Ayrıcalıklı hesaplar tatil döneminde daha fazla risk altında

Personel sayısının azaldığı tatil dönemlerinde yüksek riskli ayrıcalıklı hesaplar neden daha fazla korunmalı?

Bu blogda neler bulacaksınız?

Bu kılavuz, herhangi bir kuruluşta en yüksek riski temsil eden en önemli 10 ayrıcalıklı hesabı ve bunları korumanın neden en önemli önceliğiniz olması gerektiğini ayrıntılı olarak açıklamaktadır. Her hesap türünün genellikle nasıl istismar edildiğini, saldırganların kullandığı belirli saldırı yollarını ve bunların etki alanını azaltmak için gerekli pratik kontrolleri öğreneceksiniz.

Ayrıca kısa ve öz bir güvenlik kontrol listesi ve Segura® Kimlik Güvenliği Platformu’nun, özellikle hassas bilgilere, kritik sistemlere ve temel Active Directory altyapısına erişimi olan yüksek değerli kimlikler için görünürlük, algılama ve korumayı nasıl güçlendirdiğine dair genel bir bakış da bulacaksınız.

Tatil döneminde ayrıcalıklı hesaplar

Saldırganlar tatil yapmadığından ayrıcalıklı kimlikleriniz korumasız bırakılmamalıdır.

Tatiller; ofislerin daha sakin, personel sayısının daha az, yanıt sürelerinin daha uzun olması sebebiyle saldırganların zayıf kimlik kontrollerini istismar etmeleri için mükemmel koşullar yaratır. Her yıl büyük güvenlik ihlalleri, genellikle yönetilmeyen ayrıcalıklı hesaplar, ayrıcalıklı hesaplara zayıf erişim veya kötü yönetilen ayrıcalıklı hesap yaşam döngülerinin sonucu olarak, tehlikeye atılan ayrıcalıklı hesaplardan kaynaklanmaktadır.

Bu hesaplar, herhangi bir kuruluşta en tehlikeli ayrıcalıklı hesap türlerini temsil eder ve genellikle “dijital krallığın anahtarları” olarak adlandırılır.

Bu nedenle, dünyanın geri kalanı tatil için dinlenmeye çekilirken savunucular dikkatlerini en önemli ayrıcalıklı kimliklere yöneltmelidir. İşte tatil sezonu için kesin güvenlik önlemleri listesi: Çevrim dışı olmadan önce korumanız gereken en önemli 10 ayrıcalıklı hesap.

1. Domain yöneticisi hesapları

Klasik “oyun bitti” hesabı. Bir domain yöneticisi, AD ormanınızda her şeye erişebilir veya bunları değiştirebilir, bu da onu saldırganlar için en değerli kimlik bilgisi hâline getirir.

Tatil dönemindeki riskler:

• Altın bilet saldırıları
• AD nesnesi manipülasyonu
• Hızlı yanal hareket

Koruma yöntemleri: Ayrıcalıklı Erişim Yönetimi (PAM) kasası, Çok Faktörlü Kimlik Doğrulama (MFA), Just-in-Time (JIT) erişimi, kademeli yönetici modeli.

2. Cloud Global Admin / Root hesapları

AWS Root hesabı veya Azure global yönetici hesapları gibi bulut root kimlikleri, bulut altyapısı kimliği, workloadları, ağ, depolama ve güvenlik üzerinde tam kontrol sağlar.

Tatil döneminde riskler:

• IAM yanlış yapılandırması
• Gizli anahtar hırsızlığı
• Tenantın tamamen tehlikeye atılması

Koruma yöntemleri: Fiziksel MFA, acil durum prosedürleri, uzun ömürlü anahtarların devre dışı bırakılması.

3. Servis hesapları (İnsansız, yüksek ayrıcalıklı, unutulmuş)

Servis hesapları genellikle kullanıcılardan daha fazla ayrıcalığa sahiptir ve nadiren izlenir. Bunlar kolayca yönetilmeyen ayrıcalıklı hesaplara dönüşebilir ve zamanla sessizce erişim hakları birikebilir.

Tatil döneminde riskler:

• Sabit kodlu (gömülü) şifreler
• Asla değiştirilmeyen kimlik bilgileri
• Makine güveni yoluyla yanal hareket

Koruma yöntemleri: Otomatik değiştirme, en az ayrıcalık, makine kimliği yaşam döngüsü yönetimi.

4. Ayrıcalıklı oturum hesapları (Jump Box’lar ve Bastion Host’lar)

Jump host veya PAW’ye erişmek için kullanılan herhangi bir kimlik, genellikle ana sistemlere doğrudan erişim sağlayan, yüksek değerli bir ayrıcalıklı oturum hesabıdır.

