Privileged Access Management (PAM), bir BT ortamında kimliklerin, kullanıcıların, hesapların, süreçlerin ve sistemlerin sahip olduğu yüksek düzeydeki (“ayrıcalıklı”) erişim ve izinler üzerinde kontrol sağlamaya yönelik siber güvenlik stratejileri ve teknolojilerini içerir. Ayrıcalıklı erişim kontrolünü doğru bir şekilde yapılandırarak, PAM kurumların saldırı yüzeyini azaltmasına ve dış saldırılar ile içeriden gelen tehditlerden kaynaklanabilecek zararları önlemeye veya etkisiz hale getirmeye yardımcı olur.
Yetki yönetimi birçok stratejiyi kapsarken, ana hedeflerden biri en az ayrıcalık ilkesinin uygulanmasıdır. Bu ilke, kullanıcıların, hesapların, uygulamaların, sistemlerin, cihazların (örneğin, IoT), ve hesaplama süreçlerinin erişim haklarını ve izinlerini, rutin ve yetkilendirilmiş faaliyetleri gerçekleştirmek için mutlak minimum seviyeye indirmeyi ifade eder.
Alternatif olarak ayrıcalıklı hesap yönetimi, ayrıcalıklı kimlik yönetimi (PIM) veya sadece ayrıcalık yönetimi olarak da adlandırılan PAM, analistler ve teknoloji uzmanları tarafından siber riski azaltmak, uyumluluk hedeflerine ulaşmak ve yüksek güvenlik yatırım getirisi sağlamak için en önemli güvenlik projelerinden biri olarak kabul edilir.
Yetki yönetimi alanı, kimlik ve erişim yönetimi (IAM) ve kimlik güvenliği alanının daha geniş kapsamına girer. PAM ve IAM birlikte, tüm kimlik bilgileri, ayrıcalıklar ve erişimler üzerinde ince ayarlanmış kontrol, görünürlük ve denetlenebilirlik sağlar.
IAM kontrolleri, doğru kullanıcının doğru zamanda doğru erişime sahip olmasını sağlamak için kimlik doğrulama sunarken, PAM, ayrıcalıklı kimlikler ve oturum etkinlikleri üzerinde daha ayrıntılı görünürlük, kontrol ve denetim sağlar. PAM, giderek sınırsız hale gelen, her yerden çalışma dünyasında şirket varlıklarını ve kullanıcılarını korumak için kimlik güvenliğinin merkezinde yer alır. Kimlik altyapısı (IAM ve IGA araç setlerini de içeren) giderek artan bir şekilde saldırılara maruz kalmakta ve bunu korumak için sağlam PAM kontrollerine ihtiyaç duymaktadır.
Bu sözlük gönderisi şu konuları kapsayacaktır:
Bilgi teknolojisi (BT) bağlamında yetki, bir hesap ya da işlemin bir bilgisayar sistemi veya ağındaki yetkisi olarak tanımlanabilir. Yetki, belirli güvenlik kısıtlamalarını aşmak veya atlamak için izin sağlar ve sistemleri kapatma, aygıt sürücülerini yükleme, ağları veya sistemleri yapılandırma, hesapları ve bulut örneklerini sağlama ve yapılandırma gibi işlemleri yapma iznini içerebilir.
“Privileged Attack Vectors” kitabının yazarı ve endüstri düşünce lideri Morey Haber, temel tanımı şu şekilde ifade eder: “Yetki, özel bir hak veya avantajdır. Normalin üzerinde bir yetkiyi ifade eder ve genellikle kitlelere verilen bir ayar veya izin değildir.”
Yetkiler, kullanıcıların, uygulamaların ve diğer sistem süreçlerinin belirli kaynaklara erişmesine ve iş ile ilgili görevleri tamamlamasına olanak tanıyarak önemli bir operasyonel amaca hizmet eder. Ancak aynı zamanda, yetkinin içeriden veya dışarıdan saldırganlar tarafından kötüye kullanılma potansiyeli, kuruluşlar için büyük bir güvenlik riski oluşturur.
Çeşitli kullanıcı hesapları ve işlemler için yetkiler, işletim sistemlerine, dosya sistemlerine, uygulamalara, veri tabanlarına, hiper yöneticilere, bulut yönetim platformlarına vb. yerleşiktir. Yetkiler ayrıca bazı ayrıcalıklı kullanıcı türleri tarafından da atanabilir, örneğin bir sistem veya ağ yöneticisi tarafından.
Sisteme bağlı olarak, yetki ataması veya devri, rol tabanlı özniteliklere (örneğin, iş birimi, pazarlama, insan kaynakları veya BT) ve diğer çeşitli parametrelere (örneğin, kıdem, günün zamanı, özel durum vb.) dayanabilir.
