Kurumsal Ağlarda Ayrıcalıklı Hesap Güvenliği

Kurumsal ağlarda çevresel (perimeter) ve endpoint düzeyde ele alınan güvenlik önlemlerinden sonra genelde bırakılan veya dikkate alınmayan ama aslında günümüzde en çok baş ağrıtan güvenlik problemlerinin en başında sistemlerdeki ve uygulamalardaki ayrıcalıklı hesap güvenliği gelir.

Ayrıcalıklı Hesap Güvenliği Nedir?

Güvenlik sektörünün “privileged access management (PAM)”, “privileged user management”, “privileged account management”, “privileged identity management (PIM)”, “privileged password management” ve “privileged account security” gibi farklı terminolojilerle adlandırdığı ayrıcalıklı hesap güvenliÄŸi (veya yetkili hesap güvenliÄŸi), kurumsal aÄŸlarda admin, administrator, local administrator, root, domain admin, service account ve application account gibi yönetici seviyesindeki kritik hesapların güvenliÄŸinin çeÅŸitli araçlar ve/veya yöntemlerle saÄŸlanmasıdır.

Son yılların en trend konularının başında gelen ve firewall, IPS, antivirüs, antimalware, proxy, web security gateway ile e-mail security derken kurumların bütçe konusunda gözlerinin iyice korkmasıyla genelde red kararıyla karşı karşıya kalabilen ayrıcalıklı hesap güvenliği ürünleri, saldırganın içeriye girdikten sonraki hareketlerini veya içerideki köstebeğin kötücül niyetlerini en kolay ve etkili bir biçimde engelleyen yegane araçlardır.

Niçin Ayrıcalıklı Hesap Güvenliği?

Aslında hassas IT varlıklarını veri sızıntılarına ve siber saldırılara karşı kaynağında koruma yapmanın en yetkili yollarından biri olarak şu an ayrıcalıklı hesap güvenliği ürünleri başta geliyor. Ağda doğru konumlandırılmaları ve ayrıcalıklı/yetkili olan tüm hesapların kontrolü, kullanımı ile yetkilendirilmesinin tek bir merkezden yapılması neticesinde güvenlikte en çok baş ağrıtan problemin büyük orada üstesinden gelinmiş olunuyor. Ayrıca yine bu sayede Sarbanes-Oxley, PCI DSS, HIPAA ve ISO 27001 gibi uyumluluk ve uygunluk standartlarındaki maddelerin birçoğu bir anda sağlanmış oluyor.

Ayrıcalıklı hesap güvenliği ürünlerinin ortaya çıkış amaçları genel olarak alttaki nedenlerden ötürüdür:

• içerideki tehditlerin (insider threats) riskleri,
• özellikle yetkili hesapları hedefleyen kötücül yazılımların (malware) varlığı,
• Windows sistemlerin doÄŸasında var olan pass-the-hash (pth), pass-the-ticket ve kerberos saldırıları gibi riskler,
• yönetici eriÅŸimleri için operasyonel verimlilik,
• regülasyonlar ve denetimler,
• ve ürün satan firmalar, destek firmaları ve servis saÄŸlayıcılar gibi 3.partilerin yetkili hesaplara eriÅŸme zorunluluÄŸu sorunudur.

Ayrıcalıklı Hesap Güvenliği Ürünleri Neler Yapabilir?

Piyasadaki ayrıcalıklı hesap güvenliği ürünleri bazıları ortak bazıları da kendilerine özel olmak üzere birçok özellik ve fonksiyon sunmaktadır. Esas olarak, sunulan fonksiyonların çeşitliliği itibarıyla aynı anda birbirine benzeyen ya da birbirinin yerine tercih edilebilecek ürün azdır. Bütün ürünlerin sundukları özelliklerden başlayarak ağa yerleştirilmesi, kullanım kolaylığı, yerinde yedeklilik, felaket yeri yedekliliği ve birden çok platformda kullanılabilme veya platformu destekleme şeklinde birbirleriyle kıyaslanmasını sağlayacak ve aslında en nihayetine kurumun ihtiyaçlarına göre çeşitlenen/şekillenen kriterler mevcuttur.

Ayrıcalıklı hesap güvenliği ürünleri genel olarak alttaki işlevleri yerine getirmektedir:

• sistemlerdeki ortak hesaplara eriÅŸim kontrolü,
• ayrıcalıklı/yetkili bir hesabın (admin, administrator, root) yapabileceÄŸi iÅŸlemlerin ve çalıştırabileceÄŸi komutların kontrolü,
• yetkili hesaplarla yapılan oturumların, iÅŸlemlerin ve çalıştırılan komutların kayıt edilmesi ve izlenebilmesi,
• yönetimsel, servis ve uygulamalara ait hesapların (local admin, local administrator, root, application accounts vs) ÅŸifrelerinin rastgele deÄŸerlerde ve otomatik bir ÅŸekilde deÄŸiÅŸtirilebilmesi ve bunların hepsinin ortak bir ÅŸifre kasasında saklanabilmesi,
• sistemlere ve uygulamalara eriÅŸmek için kullanılan SSH anahtarlarının yönetimi,
• ayrıcalıklı hesapların bütün hareketleriyle ilgili olarak kapsamlı bir raporlama ve analitik,
• tüm ÅŸifrelerin sistem ve uygulamalara özel olarak politika bazlı bir ÅŸekilde, güçlü kriptolojik algoritmalarla otomatik olarak sıklıkla deÄŸiÅŸtirilmesinin saÄŸlanması,
• Linux ve Windows sunucuları otomatik olarak tarayarak yetkili hesapları bulması,
• ve yönetimsel eriÅŸimler için IT destek, ticketing ve worklow aÅŸamalarıyla entegrasyondur.

