Çok Faktörlü Kimlik Doğrulama (MFA), uzun zaman önce standart bir güvenlik uygulaması haline geldi. Hesap ele geçirme saldırılarının %99’undan fazlasını savuşturma becerisi konusunda geniş bir fikir birliğiyle, güvenlik mimarlarının onu neden çevrelerinde olmazsa olmaz olarak görmelerine şaşmamalı. Bununla birlikte, daha az bilinen şey, geleneksel MFA çözümlerinin doğal kapsama sınırlamalarıdır. RDP bağlantısı ve yerel masaüstü girişleriyle uyumluyken, PsExec, Remote PowerShell ve benzerleri gibi uzaktan komut satırı erişim araçlarına karşı hiçbir koruma sağlamazlar.
Pratikte bu, tam olarak işleyen bir MFA çözümüne sahip olmalarına rağmen iş istasyonlarının ve sunucuların yanal harekete, fidye yazılımı yayılmasına ve diğer kimlik tehditlerine karşı savunmasız kaldığı anlamına gelir. Düşman için, sanki hiç koruma kurulu değilmiş gibi oturum açmak için RDP yerine komut satırı yolunu kullanmak meselesidir. Bu makalede bu kör noktayı inceleyeceğiz, temel nedenini ve sonuçlarını anlayacağız ve güvenlik ekiplerinin ortamlarını korumak için bunun üstesinden gelebileceği farklı seçenekleri inceleyeceğiz.
MFA’nın Temel Amacı: Düşmanların Ele Geçirilmiş Kimlik Bilgileri ile Kaynaklarınıza Erişmesini Önleyin
MFA yine en etkili güvenlik önlemi hesap devralma. MFA’ya sahip olmamızın nedeni, her şeyden önce, rakiplerin güvenliği ihlal edilmiş kimlik bilgileriyle kaynaklarımıza erişmesini engellemektir. Bu nedenle, bir saldırgan kullanıcı adımızı ve parolamızı ele geçirebilse bile – ki bu makul bir senaryodan daha fazlasıdır – bizim adımıza kötü niyetli erişim için bunları kullanamaz. Dolayısıyla, bu uzlaşmayı herhangi bir kazançtan geçersiz kılmayı amaçlayan, kimlik bilgileri uzlaşmasına karşı nihai son savunma hattıdır.
Kör Nokta: MFA, Active Directory Ortamındaki Komut Satırı Erişim Araçları tarafından Desteklenmiyor
MFA, SaaS ve web uygulamalarına erişimi tamamen kapsayabilirken, Active Directory tarafından yönetilen ortam söz konusu olduğunda önemli ölçüde daha sınırlıdır. Bunun nedeni, bu ortamda kullanılan anahtar kimlik doğrulama protokollerinin, NTLM ve Kerberos’un, MFA var olmadan çok önce yazılmış olması ve onu yerel olarak desteklememesidir. Bunun anlamı, bu protokolleri uygulayan her kimlik doğrulama yönteminin MFA ile korunamayacağıdır. Bu, en belirgin olanları PsExec ve Remote PowerShell olan tüm CMD ve PowerShell tabanlı uzaktan erişim araçlarını içerir. Bunlar, yöneticinin sorun giderme ve bakım amacıyla kullanıcıların makinelerine uzaktan bağlanmak için kullandığı varsayılan araçlardır ve bu nedenle hemen hemen her AD ortamında bulunur.
Siber Güvenlik Etkileri: Yanal Hareket ve Fidye Yazılım Saldırıları Dirençle Karşılaşmıyor.
Bu ana akım uzak bağlantı yolu, tanımı gereği, güvenliği ihlal edilmiş bir kimlik bilgisi senaryosuna karşı korumasızdır ve sonuç olarak çoğu ila tüm yanal hareket ve fidye yazılımı yayma saldırılarında kullanılır. RDP bağlantısını koruyan ve kötüye kullanılmasını önleyen bir MFA çözümünün olması önemli değildir. Saldırgan için, sıfır hasta makinesinden ortamdaki diğer iş istasyonlarına PsExec veya Remote PowerShell ile geçiş yapmak, RDP ile yapmak kadar kolaydır. Bu sadece bir kapıyı diğerinin yerine kullanma meselesidir.
Olması gerektiği kadar korunuyor musunuz? Belki de MFA’nızı yeniden değerlendirmenizin zamanı gelmiştir. Takip olarak, öğrenmek için bu e-Kitabı keşfedin Silverfort’un MFA’ya Birleşik Kimlik Koruması yaklaşımı hakkında daha fazla bilgi edinin ve mevcut korumalarınızı ve göreceli risk maruziyetinizi nasıl değerlendireceğiniz konusunda fikir edinin.
