Sadece birkaç yıl önce, yatay hareket, en iyi APT siber suç örgütleri ve ulus-devlet operatörleriyle sınırlı bir taktikti. Ancak bugün, herhangi bir fidye yazılımı tehdit aktörünün becerileri dahilinde, metalaştırılmış bir araç haline geldi. Bu, yanal hareketin gerçek zamanlı olarak algılanmasını ve önlenmesini, her boyuttaki ve tüm sektörlerdeki kuruluşlar için bir gereklilik haline getirir. Ancak rahatsız edici gerçek şu ki, mevcut güvenlik yığınında bu gerçek zamanlı korumayı sağlayabilecek hiçbir araç yok ve bu da bir kuruluşun güvenlik mimarisindeki tartışmasız en kritik güvenlik zayıflığını yaratıyor.
Bu makalede, yanal hareket korumasının zorluğuyla ilgili en temel soruları gözden geçireceğiz, çok faktörlü kimlik doğrulamanın (MFA) ve hizmet hesabı korumasının neden bunu mümkün kılan boşluklar olduğunu anlayacağız ve Silverfort platformunun durumu saldırganların aleyhine nasıl çevirdiğini öğreneceğiz. ve yanal hareket korumasını nihayet erişilebilir hale getirir.
Yaklaşan Web Semineri: Yanal hareket ve bunun gerçek zamanlı olarak nasıl önleneceği hakkında daha fazla bilgi edinmekle ilgileniyorsanız, sizi yaklaşan web seminerimize kaydolun. Sektör uzmanları konuyla ilgili değerli içgörülerini paylaşacak ve olabilecek tüm sorularınızı yanıtlayacaktır.
Hazır? Hadi başlayalım.
Yanal hareket neden bir kuruluş için kritik bir risktir?
Yanal hareket, tek bir uç noktadan ödün verilmesinin, hedeflenen ortamdaki ek iş istasyonları ve sunuculardan ödün verilmesi haline geldiği aşamadır. Tek bir şifreli makine ile olası bir operasyonel kapatma arasındaki fark budur. Yanal hareket, fidye yazılımı saldırılarının %80’inden fazlasında kullanılır ve bu da, verilerini saldırganlardan kurtarmak için ödeme yapmaya istekli dünyadaki her kuruluş için bir risk oluşturur.
Peki yanal hareket gerçekte nasıl çalışır?
Aslında oldukça basit. Birçok farklı biçimde gelen kötü amaçlı yazılımın aksine, yanal hareket süreci basittir. Kurumsal bir ortamda, bir iş istasyonunda veya sunucuda oturum açan her kullanıcı, kullanıcı adı ve parolasıyla birlikte bir komut satırı istemi açıp bir bağlantı komutu yazarak o ortamdaki ek makinelere erişebilir. Bu, bir rakibin yanal olarak hareket etmek için yapması gereken tek şeyin, geçerli bir kullanıcı adı ve şifreyi ele geçirmek olduğu anlamına gelir. Saldırgan bir kez elde edildikten sonra, güvenliği ihlal edilmiş bu kimlik bilgilerini, meşru bir kullanıcıymış gibi kaynaklara erişmek için kullanabilir.
Kulağa basit geliyor, peki önlemek neden zor?
Kulağa ne kadar şaşırtıcı gelse de, kimlik veya güvenlik yığınında gerçek zamanlı olarak yanal hareketi algılayıp önleyebilen hiçbir araç yoktur.. Bunun nedeni, gerekli olanın, saldırganın güvenliği ihlal edilmiş kimlik bilgilerini Active Directory’ye (AD) sağladığı yerde, kimlik doğrulamanın kendisini engelleme yeteneği olmasıdır. Ne yazık ki, esasen eski bir yazılım olan AD, yalnızca tek bir güvenlik kontrolü yapabilir: kullanıcı adı ve parolanın eşleşip eşleşmediği. Varsa, erişim verilir; değilse, erişim reddedilir. AD’nin meşru bir kimlik doğrulama ile kötü amaçlı bir kimlik doğrulama arasında ayrım yapma yeteneği yoktur, yalnızca sağlanan kimlik bilgilerini doğrulama yeteneği vardır.
Ancak MFA’nın bunu çözebilmesi gerekmez mi?
Teoride. Ancak sorun şu: Yanal hareketin nasıl yürütüldüğü hakkında daha önce bahsedilen komut satırı penceresini hatırlıyor musunuz? Ne oldu. Komut satırı erişimi, aslında MFA’yı desteklemeyen iki kimlik doğrulama protokolünü (NTLM ve Kerberos) temel alır. Bu protokoller, MFA var olmadan çok önce yazılmıştı. Ve “destekleme” derken, burada kastettiğimiz, kimlik doğrulama sürecine “bu kimlik bilgileri geçerlidir ancak kullanıcı kimliğini doğrulayana kadar bekleyelim” şeklinde ek bir aşama ekleyemeyeceğinizdir. AD ortamındaki bu MFA koruması eksikliği – önemli bir kör nokta – yanal hareket saldırılarının devam etmesini sağlar.