Ayrıcalıklı hesap, normal kullanıcı hesaplarından daha fazla erişim ve yetki sağlayan herhangi bir hesap olarak kabul edilir. Ayrıcalıklı kullanıcı, ayrıcalıklı bir hesap üzerinden erişim sağlayan herhangi bir kullanıcıdır. Yükseltilmiş yetenekleri ve erişimleri nedeniyle, ayrıcalıklı kullanıcılar veya hesaplar, normal kullanıcı hesaplarına kıyasla önemli ölçüde daha büyük riskler oluşturur.
Ayrıcalıklı hesapların özel türleri olan “süper kullanıcı hesapları,” genellikle özel BT personeli tarafından yönetim için kullanılır ve neredeyse sınırsız yetkiyle sistem komutlarını çalıştırmak ve sistem değişiklikleri yapmak için kullanılır. Süper kullanıcı hesapları genellikle Unix/Linux sistemlerinde “Root” ve Windows sistemlerinde “Administrator” olarak bilinir.
Süper kullanıcı hesaplarının yetkileri, dosyalara, dizinlere ve kaynaklara tam okuma/yazma/çalıştırma izinleriyle erişim sağlar ve dosyaları veya yazılımı oluşturmak ya da yüklemek, dosyaları ve ayarları değiştirmek ve kullanıcıları ve verileri silmek gibi ağ genelinde sistemik değişiklikler yapma gücüne sahiptir. Yanlış kullanıldığında, ister hata nedeniyle (örneğin, önemli bir dosyayı yanlışlıkla silmek) ister kötü niyetle, bu yüksek ayrıcalıklı hesaplar bir sistemi hatta tüm kurumu ciddi şekilde tehlikeye atabilir.
Windows sistemlerinde, her Windows bilgisayarında en az bir yönetici hesabı bulunur. Yönetici hesabı, kullanıcıya yazılım yüklemek ve yerel yapılandırma ve ayarları değiştirmek gibi etkinlikleri gerçekleştirme izni verir.
macOS, Unix benzeri bir işletim sistemidir, ancak Unix ve Linux’un aksine, genellikle sunucu olarak konuşlandırılmaz. Mac kullanıcıları varsayılan olarak root erişimi ile çalışabilir. Ancak macOS’ta güvenlik için en iyi uygulama, rutin işlemler için ayrıcalıklı olmayan bir hesap oluşturmak ve kullanmaktır. Bu, ayrıcalıklı tehditlerin olasılığını ve kapsamını sınırlamak için önerilir.
En az ayrıcalık ortamında, çoğu kullanıcı zamanın %90-100’ünde ayrıcalıklı olmayan hesaplarla çalışır. Ayrıcalıklı olmayan hesaplar genellikle aşağıdaki iki türden oluşur:
Çoğu BT dışı kullanıcı, en iyi uygulama olarak yalnızca standart kullanıcı hesaplarına sahip olmalıdır. Ancak bazı BT çalışanları, rutin görevleri gerçekleştirmek için standart kullanıcı olarak giriş yaparken, idari işleri yürütmek için süper kullanıcı hesabına da giriş yapabilirler.
Yönetici hesapları, standart kullanıcı hesaplarına kıyasla daha fazla ayrıcalığa sahip olduğu için, yanlış kullanım veya kötüye kullanım durumunda daha yüksek risk taşır. Bu nedenle, ayrıcalıklı erişim yönetimi (PAM) için en iyi uygulama, bu yönetici hesaplarının yalnızca kesinlikle gerekli olduğunda ve mümkün olan en kısa süre için kullanılmasını önermektedir.
Bir kuruluşta genellikle karşılaşılan ayrıcalıklı hesap türleri şunlardır:
Giderek artan bir şekilde, ayrıcalıklı hesaplar, insan kimliği yerine makine kimliğiyle ilişkilendirilmektedir. Makine hesaplarının yaygınlaşması, özellikle robotik süreç otomasyonu (RPA) ve diğer otomatik iş akışlarında, BT ortamlarının güvenlik karmaşıklığını artırır ve PAM sistemleri için önemli bir kullanım alanı oluşturur.
Ayrıcalıklı kimlik bilgileri (ayrıca ayrıcalıklı şifreler olarak da adlandırılır), hesaplar, uygulamalar ve sistemler arasında yükseltilmiş erişim ve izinler sağlayan kimlik bilgilerinin bir alt kümesidir. Ayrıcalıklı şifreler, insan, uygulama, hizmet hesapları gibi farklı kaynaklarla ilişkilendirilebilir. SSH anahtarları, kuruluşlarda sunuculara erişim sağlamak ve yüksek derecede hassas varlıklara erişim yolları açmak için kullanılan bir tür ayrıcalıklı kimlik bilgisidir.
