ait bu bilgilerin dark web’de satışına kadar pek çok farklı durumla karşı karşıya kalabilirsiniz. Tam da bu nedenlerle veri güvenliği sağlamak ve siber tehditler karşısında iyi sonuçlar elde edebilmek amacıyla ayrıcalıklı hesapların yönetim ve denetimini başarılı şekilde yapmanız gerekiyor.

Ayrıcalıklı Hesapların Tanımlanması

Ayrıcalıklı hesaplar bugünün iş dünyasında sadece erişim güvenliği tahsis etmek ve bir siber saldırgan karşısında çözüm üretebilmek için değil, BT ekiplerinin kurum sistemini, altyapısını, ağını ve yazılımlarını yönetebilmesi için oldukça önemli. Çalışanların iş akışı ile ilgili kritik kararlar vermelerini sağlayan verilere erişim olanağı sunan yetkilendirilmiş hesaplar, yönetim görevlerinin gerçekleştirilmesini de mümkün kılıyor. Ele geçirildikleri takdirde bir bilgisayar korsanının kurum ağında rahatça hareket etmesine imkân tanıyan ilgili hesaplar hem hassas verilerin çalınması hem de sisteme sızan kişilerin izlerini sistem içinde kolayca gizlemeleri açısından biçilmiş kaftan niteliğinde.

Bir kurum, sisteminin hemen hemen her yerinde ayrıcalıklı hesaplara sahip olabilir. İlgili hesaplar fiziksel konumdan bağımsız olarak bulutta ve SaaS uygulamalarında bulunabileceği gibi, veri tabanlarında, işletim sistemlerinde ve yazılımlarda da bulunabilir. Örneğin BT yöneticileri, veri tabanı yöneticileri, uygulama sahipleri, üçüncü taraf yükleniciler, güvenlik ekipleri, yardım masası personeli ve satış ekipleri ayrıcalıklı hesap erişimine sahip olabilir. Bir başka deyişle bir kurumun yazılımdan pazarlama, satış ve güvenlik ekiplerine varana kadar tüm departmanları iş akışının sağlanması gayesiyle yetkilendirilmiş hesap kullanabilir.

Yetkilendirilmiş hesapların yönetiminin önemini IBM tarafından hazırlanan Cost of a Data Breach Report 2021 isimli raporda da görmek mümkün. Rapora göre kimlik bilgilerinin sızdırılması sonucu gerçekleşen veri ihlalleri tüm sızıntı türleri içinde %20 orana sahip. Ayrıca kimlik bilgilerinin sızdırılması ile ortaya çıkan ihlallerde ayrıcalıklı hesap erişimi bulunan kötü niyetli kişilerin yarattığı maliyet 4.61 milyon dolar.

Kritik Rol Oynayan Ayrıcalıklı Hesaplar

Ayrıcalıklı hesapların tanımlanması sürecinin ikinci aşaması kurumun iş modelinin sürdürülebilirliğinde kritik rol oynayan hesapların belirlenmesi. Bir kurumun öncelikle güvenli hâle getirmesi gereken yedi yetkilendirilmiş hesap türünü incelemeye ne dersiniz?

1. Alan Adı Yöneticisi Hesapları: BT literatüründe hesapların kralı olarak ifade edilen söz konusu tür, domain üzerinde tam yetki ve denetime sahip. Bu nedenle ilgili hesapların mümkün mertebe sınırlandırılması ve denetiminin üst seviyede tutulması gerekiyor.
2. Alan Hizmeti Hesapları: Veri tabanı erişimi, raporları düzenlemek ve çoğaltmak ve API’ları çağırmak için kullanılan bu tür, özellikle uygulama işleyişlerine zarar verebilen parola değişikliklerinde ciddi önem arz ediyor. Alan hizmeti hesaplarının korunması şifre işlemleriyle doğrudan ilgili yazılım güncellemelerinin takibini kolaylaştırıyor.
3. Yerel Yönetici Hesapları: Siber saldırganların göz bebeği ilgili hesap türü, unutulmuş ayrıcalıklı hesaplar şeklinde de isimlendiriliyor. Kurum ağına sızıntının başlıca nedenlerinden biri çalışanların birçoğuna yerel yönetici hesap erişimi verilmesi.
4. İşletim Sistemleri İçin Yönetici Hesabı: Bu hesaba sahip kişilerin erişim bilgilerinin ele geçirilmesi kurumun tamamında işletim sistemi dizinlerinin değiştirilmesine ve bir süre için sistemin çalışmamasına neden olabilir.
5. Varsayılan Yönetici Hesabı: Sistem yöneticisine ait olan hesap, sisteme giriş için anahtar niteliğinde olup sonradan kaldırılamaz, değiştirilemez ve kilitlenemez. Sadece ismi değiştirilebilir.
6. Acil Durum Hesapları: Ağda kritik bir durum meydana geldiğinde devreye giren hesap türü, normal hizmetler çalışmaz duruma geldiğinde “Acil durumda camı kırınız” önlemi olarak devreye giriyor.
7. Hizmet Hesapları: Gizli ve sonsuz hesaplar şeklinde de ifade edilen hizmet hesapları, uygulamaları çalıştırmak amacıyla kullanılıyor.

