Ayrıcalıklı Erişim Yönetimi için Başlangıç ​​Kılavuzu

Yayınlanan: 2019-08-21

Cyber ​​Security Ventures, siber suçlardan kaynaklanan hasarın 2021 yılına kadar yıllık 6 trilyon dolara ulaşacağını tahmin ediyor. Buna “hackerpocalypse” diyorlar. Bu miktar, 2015 yılında yaşanan 3 trilyon dolarlık zararın iki katı. Bu, şirketler için en büyük küresel tehdit ve insanlığın en büyük sorunlarından biridir.

Suçlu siber saldırılar için teşvikler artık o kadar büyük ki, yasadışı küresel uyuşturucu kaçakçılığından elde edilen para miktarını aşacaklar.

Ayrıcalıklı Kullanıcı Hesapları

Ayrıcalıklı kullanıcıların hesapları, daha güçlü yetkili izinlere sahip oldukları, gizli bilgilere erişebildikleri ve yeni kullanıcı hesapları oluşturabildikleri veya kullanıcı ayarlarını değiştirebildikleri için sıklıkla saldırıya hedef olur.

Ayrıcalıklı erişime sahip hesap türleri arasında yönetim hesapları, etki alanı yönetici hesapları, kimlik doğrulama hizmetleri hesapları, acil BT güvenlik hesapları, Microsoft Active Directory yönetici hesapları, bulut hizmetleri hesapları ve kritik yol uygulama programlama arabirimi (API) hesapları yer alabilir.

Ayrıcalıklı bir kullanıcı hesabının güvenliği ihlal edilirse, olası hasar aşırı olabilir. Örneğin. Neredeyse tüm yetişkin Amerikalılar için kredi geçmişi hesaplarının Equifax ihlalinden kaynaklanan zararın 4 milyar dolar olduğu tahmin ediliyordu. Bu riski azaltmak için ayrıcalıklı erişim yönetimi kullanılır.

Ayrıcalıklı erişim yönetimi nedir?

Erişim yönetimi, ağ hizmetlerine kullanıcı erişimini kontrol etmek için müşteri kimliğiyle birlikte kullanılır. Ayrıcalıklı erişim yönetimi, gruplar, hesap türleri, uygulamalar ve bireyler için güvenlik politikası olarak belirlenen izin düzeylerini kontrol etmek için kullanılır. Buna parolaların yönetimi, oturum izleme, satıcı ayrıcalıklı erişim ve uygulama veri erişimi dahildir.

Ayrıcalıklı erişim yönetimi nasıl çalışır?

Ayrıcalıklı erişim yönetimi (PAM) yazılımı, ayrıcalıklı hesapların kimlik bilgilerini dosyaların şifrelendiği oldukça güvenli ve ayrı bir havuzda saklar. Ayrı şifrelenmiş depolama, kimlik bilgilerinin çalınmamasını veya yetkisiz bir kişi tarafından sistem yöneticisi düzeyinde ağ erişimi elde etmek için kullanılmamasını sağlamaya yardımcı olur.

Daha karmaşık PAM sistemleri, kullanıcıların parola seçmesine izin vermez. Bunun yerine, bir güvenli parola yöneticisi, meşru bir yetkili kullanıcının isteğini doğrulamak için çok faktörlü kimlik doğrulama kullanır ve ardından bir yönetici kullanıcı her oturum açtığında tek kullanımlık bir parola verir. Bir kullanıcı zaman aşımına uğrarsa, bu parolaların süresi otomatik olarak dolar, oturum kapatılır. kesintiye uğradı veya belirli bir süre sonra.

Ayrıcalıklı Erişim Yönetimi ve Active Directory

Microsoft'un ayrıcalıklı erişim yönetimi, ağ yöneticilerinin hesaplarını ve özel erişim izinlerine sahip diğer hesapları güvence altına almak için Microsoft'un Active Directory Etki Alanı Hizmetleri ile birlikte çalışır. Bu, bir şirketin etki alanlarını yönetebilen yetkili kullanıcıların kimlik bilgilerini kaybetme risklerini azaltmaya yardımcı olur.

Microsoft Active Directory sisteminde PAM, Microsoft Identity Manager tarafından yetkilendirilen Privileged Identity Management'ın (PIM) belirli bir örneğidir. Microsoft'un PAM'si, yetkili bir kullanıcının güvenliği ihlal edilmiş bir Active Directory sistemi üzerinde yeniden kontrol kurmasına izin verir. Bu, yöneticilerin hesap bilgilerinin kötü niyetli siber saldırılardan etkilenmeyen ayrı bir ortamda tutulmasıyla yapılır.