Bazen, özellikle DevOps ortamlarında, ayrıcalıklı kimlik bilgilerine “gizli anahtarlar” da denilir.
Ayrıcalıklı hesap şifreleri genellikle “BT’nin anahtarları” olarak adlandırılır, çünkü süper kullanıcı şifreleri, doğrulanmış bir kullanıcıya kuruluşun en kritik sistemlerine ve verilerine neredeyse sınırsız ayrıcalıklı erişim sağlar. Bu kadar büyük bir yetki, içeriden kötüye kullanım ve hacker saldırıları için cazip bir hedeftir. Forrester Research’e göre, güvenlik ihlallerinin %80’inin ayrıcalıklı kimlik bilgilerini içerdiği tahmin edilmektedir.
Ayrıcalıklı Riskler ve Ayrıcalıklı Tehditler – PAM Neden Gereklidir? En önemli ayrıcalıkla ilgili riskler ve zorluklar şunlardır:
Birçok kuruluşta unutulmuş ayrıcalıklı hesaplar, genellikle milyonlarca sayıda olabilir ve saldırganlar için tehlikeli arka kapılar sunar. Bunlar arasında, şirkette çalışmayı bırakmış eski çalışanlar da bulunabilir. Ayrıca, birçok bulut kimliği ve hesap dinamik ve kısa ömürlü olabilir, ancak geniş ayrıcalıklara sahip olabilirler. Bu, ayrıcalıklı ve ayrıcalıklı olmayan kimlikler arasındaki çizgiyi bulanıklaştırır. Kimlerin hangi erişimlere sahip olduğunu ve bunları nasıl kullandığını belirsiz anlamak, kurumları tespit edilmemiş tehditlere açık hale getirir.
Ayrıcalıklı erişim kontrolleri aşırı kısıtlayıcı olduğunda, kullanıcıların iş akışlarını kesintiye uğratabilir ve üretkenliği engelleyebilir. Son kullanıcılar genellikle fazla ayrıcalık aldıklarında şikayet etmediklerinden, BT yöneticileri genellikle son kullanıcılara geniş yetki setleri verir. Ek olarak, bir çalışanın rolü değişebilir ve bu da yeni sorumluluklar ve buna bağlı olarak yeni ayrıcalıklar biriktirmelerine neden olabilir—ancak artık ihtiyaç duymadıkları veya kullanmadıkları ayrıcalıkları korurlar.
Tüm bu fazla ayrıcalıklar, şişkin bir saldırı yüzeyi oluşturur. Özellikle Windows PC kullanıcıları için, rutin işlemler genellikle yönetici hesabı yetkileriyle gerçekleştirilir—bu, kötü amaçlı yazılım veya hackerların şifre çalması veya kötü niyetli kod yüklemesi için büyük bir risk oluşturur. Kötü amaçlı yazılım veya hacker, bu hesapların tüm ayrıcalıklarından yararlanarak ağdaki diğer bilgisayarlara veya sunuculara saldırı başlatabilir.
BT ekipleri, işleri kolaylaştırmak için genellikle root, Windows Yöneticisi ve diğer ayrıcalıklı kimlik bilgilerini paylaşır. Ancak, bir hesabın şifresi birden fazla kişiyle paylaşıldığında, hesap üzerinden gerçekleştirilen eylemleri tek bir kişiyle ilişkilendirmek imkansız hale gelebilir. Bu, güvenlik, denetlenebilirlik ve uyumluluk sorunlarına yol açar.
Uygulamalar, sistemler, ağ cihazları ve IoT cihazları, kimlik doğrulaması sağlamak için sabitlenmiş veya gömülü kimlik bilgileri ile gelebilir. Çalışanlar genellikle sırları düz metin olarak saklar—örneğin, bir komut dosyasında, kodda veya bir dosyada—bu, kullanımı kolay hale getirir, ancak büyük bir risk oluşturur.
Ayrıcalıklı güvenlik kontrolleri genellikle olgunlaşmamıştır. Ayrıcalıklı hesaplar ve kimlik bilgileri, çeşitli organizasyon siloları arasında farklı şekillerde yönetilir ve bu da en iyi uygulamaların tutarsız şekilde uygulanmasına neden olur. Çoğu BT ortamında, binlerce hatta milyonlarca ayrıcalıklı hesap, kimlik bilgisi ve varlık olabilirken, manuel yönetim süreçleri bu ölçekte çalışamaz. İnsanlar, aynı kimlik bilgilerini birden fazla hesapta ve varlıkta tekrar kullanarak kestirme yolları tercih edebilir. Bu da bir hesabın tehlikeye girmesi durumunda diğer paylaşılan hesapların da riske girmesi anlamına gelir.
