Ara

Dil

MFA ve İdari Erişim Koruması Araçlardır. Ama Ne Sonu için?

Mart 2nd, 2023

Ana Sayfa » Blog » MFA ve İdari Erişim Koruması Araçlardır. Ama Ne Sonu için?

Siber güvenlikte sık sık, doğal kabul edilen şeyler ve yapılan seçimler - özellikle bunların neden yapıldığı ve bu şeylerin amaçlarına ulaşıp ulaşmadığı üzerine düşünmek yararlıdır. Örneğin MFA kullanımını ve yönetici erişiminin korunmasını inceleyelim. Bunların kritik olduğunu biliyoruz ama neden? Ayrıca, bu güvenlik önlemlerinin alınmaması ne anlama geliyor?

Bu makalede, MFA'nın arkasındaki amaçlarla ilgili yaygın olarak kabul edilen (ancak eşit derecede göz ardı edilen) bazı gerçekleri inceleyeceğiz ve ayrıcalıklı erişim kontrolü, hafiflettikleri riskler ve bunların bir ortama tam olarak dağıtılmasının önündeki engeller.

Nasıl olduğunu göstererek bitireceğiz SilverfortBirleşik Kimlik Koruması platformu, kimlik ve güvenlik ekiplerinin bu boşlukları kapatmasına ve ortamlarının hesapların ele geçirilmesine karşı korunmasını sağlar, yanal hareketve fidye yazılımı yayıldı.

Içindekiler

  • Özet: MFA ve İdari Erişim Kontrolleri Nedir?
  • Sahte Amaç: Kaçınılmaz Bir Şekilde Güvenlik Açıklarına Yol Açan Bir Onay Kutusu Zihniyeti
  • Gerçek Amaç: Hesabın Ele Geçirilmesi, Yanal Hareket ve Fidye Yazılımının Yayılması gibi Kimlik Tehditlerini Önlemek
  • Onay Kutusu Zihniyeti Ortamları Nasıl Risk Altına Alır?
  • MFA ve Ayrıcalıklı Erişim Denetiminin Tüm Ortamda Dağıtılmasını Önleyen Teknoloji Engelleri Nelerdir?
  • Silverfort Birleşik Kimlik Koruması: Her Yerde MFA ve Hizmet Hesapları için Otomatik Keşif, İzleme ve Koruma

    • Özet: MFA ve İdari Erişim Kontrolleri Nedir?

    MFA ve yönetici erişim denetimleri, temel kullanıcı adı-parola eşleşmesinin üstüne bir koruma katmanı ekleyerek kullanıcı kimlik doğrulama sürecini artırır. Gerekçe, kimlik bilgilerinin ele geçirilebilmesidir, bu da saldırganların meşru bir kullanıcı adı ve parola kullanarak oturum açabilecekleri anlamına gelir. MFA bu senaryoyu hafifletir Gerçek kullanıcının, rakibin sahip olma ihtimalinin düşük olduğu gerçek bir tanımlayıcı sağlayarak kimliğini doğrulamasının istenmesini sağlayarak. A Ayrıcalıklı Erişim Yönetimi (PAM) çözüm, kasalama ve düzenli parola döndürme yoluyla kimlik bilgilerinin ele geçirilmesi eylemini önemli ölçüde zorlaştırarak temelde aynı şeyi başarabilir.

    Sahte Amaç: Kaçınılmaz Bir Şekilde Güvenlik Açıklarına Yol Açan Bir Onay Kutusu Zihniyeti

    Kimlik veya güvenlik ekiplerinin MFA'da yaptığı en yaygın hata, araçları amaç sanmaktır. Örneğin, "X düzenlemesine uyum sağlamak için MFA'yı uygulamamız gerekiyor" veya "Yönetime ilerleme kaydettiğimizi gösterebilmemiz için MFA kapsamını artırmamız gerekiyor" gibi düşünce süreçleri. Bu tür bir düşünce temelde kusurludur, çünkü MFA veya MFA'nın konuşlandırılmasında teknolojik bir engel olduğunda ayrıcalıklı hesap erişim kontrolleri göründüğünde (bunların örneklerini bu makalenin ilerleyen kısımlarında göstereceğiz), dağıtım kesinlikle gerçekleşmeyecektir. Uyumluluk gereklilikleri, koruma kapsamının yalnızca kademeli olarak ilerlediği, çevrenin dayanıklılığını önemli ölçüde artıracak olandan ziyade korunması kolay olanı koruyarak, bazı belirsiz telafi edici kontrollerle karşılanabilir.