Active Directory için PAM Güvenliği Artırıyor

Microsoft'un Active Directory için PAM'ı, bilgisayar korsanlarının bir ağa yetkisiz erişim elde etmesini ve ayrıcalıklı hesapları kötüye kullanmasını daha zor hale getirir. Microsoft'un PAM şeması altında, ayrıcalıklı grupların birden çok bağlantılı etki alanında çalışan bilgisayar sunucuları ve yazılım uygulamaları üzerinde erişimi ve denetimi vardır.

Ağ Etkinliği İzleme

Ayrıcalıklı grubun faaliyetleri, artan görünürlük ve ince ayarlı erişim kontrolleri ile sürekli olarak izlenir. Ağ yöneticileri, ayrıcalıklı kullanıcıların ne yaptığını her zaman görebilir. Ağa sızma tespiti gerçek zamanlı olarak gerçekleşir. Bu, ağ yöneticilerine, ağın işletim ortamında ayrıcalıklı hesap erişiminin nasıl kullanıldığı konusunda daha fazla fikir verir.

Diğer Ayrıcalıklı Erişim Yönetim Platformları

Dikkate alınması gereken birçok ayrıcalıklı erişim yönetimi platformu vardır. Saviynt kısa süre önce bulut hizmetleri ve hibrit uygulamalar için yeni bir ayrıcalıklı erişim yönetimi platformunu duyurdu.

Bulut kullanıcı erişim yönetimi yazılımı, bulut hizmetlerini yönetmek için gereken kritik güvenlik özelliklerini sağlar. En yenilikçi PAM platformları, bulut tabanlı hizmetler, şirket içi ağlar ve her ikisinin hibrit kombinasyonlarıyla çalışır.

En İyi PAM Platformları

Solution Review tarafından seçilen en yüksek ayrıcalıklı erişim yönetimi platformları şunlardır:

  • Bomgar — Bu platform, farklı işletim sistemlerine sahip sunucuları olan ağlar için iyi çalışır. Kişisel kimlik doğrulaması (PIV) ile kimlik doğrulamayı destekler ve sunucu mesaj bloğu (SMB) ağ protokolünü kullanarak ağ üzerinde dosya paylaşmasına izin veren otomatik özelliklere sahiptir.
  • CA Technologies — Bu PAM platformu, bulut hizmetlerini ve şirket içi ağları kullanan hibrit sistemlerle çalışır. Şirket, küresel altyapı desteği sağlar. Sistem, Security Analytics, IGA ve diğer güvenlik bilgileri ve olay yönetimi (SIEM) çözümleriyle iyi bir şekilde bütünleşir.
  • Centrify — Bu PAM platformunun gücü, parolaların güvenli kasa depolaması için yenilikçi çözümü ve yönlendirme yetenekleridir.
  • CyberArk — Bu platform, mükemmel parola kasası oluşturma yetenekleriyle ayrıcalıklı hesap riskinin azaltılmasında lider olarak tanınmaktadır.
  • Ekran — Bu platform, yüksek kullanılabilirliği sürdürmesi gereken dağıtımlar için web tabanlı bir kontrol konsolu kullanır. Gerçek zamanlı ağ etkinliği izleme özelliğine sahiptir ve kullanıcıların oturum açma oturumlarını kaydedebilir. Gelişmiş güvenlik için denetçiler, erişim verildikten sonra bile erişimi kontrol edebilir. Biletleme sistemleri ve SIEM çözümleri ile tam entegrasyona sahiptir.
  • ManageEngine — Bu platform, hibrit bulut/şirket içi ağlarla iyi çalışır. Kurulumu ve kurulumu kolaydır. Birçok kuruluş tarafından şirket içi ağlardan bulut tabanlı hizmetlere geçiş yaparken kullanılır.
  • Tek Kimlik — Bu şirket, ağ yöneticileri tarafından dahili olarak kullanılabilen PAM çözümleri ve Balabit adlı bir sağlayıcı aracılığıyla sunulan bulut tabanlı ayrıcalıklı erişim çözümü sunar. One Identity, PAM çözümlerini genişletmek için Ocak 2018'de Balabit'i satın aldı. One Identity, 13 dilde sunulduğu için birçok ülkede popülerdir. Çözümleri, ayrıcalıklı erişimi kontrol etmek için parola yönetimine odaklanır.
  • SecureAuth — Bu platform, PAM ile birleştirilmiş çok faktörlü kimlik doğrulama yazılımını içeren çok çeşitli erişim yönetimi özelliklerine sahiptir. Çok faktörlü kimlik doğrulama yazılımı, ayrıcalıklı kimliği belirlemek için kullanılan parola doğrulama ihtiyacını ortadan kaldırır.
  • Simeio Çözümleri — Bu sistem, uyumluluk sorunları için rapor oluşturmayı otomatikleştirmek için kullanılabilen Ayrıcalıklı Kimlik Yönetimi (PIM) sunar. Çok faktörlü kimlik doğrulama ve diğer erişim yönetişim altyapısı ile bütünleşir. PIM, BT ekipmanına herhangi bir sermaye yatırımı yapılmadan 7/24 izlemeyi içeren bir hizmet olarak sunulmaktadır.
  • Thycotic — Bu sistem, ayrıcalıklı erişim yönetimi için güçlü kimlik yönetimi özelliklerine ve hızlı dağıtım sürelerine sahip bir parola yönetim aracı sunar.
  • Xton Technologies — Bu, kolay uygulama ve yapılandırmaya sahip uygun fiyatlı, kurumsal düzeyde bir PAM sistemidir. Sistem az bakım gerektirir ve her büyüklükteki işletme için iyi çalışır.