Sert Gerçek: Kısmi MFA Koruması, Hiçbir Koruma Değildir
Bu nedenle, tüm kritik sunucularınıza ve iş istasyonlarınıza MFA aracıları kurma zahmetinden geçtiyseniz, onları kimlik tehditlerinden koruma konusunda çok az şey başarmış olma ihtimaliniz yüksektir. Bu, yarı yola çıkamayacağınız durumlardan biridir. Ya korunuyorsun ya da değilsin. Teknenin dibinde bir delik olduğunda, geri kalan her şeyin masif ahşap olması çok az fark eder. Aynı şekilde, saldırganlar, komut satırı erişim araçlarına güvenliği ihlal edilmiş kimlik bilgileri sağlayarak ortamınızda yatay olarak hareket edebiliyorsa, artık RDP ve masaüstü oturum açma için MFA korumasına sahip olmanızın bir önemi yoktur.
Şirket İçi Ortamdaki MFA Sınırlamaları, Bulut Kaynaklarınızı da Risk Altına Alır
Buluta geçişe rağmen, kuruluşların %90’ından fazlası hem AD tarafından yönetilen iş istasyonları ve sunucuların yanı sıra SaaS uygulamaları ve bulut iş yükleriyle hibrit bir kimlik altyapısına sahip. Bu nedenle, yalnızca eski uygulamalar ve dosya paylaşımları gibi temel şirket içi kaynaklar değil, aynı zamanda SaaS uygulamaları da MFA korumasının olmaması nedeniyle güvenliği ihlal edilmiş kimlik bilgilerinin kullanımına maruz kalır.
Günümüzde yaygın uygulama, tüm bu kaynaklar arasında parolaları senkronize etmektir, dolayısıyla aynı kullanıcı adı ve parola, hem şirket içi bir dosya sunucusuna hem de kurumsal bir SaaS uygulamasına erişmek için kullanılır. Bu, kullanıcıların kimlik bilgilerinin ele geçirilmesini ve kullanılmasını içeren şirket içi herhangi bir saldırının, doğrudan saldırıya uğrayan makinelerden SaaS kaynaklarına kolayca erişebileceği anlamına gelir.
Paradigma Değişimi: Geleneksel MFA’dan Birleşik Kimlik Korumasına
Açıkladığımız boşluk, geleneksel MFA’nın nasıl tasarlandığından ve uygulandığından kaynaklanmaktadır. Temel sınırlama, günümüzde MFA çözümlerinin her bir kaynağın kimlik doğrulama sürecine bağlanmasıdır; bu nedenle, bu kimlik doğrulamayı gerçekleştiren yazılım, AD komut satırı erişim araçlarında olduğu gibi MFA’yı desteklemiyorsa, hiçbir koruma noktası boş olamaz.
Bununla birlikte, günümüzde odağı MFA’yı her bir kaynağa yerleştirmekten dizine kaydırarak engeli tamamen ortadan kaldıran yeni bir yaklaşım var.
Silverfort, yerel olarak MFA’yı destekleyip desteklemediğine bakılmaksızın, MFA’yı herhangi bir kaynağa genişletebilen ilk Birleşik Kimlik Koruması platformuna öncülük ediyor. Aracısız ve proxy’siz bir teknoloji kullanan Silverfort, AD ile doğrudan entegre olur. Bu entegrasyon sayesinde, AD bir erişim talebi aldığında, kararını bekler ve Silverfort’a iletir. Silverfort daha sonra erişim talebini analiz eder ve gerekirse kullanıcıyı MFA ile sınar. Silverfort, kullanıcının yanıtına bağlı olarak kullanıcıya güvenip güvenmeyeceğini belirler ve kararı, sırasıyla erişim izni veren veya reddeden AD’ye iletir.
Bu yaklaşımdaki yenilik, artık bu erişim talebinin RDP veya komut satırı üzerinden yapılıp yapılmadığı ve MFA’yı destekleyip desteklememesi önemli değil. AD’ye yapıldığı sürece AD, Silverfort’a geçebilir. Böylece, kaynak seviyesindeki MFA korumasından dizin seviyesindeki MFA korumasına geçerek, düşmanların yıllardır kötüye kullandığı kör nokta nihayet çözüldü ve güvenceye alındı.
MFA’yı tüm kaynaklarınıza nasıl uygulayacağınız hakkında daha fazla bilgi edinmek mi istiyorsunuz? bizi ziyaret edin https://www.silverfort.com/