    Gerçek şu ki, daha iyi koruma elde etmenin tek yolu, elde etmeye çalıştığımız şeyi sürekli olarak aklımızda tutmaktır. Öyleyse, MFA ve yönetimsel erişim denetimleriyle elde etmek istediğimiz korumanın tam olarak ne olduğunu ve hangi tehditleri azaltmaya çalıştığımızı inceleyelim.

    Gerçek Amaç: Hesabın Ele Geçirilmesi, Yanal Hareket ve Fidye Yazılımının Yayılması gibi Kimlik Tehditlerini Önlemek


    Bu korumaların gerçek amacını derinlemesine incelediğimizde, bunun aslında kötü niyetli erişim için ele geçirilen kimlik bilgilerinin kullanımını içeren kimlik tehditlerini (yani her türlü saldırı veya saldırı bileşenini) önlemekle ilgili olduğu açıktır. Bunların en belirgin örnekleri hesap devralma, yanal hareket ve fidye yaymak. Ve bu çok önemli çünkü bunlar, günümüzde kuruluşlara en yüksek operasyonel riski getiren tehditler. Öyleyse nedenini anlayalım.

    Kimlik Tehditleri, Günümüzün Siber Saldırılarında Nihai Hasar Hızlandırıcılarıdır

    Öyleyse kimlik tehdidi koruması neden kritik bir gerekliliktir? Nedenini daha iyi anlamak için fidye yazılımı örneğini kullanalım. Fidye yazılımı saldırıları her zaman bir iş istasyonunun veya sunucunun güvenliğinin aşılmasıyla başlar ve ardından düşmana hedeflenen ortamda ilk dayanağı sağlar. Ancak bu noktada, hasar yalnızca tek bir makineyle sınırlıdır. Buradaki X faktörü, saldırganın, fidye yazılımı yükünü mümkün olduğunca herhangi bir makineye yerleştirebilecekleri bir konuma ulaşana kadar ortamdaki ek makinelere erişmek ve oturum açmak için güvenliği ihlal edilmiş kimlik bilgilerini kullandığı yanal hareket aşamasıdır. Artık saldırı, yerel, tek makineli bir olaydan iş operasyonlarını fiilen durdurabilecek bir olaya dönüştü.

    Onay Kutusu Zihniyeti Ortamları Nasıl Risk Altına Alır?

    Bu tam olarak MFA ve PAM çözümlerinin durdurması gereken şeydir. Böylece, uyumluluk onay kutusu zihniyetinin nasıl yetersiz kaldığını görebilirsiniz. Kimlik tehditlerini engellemek için MFA ve PAM koruması tüm kullanıcıları, kaynakları ve erişim yöntemlerini kapsamalıdır. Bundan daha azı, düşmanlara açık bir kapı bırakır. Bununla birlikte, geleneksel MFA ve PAM teknolojisi sınırlamaları, bu tür bir kapsamı elde etmeyi neredeyse imkansız hale getirir.

    Onay kutusu zihniyeti özellikle tehlikelidir çünkü hem düzenleyiciler hem de yönetim en iyi çabanın gösterilmesinden memnun olabilir. Ayrıca, kimlik ekipleri işlerini ellerinden gelen en iyi şekilde yaptıklarını hissedebilirler. Ancak, operasyonları tespit edilmeden devam edebilecekleri için, gerçekten en çok memnun olacak olan düşmanlardır. Ve büyük ölçüde maalesef bu kimlik Koruma Bugün birçok kuruluşta statüko.

    MFA ve Ayrıcalıklı Erişim Denetiminin Tüm Ortamda Dağıtılmasını Önleyen Teknoloji Engelleri Nelerdir?

    Şimdi, tüm kullanıcıların, kaynakların ve erişim yöntemlerinin korunmasını sağlamanın zorluklarını anlayalım.

    Geleneksel MFA: Aracıya Bağlıdır ve Kapsamı Yoktur Active Directory Kimlik Doğrulama Protokolleri

    Geleneksel MFA ürünleri, ya korumalı sunuculara ve iş istasyonlarına aracıların yüklenmesini ya da ağ bölümlerinin önüne proxy'lerin yerleştirilmesini gerektirir. Bunun pratikte anlamı şudur: her zaman korumasız makineler olacağını - ya ek ajanları kabul edemedikleri için ya da ağ mimarisi çok karmaşık olduğu için.

