Herhangi bir kuruluşta, ayrıcalıklı olarak belirlenmiş belirli hesaplar vardır. Bu ayrıcalıklı hesaplar, standart kullanıcıların yapabileceklerinin ötesine geçen eylemleri gerçekleştirme iznine sahip olmaları bakımından standart kullanıcı hesaplarından farklıdır. Eylemler, hesabın niteliğine göre değişir, ancak yeni kullanıcı hesapları oluşturmaktan görev açısından kritik sistemleri kapatmaya kadar her şeyi içerebilir.
Ayrıcalıklı hesaplar temel araçlardır. Bu hesaplar olmadan, BT personeli işini yapamazdı. Aynı zamanda ayrıcalıklı hesaplar, bir kuruluşun güvenliği için ciddi bir tehdit oluşturabilir.
Ayrıcalıklı bir hesap riski eklendi
Bir an için, bir bilgisayar korsanının standart bir kullanıcının parolasını çalmayı başardığını ve bu kullanıcı olarak oturum açabildiğini hayal edin. Bilgisayar korsanının bu noktada belirli kaynaklara erişimi olsa bile, bunlar kullanıcının ayrıcalıkları (veya bunların eksikliği) tarafından kısıtlanacaktır. Başka bir deyişle, bilgisayar korsanı internette gezinebilir, bazı uygulamaları açabilir ve kullanıcının e-postasına erişebilir, ancak hepsi bu kadar.
Açıkçası, bir kullanıcının hesabının güvenliğinin ihlal edilmesi büyük bir sorundur, ancak bir bilgisayar korsanının bu hesabı kullanarak yapabileceklerinin bir sınırı vardır. Bununla birlikte, bir bilgisayar korsanının ayrıcalıklı bir hesaba erişim kazandığı bir durum için aynı şey söylenemez. Ayrıcalıklı bir hesaba erişimi olan bir bilgisayar korsanı, kurbanın BT kaynaklarını kontrol eder.
Bu, bir organizasyonun BT kaynaklarını güvende tutmakla görevli olanlar için bir miktar ikilem sunuyor. Bir yandan, günlük yönetim görevlerini yerine getirmek için ayrıcalıklı hesaplar gereklidir. Öte yandan, aynı hesaplar, kuruluşun güvenliğine yönelik varoluşsal bir tehdidi temsil eder.
Kuruluşunuzu ayrıcalıklı hesaplardan kurtarmak
Kuruluşların ayrıcalıklı hesaplarla ilişkili tehlikeleri ortadan kaldırmak için çalışmasının bir yolu, sıfır güven güvenliğinin benimsenmesidir. Sıfır güven güvenliği bir felsefedir bu, esasen, güvenilir olduğu kanıtlanmadıkça bir ağdaki hiçbir şeye güvenilmemesi gerektiğini belirtir.
Bu felsefe, En Az Kullanıcı Erişimi (LUA) adı verilen başka bir BT felsefesiyle de el ele gider. LUA, bir kullanıcının yalnızca işini yapması için gereken minimum ayrıcalıklara sahip olması gerektiği fikrine atıfta bulunur. Aynı felsefe BT uzmanları için de geçerlidir.
Rol Tabanlı Erişim Kontrolü, genellikle, ayrıcalıklı hesapları, tüm kuruluşa tam ve sınırsız erişime sahip olmak yerine, çok özel bir ayrıcalıklı işlevi yerine getirebilecek şekilde sınırlamak için kullanılır.
Ayrıcalıklı erişim yönetimi seçenekleri
Kuruluşların ayrıcalıklı hesapları sınırlandırmasının bir başka yolu da Ayrıcalıklı Erişim Yönetimi çözümünü benimsemektir. Ayrıcalıklı Erişim Yönetimiveya genellikle adıyla PAM, ayrıcalıklı hesapların siber suçlular tarafından istismar edilmesini önlemek için tasarlanmıştır.
PAM çözümleri sunan birkaç farklı teknoloji satıcısı var ve hepsi biraz farklı çalışıyor. Bununla birlikte, genellikle, normalde ayrıcalıklı olacak hesaplar, standart bir kullanıcı hesabı gibi davranmalarına neden olacak şekilde kısıtlanır. Bir yöneticinin ayrıcalıklı bir işlem (yükseltilmiş ayrıcalıklar gerektiren bir görev) gerçekleştirmesi gerekiyorsa, yöneticinin bu ayrıcalıkları PAM sisteminden istemesi gerekir. Bunu yaptığınızda, ayrıcalıklı erişim verilir, ancak çok sınırlı bir süre için ve erişim yalnızca istenen görevi gerçekleştirmek için yeterlidir.
PAM, ayrıcalıklı hesapları, bu hesapların kötüye kullanılma olasılığını azaltacak şekilde kısıtlasa da, herhangi bir ayrıcalıklı hesabın güvenliğinin ihlal edilmesini önlemek için yine de önemlidir.
Ek bir güvenlik katmanı getirme
İster sıfır güven uyguluyor ister ayrıcalıklı hesaplar için kötüye kullanım olasılığını azaltıyor olun, yardım masanız ek bir güvenlik katmanı gerektiren riskli bir uç noktadır. Bunu yapmanın bir yolu, bir bilgisayar korsanının hizmet masasıyla iletişim kurmasını ve bu hesaba erişim elde etmenin bir yolu olarak ayrıcalıklı bir hesapta (veya başka bir hesapta) parola sıfırlama talebinde bulunmasını önlemek için tasarlanmış Specops Güvenli Hizmet Masasını kullanmaktır.
Güvenli Hizmet Masası, kullanıcıların kendi parolalarını sıfırlamalarına olanak tanır, ancak birisi parola sıfırlama için yardım masasına başvurursa, Güvenli Hizmet Masası yazılımı, parola sıfırlamaya izin verilmeden önce arayanın kimliğinin kesin olarak kanıtlanmasını gerektirir. Aslında, yardım masası teknisyeni, kimlik doğrulama işlemi tamamlanana kadar arayanın şifresini bile sıfırlayamaz.
Bu işlem, yardım masası teknisyeninin hesapla ilişkili bir mobil cihaza tek seferlik bir kod göndermesini içerir. Arayan kişi bu kodu aldığında, kodu sisteme giren yardım masası teknisyenine geri okur. Kod doğruysa, teknisyene hesabın parolasını sıfırlama yeteneği verilir.
Ayrıca, Specops Secure Service Desk’in sıfır güven girişimleriyle mükemmel bir şekilde uyumlu olduğunu belirtmekte fayda var, çünkü şifre sıfırlama talebinde bulunan yardım masası arayanlar, kimlikleri onaylanana kadar güvenilmez olarak değerlendiriliyor. Specops Secure Service Desk’i Active Directory’nizde ücretsiz olarak buradan test edebilirsiniz.