Boşluğa Dikkat Edin! Kuruluşunuzda Kimlik Tehditlerine Karşı Korumadan Kim Sorumlu?

Kimlik tehditleri (yani, hedeflenen kaynaklara kötü amaçlı erişim için güvenliği ihlal edilmiş kimlik bilgilerinin kullanılması), günümüzün tehdit ortamının baskın unsuru haline geldi. Üstelik bunlar, kuruluşların korunmayı en çok zorladıkları tehditlerdir. yanal hareket ve fidye yazılımı, görünüşte günlük olarak yaygın hasara neden oldu. Yine de, çoğu kuruluş içinde, bu saldırıları önleme konusunda kimin gerçekten sorumlu olduğu konusunda bir boşluk vardır. Ve bu boşluk, kuruluşların kimlik tehditlerine karşı üstünlük sağlamak için mücadele etmesinin temel nedenlerinden biridir.

Bu gönderide, tüm siber güvenlik profesyonellerini bu boşluğun kuruluşlarında ne kadar mevcut olduğu ve nasıl çözülebileceği üzerine düşünmeye teşvik etmek amacıyla örnek bir kullanım durumunu inceleyerek bu açığı tartışacağız.

Kimlik Ekipleri Siber Saldırıları Önlemekle Sorumlu Değildir

Jack'le tanış. Jack bir Kimlik ve Erişim Yönetimidir (IAM) şirketinde mühendis. Jack'in rolünün bir kısmı, çok faktörlü kimlik doğrulamayı uygulamaktır (MFA) kullanıcılarının erişiminde koruma. Mükemmel bir profesyonel olan Jack, bir ürünü değerlendirir, satın alır ve dağıtır. MFA çözümü Şirketinin tüm Hizmet Olarak Sunulan Yazılımları ve web uygulamalarının yanı sıra şirket içi ortama uzaktan VPN erişimi ve bunun içindeki Uzak Masaüstü Protokolü (RDP) erişimi için.

Ama çünkü RDP için MFA ortamdaki her sunucuya bir aracı yüklemeyi gerektirirse, bunun birkaç iş açısından kritik uygulamayı destekleyen belirli bir eski sunucu grubuna dağıtılmamasına karar verilir. Buradaki endişe, MFA aracılarının ek yükünün bu sunucuları çökerterek kabul edilemez kapalı kalma sürelerine yol açmasıdır. Dolayısıyla, bu hususlar göz önüne alındığında proje başarılı kabul edilir.

Güvenlik Ekipleri, Kimlik Koruma Ürünlerinin Değerlendirilmesinden ve Dağıtılmasından Sorumlu Değildir

Şimdi şirketinin güvenlik ekibinde Güvenlik Operasyon Merkezi (SOC) yöneticisi olan Jill ile tanışın. KPI'sı siber saldırıları önlemek, tespit etmek ve bunlara yanıt vermektir. Jill bunun farkında fidye Kurumsal ortama yayılan saldırılar kritik bir tehdittir. Saldırganlar bu yayılmayı, güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini kullanarak mümkün olduğu kadar çok makinede oturum açarak gerçekleştirir. Bunu önlemek için Jill'in ekibi, uyarılara yanıt vermek ve böyle bir yayılmanın meydana geldiğini gösterebilecek anormal kullanıcı erişimini proaktif olarak tespit etmek için önemli çaba harcıyor.

Bununla birlikte, ne Jill ne de ekibinden herhangi biri, şu anda işletme ortamlarında yürürlükte olan MFA çözümünün değerlendirilmesi, test edilmesi ve kullanıma sunulması süreçlerine dahil olmadı. Doğrudan siber saldırılara odaklandığı için tek tepkisi, MFA projesinin başarıyla tamamlandığını duyduğuna sevinmek oluyor.

Sonuç: Kimlik Tehditleri İçeren Siber Saldırılar Çok Az Savunmayla Karşılaşıyor

Bir gün fidye yazılımı saldırır. Düşmanlar, rehin almak için en iyi hedefin kuruluşun uygulama sunucuları olduğunu fark eder. Bu sunucuların kontrolünü ele geçirmek ve üzerlerindeki verileri şifrelemek için, güvenliği ihlal edilmiş bir kullanıcının kimlik bilgilerini kullanarak RDP aracılığıyla oturum açmaya çalışırlar. Ve bu sunucularda MFA olmadığı için girişim başarılı oldu. Artık rakipler tam kontrole sahiptir ve fidye yazılımı taleplerini kuruluşa empoze edebilir.