Yukarıda bahsi geçen hesapların yanı sıra kök hesaplar, Wi-Fi hesapları, güvenlik duvarı hesapları, BIOS ve vPro benzeri donanım hesapları da erişim güvenliği açısından kritik rol oynuyor.

Ayrıcalıklı Erişim Yönetimi (PAM)

Verizon Data Breach Investigations Report 2021’e göre bu yıl da en uzun süreye sahip ihlal türü ayrıcalıklı hesapların kötüye kullanımı. Yine aynı rapor ayrıcalıklı hesaplar aracılığıyla gerçekleştirilen ihlallerin temel yöntemlerini ise kötü amaçlı yazılım, kasıtlı kötüye kullanım, sosyal mühendislik ve hack saldırıları olarak açıklıyor. Nitekim raporda ayrıcalıklı hesaplardan kaynaklanan veri ihlallerinde ayrıcalığın kötüye kullanılması %60-%80 arası bir oran ile başı çekiyor. Ayrıca yetkilendirilmiş hesapların kötüye kullanımında ise kişisel ve tıbbi veriler öne çıkıyor.

Tüm bu nedenlerden yola çıkarak rahatlıkla ifade edilebilir ki ayrıcalıklı hesapları tanımlamanız kurumunuzu korumanız için yeterli değil. Privileged Access Management (PAM), Ayrıcalıklı Erişim Yönetimi, sistemleri kullanarak ayrıcalıklı hesaplarınızı hedef olmaktan çıkarabilirsiniz. Yetkili hesap erişim güvenliği için en iyi çözümlerden biri olan PAM, Yetkili Oturum Yöneticisi (Privileged Session Manager) modülü ile tüm yetkili oturumların doğrulanmasını sağlıyor ve yetkisiz erişim girişimlerinin önüne geçiyor. Şifre kasası özelliğini bünyesinde barındıran Merkezi Parola Yönetimi (Dynamic Password Controller) ise yetkili hesapların şifrelerini tüm ağdan izole şekilde muhafaza ediyor ve sistem genelindeki şifrelerin tamamının korunmasını sağlıyor. Two-Factor Authentication (2FA) / İki Faktörlü Kimlik Doğrulama da geo-location fonksiyonunun katkısıyla ayrıcalıklı hesap erişimi isteyen kullanıcılardan aynı anda konum ve zaman doğrulaması talep ediyor. Böylece “En Az Ayrıcalık İlkesi” rahatlıkla uygulanabiliyor. Database Access Manager da veri tabanı yöneticilerinin yaptığı işlemlerin kaydedilmesine olanak sağlıyor. Öte yandan PAM modülleri bazı işlemler için tek kullanımlık parola, bazıları için de güçlü parola oluşturmanıza yardım ederek daima veri güvenliğinizi garanti altına alma isteğiyle hareket ediyor.

Siz de ayrıcalıklı hesapların denetlenmesi, yönetilmesi ve korunması için 2021 Gartner Magic Quadrant for PAM raporunda da yer alan Single Connect hakkında bilgi almak ve en değerli varlığınız olan ayrıcalıklı hesapları daha derinlemesine tanımak için IDC Türkiye ve Vodafone Business iş birliğiyle hazırladığımız raporuna göz atabilirsiniz. Daha fazla bilgi için bize ulaşın.