Bu noktada, 2023’te neden hala MFA gibi temel bir güvenlik önlemini desteklemeyen 20 yılı aşkın bir süre önceki teknolojiyi kullandığımızı merak edebilirsiniz. Bu soruyu sormakta haklısınız, ancak şu anda daha önemli olan, sizinki de dahil olmak üzere ortamların neredeyse %100’ünde bunun gerçek olması. Bu nedenle, bu güvenlik etkilerini anlamak çok önemlidir.
Tüm ayrıcalıklı hesaplarınız için kolayca uygulanabilen MFA ilkeleri oluşturmak, bu hesapların tehlikeye atılmamasını sağlamanın tek yoludur. Özelleştirmelere veya ağ bölümleme bağımlılıklarına ihtiyaç duymadan, Silverfort ile birkaç dakika içinde çalışmaya başlayabilirsiniz. Ayrıcalıklı hesaplarınızı nasıl koruyacağınızı keşfedin Bugün tüm şirket içi ve bulut kaynaklarında MFA korumasını zorunlu kılan uyarlanabilir erişim ilkeleriyle uzlaşmadan hızlı ve sorunsuz bir şekilde kurtulun.
Görünmez, son derece ayrıcalıklı ve korunması neredeyse imkansız olan hizmet hesaplarını unutmayalım
Yanal hareket koruması sorununa başka bir boyut eklemek için, tüm hesapların eşit yaratılmadığını unutmayın. Bazıları maddi olarak diğerlerine göre saldırılara karşı daha hassastır. Makineden makineye erişim için kullanılan hizmet hesapları buna en iyi örnektir. Bu hesaplar herhangi bir insan kullanıcıyla ilişkili değildir, dolayısıyla BT ekibi tarafından daha az izlenir ve hatta bazen unutulur. Ancak genellikle yüksek erişim ayrıcalıklarına sahiptirler ve ortamdaki çoğu makineye erişebilirler. Bu, onları fırsat buldukça kullanan tehdit aktörleri için çekici bir uzlaşma hedefi haline getirir. Hizmet hesaplarının bu görünürlük ve koruma eksikliği, yanal hareket aktörlerinin bel bağladığı ikinci kör noktadır..
Silverfort, yanal harekete karşı gerçek zamanlı korumayı mümkün kılar
gümüşkale yerel olarak MFA’yı destekleyip desteklemediğine bakılmaksızın, MFA’yı herhangi bir kaynağa genişletebilen ilk Birleşik Kimlik Koruması platformuna öncülük eder. Aracısız ve proxy’siz bir teknoloji kullanan Silverfort, AD ile doğrudan entegre olur. Bu entegrasyonla, AD bir erişim talebi aldığında, bunu Silverfort’a iletir. Silverfort daha sonra erişim talebini analiz eder ve gerekirse kullanıcıyı MFA ile zorlar. Silverfort, kullanıcının yanıtına bağlı olarak, kullanıcıya güvenip güvenmeyeceğini belirler ve kararı AD’ye iletir ve ardından gerektiği şekilde erişim izni verir veya reddeder.
Kökte yanal hareketi önleme #1: MFA’yı komut satırı erişimine genişletme
Silverfort, herhangi bir komut satırı erişim aracına (PsExec, Remote PowerShell, WMI ve diğerleri) MFA koruması uygulayabilir. Bir MFA politikası etkinleştirildiğinde, bir saldırgan komut satırı aracılığıyla yanal hareket gerçekleştirmeye çalışırsa, Silverfort gerçek kullanıcıya bir MFA istemi gönderir ve onlardan bu erişim girişimini başlatıp başlatmadıklarını doğrulamalarını ister. Kullanıcı bunu reddettiğinde, erişim engellenir ve saldırganın geçmişte kusursuz çalışan bir yöntemin neden şimdi duvara tosladığı konusunda kafası karışır.
Kökte yanal hareketi önleme #2: Hizmet hesaplarının otomatik görünürlüğü ve korunması
Hizmet hesapları, insan olmayan kullanıcılar olarak MFA korumasına tabi tutulamasa da kimliklerini bir cep telefonu bildirimi ile doğrulayamazlar; yine de korunabilirler. Bunun nedeni, hizmet hesaplarının (insan kullanıcıların aksine) oldukça tekrarlı ve öngörülebilir davranışlar sergilemesidir. Silverfort, her hizmet hesabı için ilkelerin oluşturulmasını otomatikleştirerek bundan yararlanır. Etkinleştirildiğinde, bir standart sapma etkinliği algılandığında bir uyarı gönderebilir veya hizmet hesabı erişimini tamamen engelleyebilirler. Güvenliği ihlal edilmiş bir hizmet hesabının kötü niyetli kullanımı kaçınılmaz olarak bir sapma yaratır çünkü saldırgan hizmet hesabının kimlik bilgilerine sahip olsa bile hesabın standart kullanımını bilemez. Sonuç olarak, yanal hareket için güvenliği ihlal edilmiş bir hizmet hesabını kullanma girişimleri hemen durdurulur.
Yanal hareketi ele almanız gereken bir risk olarak görüyor musunuz? Bir arama planlayın uzmanlarımızdan biriyle.