Tatil döneminde riskler:

• Ele geçirilmiş uzaktan oturumlar
• Pano veya kimlik bilgilerinin ele geçirilmesi
• RDP tünelleme

Koruma yöntemleri: Oturum kaydı, izole edilmiş yönetici iş istasyonları, Sıfır Güven erişim kontrolleri.

5. Acil durum erişim hesapları (Emergency Access Accounts)

Acil durum hesabı, MFA başarısız olduğunda veya dizin kullanılamadığında kullanılır. Bu hesaplar genellikle yetersiz bir şekilde izlenir ve inanılmaz derecede güçlüdür.

Tatil dönemlerinde riskler:

• Sessiz dönemlerde fark edilmeyen kötüye kullanım
• Düz metin olarak saklanması
• Zayıf veya hiç değiştirilmeyen parolalar

Koruma yöntemleri: Güvenli depolama, üç aylık doğrulama, oturum açma sırasında otomatik uyarılar.

6. Veri tabanı yöneticisi (DBA) hesapları

Veri tabanı yöneticisi hesabı genellikle en hassas varlığa, yani verilere erişim hakkına sahiptir.

Tatil döneminde riskler:

• Toplu veri sızdırma
• Veri bozulması veya silinmesi
• İşletim sistemi düzeyindeki hesaplara ayrıcalık yükseltme

Koruma yöntemleri: Query denetimi, ağ segmentasyonu, kasa, JIT erişimi.

7. DevOps ve CI/CD Pipeline hesapları

CI/CD Pipeline hesabı gibi CI/CD platformlarına (GitHub, GitLab, Jenkins, Azure DevOps) bağlı hesaplar genellikle kaynak kodu ve pipeline üzerinde okuma/yazma erişimine sahiptir.

Tatil döneminde riskler:

• Tedarik zincirinde tahrifat
• Gizli bilgilerin ifşa edilmesi
• Kötü amaçlı kod gönderimleri

Koruma yöntemleri: Tokenleri döndürün, onaylı işlemleri zorunlu kılın, repo izinlerini sınırlayın.

8. Hipervizör / Sanallaştırma yönetici hesapları

Bir hipervizör yöneticisi; tüm ortamları kapatabilir, snapshotları değiştirebilir veya workloadları taşıyabilir ve bu da kritik sistemleri anında etkileyebilir.

Tatil döneminde riskler:

• ESXi’yi hedef alan fidye yazılımı
• VM silme veya şifreleme
• Sanal ağlar arasında yanal hareket

Koruma yöntemleri: Konsolları izole etme, MFA’yı zorunlu kılma, uzaktan erişim yollarını devre dışı bırakma.

9. Kimlik sağlayıcı (IdP) yönetici hesapları

Bir IdP yönetici hesabı, kimlik doğrulama, federatif yapı, SSO, MFA ve dizin senkronizasyonunu, yani tüm güven yapısını etkin bir şekilde kontrol eder.

Tatil Döneminde Riskler:

• Jeton sahteciliği
• Koşullu erişim atlatma
• Federatif ele geçirme

Koruma Yöntemleri: Katmanlı roller, kasada saklanan kimlik bilgileri, güçlü MFA, koşullu erişim bloklamaları.

10. Yedekleme ve kurtarma yönetici hesapları

Yedekleme yöneticisi son savunma hattını yönetir. Saldırgan kontrolü ele geçirirse fidye yazılımını dağıtmadan önce yedeklemeleri yok edebilir veya bozabilir.

Tatil Döneminde Riskler:

• Yedekleme silme
• Snapshot değiştirme
• Fidye yazılımı bekleme süresi stratejisi

Koruma Yöntemleri: Değiştirilemez yedeklemeler, kasada saklanan kimlik bilgileri, hava boşluklu kopyalar, kısıtlı erişim yolları.

Bu ayrıcalıklı hesaplar tatil döneminde neden daha önemli?

• Azalan personel sayısı
• Daha yavaş yanıt süreleri
• Otomasyona daha fazla bağımlılık
• Saldırganların mevsimsel dikkat dağınıklığını istismar etmesi
• Fark edilmeyen anormalliklerin riskinin artması
• Ayrıcalık yükseltme için mükemmel zamanlama

Saldırganlar bunu biliyor. Savunmacılar uzaklaşmadan önce harekete geçmelidir.

Tatil dönemlerinde, yüksek vasıflı sistem yöneticileri bile zorlanmaktadır ve bu da ayrıcalıklı erişim yollarında güvenlik risklerini artırmaktadır. Bu kimlikleri şimdi güçlendirmek, felaketle sonuçlanabilecek güvenlik ihlali riskini önemli ölçüde azaltır. 