Hikayemizi bırakalım ve burada neler olduğunu düşünelim.

Alınan Dersler: Kimse Riskin Sahibi Değilse, Risk Sizin Sahibinizdir

Kendini işine adamış ve yetenekli kimlik ve güvenlik ekipleri olmasına rağmen bu ihlali mümkün kılan şey neydi? Cevap, Jack ve Jill'in kuruluşlarında kendilerine verilen rolü nasıl algıladıklarındadır.

Jack ise fidye yazılımlarının yayılmasını önlemekle değil, bir MFA çözümü dağıtmakla görevlendirilmişti.. Onun bakış açısına göre, MFA koruması olmayan sunucular bir güvenlik riski olarak değil, projenin genel MFA kapsama oranında eksik bir yüzde olarak görülüyordu. Ve %90'lık bir kapsama oranı, önceki %0 oranından önemli ölçüde daha iyidir. En iyi çaba gösterildi ve sonuçlar mükemmel olmasa da kesinlikle yeterince iyiydi.

Öte yandan Jill'in MFA projesinde hiçbir rolü yoktu. Bir SIEM veya EDR'den farklı olarak, MFA bir güvenlik ürünü olarak değil, kimlik ekibinin odak noktası olarak kabul edilir. Jill, MFA tartışmalarına katılmış olsaydı, uygulama sunucularının açığa çıktığını keşfedebilir ve bu sunucular tamamen korunmadan MFA projesinin tamamlanmış sayılmaması için onları yükseltmeye zorlayabilirdi.

Yani ihlalden Jack mi sorumlu? Pek değil, çünkü bu hiçbir zaman onun sorumluluğunun bir parçası olmadı. Bu, Jill'in kısmi MFA kapsamından sorumlu olduğu anlamına mı geliyor? Pek değil, çünkü MFA hiçbir zaman onun yetki alanının bir parçası olmadı.

Ve bu tam olarak bahsettiğimiz sorumluluk açığıdır.

Ortamınızda Bir Hesap Verebilirlik Boşluğu Olabilir mi?

Bu hikaye ülkenin durumuna iyi bir örnektir. kimlik Koruma Bugün. Bu hesap verebilirlik açığının nasıl geliştiği ve neden yalnızca kimlik koruması içinde bulunduğu (uç nokta veya ağ korumasının aksine) ayrı bir tartışmaya değer. Daha da önemlisi, benzer bir senaryonun sizin çevrenizde gerçekleşip gerçekleşmeyeceğini sormanızdır.

İşte kendinize sormanız gereken bazı önemli sorular:

• SecOps ekipleriniz, MFA ve benzeri kimlik koruma kontrollerinin uygulanmasında yer alıyor mu? PAM?
• CISO'nuzun IAM altyapısının tasarımı ve uygulanmasında söz hakkı var mı?
• Kimlik ekibiniz, değerlendirip dağıttıkları çözümlerin aslında tüm kuruluşu riske atabilecek saldırılara karşı son savunma hattı olduğunun farkında mı?

Ve en önemli soru: Kuruluşunuzda hem kimlik tehditlerini önleme sorumluluğuna hem de bunu başarmak için alınması gereken güvenlik önlemlerini belirleme yetkisine ve bilgisine sahip tek bir paydaş var mı? Bu, hesap verebilirlik açığı çözüldükten sonra kimlik korumasının tamamlanacağı anlamına gelmez. Elbette, oraya varmadan önce üstesinden gelinmesi gereken başka zorluklar da var. Ancak bu korumayı mümkün kılmak için atılması gereken önemli bir ilk adımdır. Nihayetinde sorumlu kişinin kimlik tarafından mı yoksa güvenlik ekiplerinden mi geldiği önemli değil. Kuruluşunuzda net bir sahip olduğu sürece, kimlik tehditlerine üstünlük sağlamanın ilk kilometre taşı tamamlanmış olacaktır.