    İkinci sınırlama daha da sorunludur. Active Directory'nin (AD) kimlik doğrulama protokolleri, NTLM ve Kerberos, MFA teknolojisi ortaya çıkmadan çok önce yazılmıştı. Bu, MFA korumasını AD kimlik doğrulamasının daha geniş kısmı için uygulanamaz hale getirir. Bu nedenle, bu protokoller üzerine oluşturulmuş komut satırı erişim araçları aracılığıyla kimlik doğrulamaları – örneğin PsExec, Remote PowerShell ve WMI (tümü yöneticiler tarafından uzak makinelere bağlanmak için yaygın olarak kullanılır) korunamaz. İşte tam da bu yüzden bunlar yanal hareket saldırıları için tercih edilen araçlardır. Onları MFA ile koruyamama, bir düşman güvenliği ihlal edilmiş kimlik bilgileri elde etmeyi başardıktan sonra, istedikleri kadar çok kaynağa erişmelerini engellemenin hiçbir yolu olmadığı anlamına gelir.

    Ayrıcalıklı Erişim Koruması: Hizmet Hesapları İçin Koruma Olmayan Zorlu Bir Dağıtım Süreci

    PAM, ayrıcalıklı hesapları korumanın basit yolu olarak görülse de etkinliğini önemli ölçüde sınırlayan iki temel sınırlamaya tabidir. İlki, korumaya ihtiyaç duyan tüm ayrıcalıklı hesapların manuel olarak keşfedilmesini ve ayrıca BT altyapısının her bir bileşeniyle özel entegrasyonları gerektiren son derece uzun ve meşakkatli bir işe alım sürecidir.

    İkincisi, PAM'in atlama ve rotasyon güvenlik mekanizmaları ile makineden makineye güvenlik mekanizmaları arasındaki temel uyumsuzluktur. hizmet hesapları. Bu hesapları PAM'e dahil etmek esasen imkansızdır çünkü: 1) bu hesaplara anında görünürlük sağlayabilecek, bunların keşfedilmesini zahmetli ve genellikle imkansız bir çaba haline getirebilecek hiçbir yardımcı program yoktur ve 2) bir hizmet hesabı keşfedildikten sonra bile, kaynak ve hedef makinelerinde veya çalıştırdığı uygulamalarda hala görünürlük yok. Bu bilgiler olmadan, hesabın yönettiği herhangi bir işlemi bozma riski olmadan hesaba parola döndürme işlemi uygulayamazsınız.

    MFA ve ayrıcalıklı hesap korumasındaki bu boşlukların sonucu olarak bunların anahtar haline gelmesinin nedeni saldırı yüzeyi düşmanların büyük bir başarıyla hedef aldığı.

    Silverfort Birleşik Kimlik Koruması: Her Yerde MFA ve Hizmet Hesapları için Otomatik Keşif, İzleme ve Koruma

    Silverfort yapabilen ilk amaca yönelik Birleşik Kimlik Koruması platformuna öncülük etmiştir. MFA'yı genişlet herhangi bir kullanıcıya ve kaynağa, hizmet hesaplarının keşfini, izlenmesini ve korunmasını otomatikleştirinve proaktif olarak önleyin yanal hareket ve fidye yazılımı yayılması saldırılar. Silverfort tüm Etki Alanı Denetleyicilerine ve diğer şirket içi Kimlik Sağlayıcılara (IdP) bağlanırs) çevrede sürekli izleme, risk analizi ve erişim politikası uygulaması için kullanıcılar, yöneticiler veya hizmet hesapları tarafından herhangi bir kullanıcıya, sisteme ve ortama yapılan her kimlik doğrulama ve erişim girişiminde.

    Kimlik ve güvenlik ekiplerinin kullandığı Silverfortkimlik tehditlerine karşı koruma elde etmek için ortamlarının ihtiyaç duyduğu gerekli 360 derecelik kapsamı kolayca uygulamak için platformu. Tüm kullanıcılarınız ve sistemleriniz genelinde MFA korumanızın kapsamını artırmanız veya hizmet hesaplarınızda görünürlük ve koruma elde etmeniz mi gerekiyor? Çağrı planla uzmanlarımızdan biriyle.

    Demoya Hazır mısınız?
    Bugün kaydolun.

    Yakın zamanda Gönderilenler

    Nisan 24th, 2024

    AD Hijyeninizi Artırmanın 5 Yolu Silverfort  

    Mart 26th, 2024

    Yeraltı Identity Raporu: En kritik kimlik güvenliği açıklarına ilişkin derin bilgiler  

    Mart 2nd, 2024

    Hava Boşluklu Ağlar için MFA Koruması

    Şubat 21st, 2024

    Eski Çalışanların Hesaplarındaki Kimlik Risklerinin Azaltılması
    Daha fazla Gör

    Bizi takip edin

    Kimlik Tehditlerini Hemen Durdurun