Tatil döneminde ayrıcalıklı hesaplar için kontrol listesi

Hak ettiğiniz tatil için oturumu kapatmadan önce, tatil boyunca risk alanınızı azaltmak için bu 10 maddelik kimlik güvenliği kontrol listesini gözden geçirin:

1. Tüm ayrıcalıklı hesaplarda MFA’yı uygulayın: Özellikle domain yöneticisi, global yönetici ve acil durum hesapları.

2. Hizmet hesabı kimlik bilgilerini değiştirin: Sabit kodlanmış şifreleri ve uzun süreli gizli bilgileri ortadan kaldırın.

3. Acil durum ve acil erişim hesaplarını doğrulayın: Parolaların mühürlendiğinden, test edildiğinden ve izlendiğinden emin olun.

4. Etkin olmayan yönetici hesaplarını devre dışı bırakın: Kötü niyetli kişilerin aradığı âtıl ayrıcalıkları kaldırın.

5. Yönetici rolleri için Just-In-Time (JIT) erişimini uygulayın: Mümkün olduğunca kalıcı ayrıcalıkları azaltın.

6. Tüm ayrıcalıklı rol atamalarını gözden geçirin: AWS/Azure/GCP root erişimi, IdP yöneticileri, vSphere yöneticileri ve DBA rollerini denetleyin.

7. CI/CD belirteçlerini ve otomasyon anahtarlarını kontrol edin: Pipeline kimlik bilgilerini döndürün, kısıtlayın ve izleyin.

8. RDP, SSH ve bastion yollarını kilitleyin: Sıfır Güven segmentasyonu ve ayrıcalıklı oturum kontrolünü uygulayın.

9. Yedekleme değişmezliğini ve erişim kontrollerini doğrulayın: Fidye yazılımının yedeklemeleri değiştirememesini veya silememesini sağlayın.

10. Ayrıcalıklı erişim iş istasyonlarını (PAW) yamalayın ve güçlendirin: Bunları izole edin, internet erişimini kaldırın ve en son güncellemeleri uygulayın.

Şimdi birkaç saatlik hazırlık, gelecek aylarda haftalarca sürecek olay müdahalesini önleyebilir.

Segura® Kimlik Güvenliği Platformu

Tatiller evrensel bir gerçeği ortaya koyar: “Kimlik” yeni sınırdır ve ayrıcalıklı hesaplar yeni hazinelerdir.

Segura® Kimlik Güvenliği Platformu, kuruluşların operasyonlarını yavaşlatmadan en hassas kimliklerini korumalarına yardımcı olmak için özel olarak tasarlanmıştır.

Segura® ayrıcalıklı hesapları aşağıdakilerle güvence altına almanıza yardımcı olur:

Platform; AD, bulut ve SaaS genelinde riskli erişim kombinasyonlarını, yanlış yapılandırmaları ve yükseltme yollarını otomatik olarak algılayarak tam kapsamlı ayrıcalıklı kimlik koruması sağlar. 

Şüpheli oturum açma işlemlerinden aktif olmayan yönetici hesaplarına kadar ayrıcalıkların kötüye kullanımını sürekli olarak izlerken yüksek riskli kimliklerdeki kalıcı ayrıcalıkları ortadan kaldırmak için Just-In-Time erişimini uygular. 

Otomatik kimlik bilgisi temizliği; eski parolalar, değiştirilmemiş hizmet hesaplarını ve açığa çıkan gizli bilgileri tespit ederek kimlik doğrulamayı güçlendirir ve uçtan uca görünürlük, makine hesapları, pipeline tanımlayıcıları ve acil durum erişimi dâhil olmak üzere insan ve insan dışı kimlikleri tamamen kapsar.

Bu özellik, ayrıcalıklı hesap yaşam döngülerini yönetme ve yönetilmeyen ayrıcalıklı hesapların gözden kaçmamasını sağlama açısından çok önemlidir. 

Segura’nın yönetilmeyen ayrıcalıklı hesapları nasıl etkisiz hâle getirdiğini görün ›

Ayrıcalıklı hesaplar için bunları unutmayın!

Bu liste, tatile çıkmadan önce ortamınızı güçlendirmek için pratik ve gerçeklere dayalı bir yol haritası sunar:

• MFA’yı güçlendirin
• Eski kimlik bilgilerini değiştirin
• Acil durum hesaplarını kilitleyin
• JIT ve en az ayrıcalık ilkesini uygulayın
• Ayrıcalıklı etkinlikleri izleyin
• Acil durum prosedürlerini doğrulayın

Bu önlemler sayesinde en yüksek riskli kimliklerinizin ve en kritik sistemlerinize erişiminizin koruma altında olduğunu bilerek tatile gönül rahatlığıyla çıkabilirsiniz.