Bir Ayrıcalıklı Hesap Güvenliği Ürünü ile En Azından Neler Yapılmalıdır?

Bir ayrıcalıklı hesap güvenliği ürünü kurumunuza birçok şey sunabilir. Ama bunların hepsini aynı anda devreye alıp yönetmeye çalışmak hem etkili değildir hem de IT birimlerinin hepsine birden uyum sağlayabilmesi için çok da mümkün değildir. Bu yüzden fonksiyonların kademeli olarak ve IT birimlerinin kanıksamasıyla beraber devreye alınmasında yarar vardır. Bu bağlamda bir ayrıcalıklı hesap güvenliği ile en azından alttaki işleri yapıyor olmanız gerekir:

• son kullanıcıların bilgisayarlarındaki local administrator hesaplarının ürünün ÅŸifre kasasına aktarılarak otomatik yönetilmesi,
• Windows sunucuların local administrator hesaplarının ürünün ÅŸifre kasasına aktarılarak otomatik yönetilmesi,
• Linux sunuculardaki kiÅŸisel hesapların kaldırılarak, ortak hesap sistemine geçilmesi ve bu ortak hesapların da ürün üzerinden OTP tabanlı ve bazı güvenli ÅŸekillerde kullandırılması,
• Windows domain admin hesaplarının ortak hesaplara dönüştürülerek ürün üzerinden OTP tabanlı ve bazı güvenli ÅŸekillerde kullandırılması,
• uygulama sunucularına hard-coded olarak iÅŸlenen açık-metin veri tabanı ÅŸifrelerinin kaldırılarak token ÅŸeklinde kullandırılması,
• kullanıcıların Excel tablolarında veya KeePasss benzeri çok da güvenli olmayan 3.parti uygulamalarda sakladığı kurumsal iÅŸlere, sistemlere ve uygulamalara ait parolaların daha güvenli bir ortam olan ürünün kurumsal ÅŸifre kasasına aktarılması,
• Windows sunucularda local administrator dışındaki servis hesapları, zamanlandırılmış görevlere ait hesaplar gibi özel hesapların da ürün ile otomatik yönetilmesi,
• ve veri tabanlarındaki kiÅŸisel hesapların kaldırılarak, ortak hesap sistemine geçilmesi ve bu ortak hesapların da ürün üzerinden OTP tabanlı ve bazı güvenli ÅŸekillerde kullandırılmasıdır.

Bir Ayrıcalıklı Hesap Güvenliği Ürünü Kurumsal Ağda Nasıl Konumlandırılmalıdır?

Ayrıcalıklı hesap güvenliği ürünleri birden çok parça veya modülden oluştuğu için bunların ağda konumlandırılması yine tamamen güvenlik perspektifi açısından olmalı ve yetkili hesapların güvenliğini sağlarken, kurulum şeklinden ötürü de başka bir güvenlik zafiyetine meydan verilmemelidir. Bu minvalde ürün konumlandırılması sırasında alttaki şartlar göz önünde bulundurulabilir:

• ürünün, kritik parolaları ve yetkili hesapları yöneteceÄŸi için hem yerinde hem de uzakta felaketten kurtarma bölgesinde yedekli olacak ÅŸekilde konumlandırılması,
• parolaları tutan kasaların hem sunucu hem network hem de eriÅŸim olarak tamamen izole edilmesi ve sıkılaÅŸtırılması,
• eriÅŸimleri kaydeden sunucunun da kolay kolay ulaşılamayacak ÅŸekilde sıkılaÅŸtırılması,
• parolaları almak için eriÅŸilen web arayüzünün iki adımlı doÄŸrulama (2FA/OTP) ile eriÅŸilecek ÅŸekilde ayarlanması,
• tüm parolaları görebilecek olan master yöneticinin birden çok kritere baÄŸlı ve belli bir onay mekanizmasından geçecek ÅŸekilde ayarlanması,
• ve eÄŸer sanal sunucular üzerinde konumlandırılma yapılacaksa da, bunların backup ve snapshot’larının güvenliÄŸinin de saÄŸlanması oldukça önemlidir.

Referanslar

• https://en.wikipedia.org/wiki/Privileged_Identity_Management
• http://security-architect.com/privileged-account-management-pam-is-very-important-but-deploying-it-stinks/
• http://searchsecurity.techtarget.com/magazineContent/Privileged-account-management-critical-to-data-security
• https://www.gartner.com/doc/3062422/market-guide-privileged-access-management