Uygulamalar ve hizmet hesapları genellikle ayrıcalıklı işlemleri otomatik olarak yürütür ve diğer uygulamalar, hizmetler veya kaynaklarla iletişim kurar. Genellikle aşırı ayrıcalıklı erişim haklarına sahip olduklarından, önemli güvenlik eksiklikleriyle de karşılaşabilirler.
Modern BT ortamları genellikle farklı platformlar (örneğin, Windows, Mac, Unix, Linux) ve ortamlarda (yerinde, Azure, AWS, Google Cloud) çalışır. Bu durum, BT yönetimi için tutarsızlık, son kullanıcılar için karmaşıklık ve artan siber risk anlamına gelir.
Dijital dönüşüm, ayrıcalıklı saldırı yüzeyini büyük ölçüde genişletmektedir. İşte bunun bazı yolları:
Bulut ve Sanallaştırma Yönetim Konsolları ve Ortamları AWS, Microsoft 365 gibi platformlar, kullanıcılara büyük ölçeklerde sunucuları hızla sağlayabilme, yapılandırabilme ve silebilme yeteneği verir. Bu konsollarda, kullanıcılar binlerce sanal makineyi hızlıca yönetebilir ve her biri kendi ayrıcalıklı hesaplarına sahip olabilir. Kuruluşlar, tüm bu yeni oluşturulan ayrıcalıklı hesapları ve kimlik bilgilerini büyük ölçeklerde yönetmek için doğru ayrıcalıklı güvenlik kontrollerine ihtiyaç duyar.
DevOps Ortamları DevOps, hız, bulut konuşlandırmaları ve otomasyona vurgu yaparak birçok ayrıcalık yönetimi zorluğu ve riski getirir. Organizasyonlar genellikle kapsayıcılar ve diğer yeni araçlar tarafından oluşturulan ayrıcalıkları ve riskleri gözden kaçırabilir. Eksik sır yönetimi, gömülü şifreler, aşırı ayrıcalıklı sağlayıcılar ve güvensiz altyapı erişim yolları, DevOps konuşlandırmalarında sıkça görülen risklerden birkaçıdır.
Edge Computing & IoT Cihazları Edge ağlar, verilere ihtiyaç duyulan yerde daha hızlı hizmet sağlamak için genişlemektedir. Bu cihazlara erişim ve bu cihazların kendileri (genellikle IoT) güvence altına alınmalıdır. IT ekipleri, meşru cihazları güvenli bir şekilde ölçeklendirmek için hâlâ zorluklarla karşılaşmaktadır. IoT cihazları genellikle, sabitlenmiş, varsayılan şifreler ve yazılımı sertleştirme veya donanım güncellemelerini yapamama gibi ciddi güvenlik dezavantajlarına sahiptir.
Hackerlar, kötü amaçlı yazılımlar, yanlış niyetli ortaklar, içerden gelen tehditler ve basit kullanıcı hataları (yanlış yapılandırmalar, yanlış yazılmış komutlar, vb.), özellikle süper kullanıcı hesapları söz konusu olduğunda, en yaygın ayrıcalıklı tehdit vektörlerini oluşturur.
Dış saldırganlar, ayrıcalıklı hesapları ve kimlik bilgilerini elde etmek istediklerini bilirler çünkü bir kez elde ettiklerinde, kuruluşun en kritik sistemlerine ve hassas verilerine hızla ulaşabilirler. Ayrıcalıklı kimlik bilgilerini elde eden bir hacker, aslında bir “içeriden biri” olur—bu da tehlikeli bir senaryo çünkü IT ortamında iz bırakmadan dolaşabilirler.
Saldırganlar genellikle düşük düzeyli bir saldırı noktası aracılığıyla başlangıçta erişim sağlar, örneğin, standart bir kullanıcı hesabına yönelik bir oltalama saldırısı yoluyla, ve ardından ağda yana hareket ederler. Bu süreçte, genellikle kullanılmayan veya unutulmuş bir hesabı bularak ayrıcalıklarını artırırlar.
İç tehditler, dış saldırganların aksine, zaten içerde olduklarından, hassas varlıkların ve verilerin nerede olduğunu bilir ve bunlara doğrudan erişebilirler. Bu tehditler, genellikle tespit edilmesi en uzun süren tehditlerdir, çünkü içeridekiler varsayılan olarak belli bir güven düzeyine sahip olduklarından, izlenmeleri zordur. Bu da, daha fazla potansiyel zarar anlamına gelir. Son yıllarda meydana gelen en büyük güvenlik ihlalleri genellikle içeriden gelen tehditlerden kaynaklanmıştır.