Ayrıcalıklı Erişim Güvenliği Risklerini Yönetme

Siber güvenliğe odaklanmanın çoğu, dışarıdan ağ sızmasından kaynaklanan düşmanca siber saldırıları önlemektir. Ancak ayrıcalıklı erişimi yönetmek, güvenlik risklerini içeriden yönetmeyi de içerir.

Hoşnutsuz veya dikkatsiz bir çalışanın eylemi veya eylemsizliği, genellikle büyük bir siber güvenlik ihlalinin kaynağıdır. İnsan “mühendisliği”, bir kişiyi güvenli oturum açma bilgilerini ifşa etmesi için kandırmak için kullanılan bir araç olarak kullanılabilir. Bu, içeriden bir iş de olabilir.

Ayrıcalıklı erişim hesaplarına erişim yetkisi olan herkes, ağ bağlantılı sistemlere çok fazla zarar verebilir. Güvenlik kontrollerini değiştirebilir, kullanıcıların izinlerini ayarlayabilir, kurumsal kaynakları kötüye kullanabilir ve büyük miktarda gizli verinin kopyalarını oluşturabilirler.

Yüksek düzeyde yetkiye sahip ayrıcalıklı bir kullanıcı hesabıyla bir ağa erişen haydut bir aktör, hemen hemen her şeyi yapabilir ve ardından yaptıklarına dair tüm kanıtları silebilir.

Bu riskleri yönetmek için her kuruluş aşağıdaki en iyi uygulamaları izlemelidir:

  • Ayrıcalıklı erişimin ayrıntılı kapsamını anlayın.
  • Her kullanıcı için yalnızca özel olarak ihtiyaç duyulan erişimi verin.
  • Ağ ayrıcalıklı erişim etkinliğini gerçek zamanlı olarak izleyin.
  • Ayrıcalık erişim kontrollerini yönetmek için otomasyonu kullanın.
  • Kritik varlıklara tüm erişimi güçlü ve proaktif bir şekilde kontrol edin.
  • Kötü amaçlı yazılımlardan etkilenmeyen güvenli kasalarda parolaları ve diğer önemli gizli verileri izole edin.
  • Herhangi bir şüpheli erişim etkinliği meydana geldiğinde ağ denetçilerine otomatik olarak sistem uyarıları gönderen bir sistem kullanın.
  • Gözetmenlere, herhangi bir hesap erişimini hemen kapatma yeteneğini geçersiz kılma yetkisi verin.
  • BT güvenlik denetimleri için oturum açma oturumlarını kaydedin.

Ayrıcalıklı erişim yönetimi, yetkisiz erişim ve veri ihlallerini önlemek için savunma sistemlerinin hayati bir parçasıdır. Siber suçlular, savunmasız sistemlerden yararlanmanın yeni yollarını bulmaya devam ediyor. Ağ yöneticilerinin, dağıtabilecekleri en iyi PAM çözümlerini içermesi ve kritik varlıkları savunmada proaktif olmaları için BT güvenlik stratejilerine odaklanması gerekir.