Bir kullanıcı, hesap veya işlem ne kadar fazla ayrıcalığa sahipse, yanlış kullanım, istismar veya hata olasılığı da o kadar fazladır. Ayrıcalık yönetiminin uygulanması, sadece güvenlik ihlalini önlemekle kalmaz, aynı zamanda bir ihlal durumunda zararın kapsamını da sınırlar. Ayrıcalıklı erişim yönetimi, hem iç hem de dış tehditlere karşı korunma sağlar ve siber saldırı zincirinin birçok noktasını kırabilir.
PAM, şu temel avantajları sunar:
PAM Nasıl Uygulanır / Temel Çözümler Olgunlaşmamış ve büyük ölçüde manuel PAM süreçlerine sahip kuruluşlar, ayrıcalık riskini kontrol etmekte zorlanır. Otomatikleştirilmiş, kurumsal düzeyde PAM güvenlik çözümleri, milyonlarca ayrıcalıklı hesap, kullanıcı ve varlık üzerinde ölçeklenerek güvenlik ve uyumluluğu artırabilir. En iyi çözümler, ayrıcalıklı hesap/kimlik bilgisi kapsama boşluklarını ortadan kaldırmak için keşif, yönetim ve izleme süreçlerini otomatikleştirirken, iş akışlarını kolaylaştırarak idari karmaşıklığı büyük ölçüde azaltır.
Bir ayrıcalık yönetimi uygulaması ne kadar otomatik ve olgun olursa, bir kuruluş saldırı yüzeyini daraltmada, saldırıların etkisini hafifletmede (hackerlar, kötü amaçlı yazılımlar ve içeriden gelen tehditler nedeniyle), operasyonel performansı artırmada ve kullanıcı hatalarından kaynaklanan riskleri azaltmada o kadar etkili olur.
PAM çözümleri tek bir platformda tamamen entegre olabilir ve ayrıcalıklı erişim yaşam döngüsünü yönetebilir ya da belirli kullanım senaryoları için özel çözümler şeklinde sunulabilir. Genel olarak, PAM çözümleri aşağıdaki temel alanlarda sınıflandırılır:
Bu çözümler genellikle ayrıcalıklı şifre yönetimi (ayrıca ayrıcalıklı kimlik bilgisi yönetimi veya kurumsal şifre yönetimi olarak da adlandırılır) ve ayrıcalıklı oturum yönetimi bileşenlerinden oluşur.
Ayrıcalıklı şifre yönetimi, yükseltilmiş erişim sağlayan tüm hesaplar (insan ve insan olmayan) ve varlıkları korur. Bunu, merkezi bir bozulmaya karşı dayanıklı şifre kasası aracılığıyla ayrıcalıklı kimlik bilgilerini keşfederek, kaydederek ve yöneterek yapar. Uygulamadan uygulamaya şifre yönetimi (AAPM), bu sürecin önemli bir parçasıdır ve uygulama-uygulama ve uygulama-veritabanı kimlik bilgilerini uygun şekilde yönetmeyi ve güvence altına almayı sağlar. Bu, koddan gömülü kimlik bilgilerini otomatik olarak kaldırmayı, bunları kasaya almayı ve diğer tür ayrıcalıklı kimlik bilgileriyle olduğu gibi en iyi uygulamaları uygulamayı içerir. DevOps ve CI/CD iş akışları için gizli anahtar yönetimi yetenekleri bazen bağımsız araçlar aracılığıyla veya ayrıcalıklı kimlik bilgisi yönetimi / PASM çözümlerinin bir parçası olarak sunulabilir.
Ayrıcalıklı oturum yönetimi (PSM), yükseltilmiş erişim ve izinler içeren tüm kullanıcılar, sistemler, uygulamalar ve hizmetler için oturumların izlenmesini ve yönetilmesini kapsar. En iyi uygulamalar kısmında açıklandığı gibi, PSM, ortamı içeriden gelen tehditlere veya olası dış saldırılara karşı daha iyi korumak için gelişmiş gözetim ve kontrol sağlar ve ayrıca artan uyumluluk ve düzenleyici talepler için kritik adli bilgiler sunar.
Adres: Esentepe Mah.
Kore Şehitleri Cad. No:38/7
Şişli/İstanbul
Tel: +90 212 217 35 35
Fax: +90 212 283 10 11
info@karyabt.com
