15 Ağu 2024Hacker HaberleriKimlik Güvenliği / Tehdit Algılama

Kimlik Tehditlerinin Algılanması ve Tepkisinin Ortaya Çıkışı

Kimlik Tehdit Algılama ve Yanıtlama (ITDR), kimliğe dayalı saldırıları etkili bir şekilde algılamak ve yanıtlamak için kritik bir bileşen olarak ortaya çıkmıştır. Tehdit aktörleri, kimlik altyapısını tehlikeye atma ve IaaS, Saas, PaaS ve CI/CD ortamlarına yatay olarak geçme yeteneklerini göstermiştir. Kimlik Tehdit Algılama ve Yanıtlama çözümleri, kuruluşların ortamlarındaki şüpheli veya kötü niyetli faaliyetleri daha iyi algılamalarına yardımcı olur. ITDR çözümleri, güvenlik ekiplerine “Ortamımda şu anda neler oluyor – kimliklerim ortamlarımda ne yapıyor” sorusunu yanıtlamalarına yardımcı olma yeteneği sağlar.

İnsan ve İnsan Olmayan Kimlikler

ITDR Çözüm Kılavuzu’nda belirtildiği gibi, kapsamlı ITDR çözümleri hem insan hem de insan olmayan kimlikleri kapsar. İnsan kimlikleri iş gücünü (çalışanlar), misafirleri (yükleniciler) ve satıcıları içerir. İnsan olmayan kimlikler belirteçleri, anahtarları, hizmet hesaplarını ve botları içerir. Çok ortamlı ITDR çözümleri, kimlikleri parçalanmış bir katmana özgü düzeyde güvence altına almak yerine, örneğin IdP’den IaaS ve SaaS katmanlarına kadar tüm kimlik varlığı risklerini tespit edebilir ve bunlara yanıt verebilir.

Temel ITDR Yetenekleri

Bir ITDR çözümünün temel yetenekleri şunlardır:

  1. İnsan ve insan olmayan kimlikler, bulut hizmeti katmanları ve şirket içi uygulamalar ve hizmetler genelindeki faaliyetler dahil olmak üzere tüm varlıklar için evrensel bir kimlik profili geliştirmek.
  2. Statik analiz, duruş yönetimi ve bu kimliklerin yapılandırmasını, bu kimliklerin ortamda gerçekleştirdiği çalışma zamanı etkinliğiyle eşleştirmek.
  3. Doğrudan ve dolaylı erişim yollarının izlenmesi ve takibi, ortamdaki tüm kimliklerin faaliyetlerinin izlenmesi.
  4. Kimlik sağlayıcıları, IaaS, PaaS, SaaS ve CI/CD uygulamalarını kapsayan çoklu ortam kimlik izleme ve tespitlerini düzenleyerek kimliğin ortamda nereye giderse gitsin takip edilmesini sağlamak.
  5. Kuruluşların tekil olaylara dayanan yüksek hacimli, atomik uyarılara tepki vermek yerine, saldırı yüzeyinin tamamında ortaya çıktıkça kimlik tehditlerine karşı harekete geçmelerini sağlayan çok ortamlı yüksek doğruluklu algılama ve yanıtlama.

ITDR yeteneklerinin tam listesi için tam listeye erişebilirsiniz Kimlik Tehdidi Algılama ve Müdahale Çözüm Rehberi.

Kimlik Tehdidi Kullanım Örnekleri

Kimlik saldırılarına karşı etkili bir şekilde korunmak için kuruluşlar, saldırıları tespit etmek ve azaltmak için gelişmiş yeteneklere sahip bir ITDR çözümü seçmelidir. Bu yetenekler, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere hem insan hem de insan olmayan kimlikler için bir dizi kullanım durumunu ele almalıdır:

  1. Hesap Devralma Tespiti: Bir kimliğin tehlikeye girdiğini gösteren çok sayıda varyanttan herhangi birini tespit edin.
  2. Kimlik Bilgisi Tehlikesi Tespiti: Ortamda çalınan veya tehlikeye atılan kimlik bilgilerinin kullanımını tespit edin ve uyarın.
  3. Ayrıcalık Yükseltme Algılama: Sistemler ve uygulamalar içerisinde yetkileri yükseltmeye yönelik yetkisiz girişimleri tespit edin.
  4. Anormal Davranış Algılama: Kötü amaçlı aktiviteye işaret edebilecek normal kullanıcı davranışından sapmaları izleyin.
  5. İçeriden Tehdit Tespiti: Dahili kullanıcıların kötü niyetli veya ihmalkar eylemlerini belirleyin ve bunlara yanıt verin.

Kimlik tehdidi kullanım örneklerinin tam listesi için tam listeye erişebilirsiniz Kimlik Tehdidi Algılama ve Müdahale Çözüm Rehberi.

Etkili bir ITDR Çözümünün Cevaplaması Gereken Sorular

1. KİMLİK ENVANTERİ VE ERİŞİM YÖNETİMİ

Çevremizde hangi varlık kimlikleri mevcuttur?

  • Tüm ortamlarda insan ve insan olmayan kimliklerin kapsamlı envanteri.

Bu kimliklerin hangi rolleri ve izinleri var?

  • Her kimliğin farklı bulut ve şirket içi ortamlarda sahip olduğu roller, gruplar ve belirli izinler hakkında ayrıntılar.

Hangi rol/grup belirli bir kullanıcıya bir kaynağa erişim hakkı verdi? Bu erişimin izin kapsamı nedir?

  • Kaynaklara erişim sağlayan roller/gruplar ve izinler hakkında ayrıntılar.

2. RİSK DEĞERLENDİRMESİ VE ANOMALİ TESPİTİ

Bulut hizmetleri katmanımdaki en riskli 10 kimlik hangileridir? Bu kimliklerden biri tehlikeye girerse patlama yarıçapı ne olur?

  • En riskli kimliklerin tespiti ve bunların tehlikeye girmesinin potansiyel etkisinin değerlendirilmesi.

Kimlik davranışlarında herhangi bir anormallik var mı?

  • Her kimlik için normal davranış kalıplarından sapmaların tespiti, potansiyel kötü niyetli faaliyetlerin vurgulanması.

Herhangi bir kimlik bilginiz tehlikeye atıldı mı?

  • Ortamda çalınan veya tehlikeye atılan kimlik bilgilerinin kullanımıyla ilgili uyarılar.

3. KİMLİK DOĞRULAMA VE ERİŞİM MODELLERİ

Kimlikler nasıl doğrulanıyor ve erişim sağlanıyor?

  • Federasyonlu ve federasyonsuz erişim noktaları dahil olmak üzere tüm kimlikler için kimlik doğrulama yöntemlerini ve erişim yollarını izleme.

Giriş denemelerinin kaynakları ve konumları nelerdir?

  • IP adresleri, coğrafi konumlar ve cihaz bilgileri de dahil olmak üzere oturum açma girişimlerinin ayrıntılı günlükleri.

Mevcut çevreme farklı türdeki varlıklar (insan ve insan olmayan) tarafından nasıl erişiliyor?

  • Ortamdaki farklı varlık türleri için erişim modellerinin izlenmesi.

Ortamımdaki uygulamalar ve bulut hizmetleri katmanlarında MFA ne kadar yaygın olarak uygulanıyor?

  • Ortam genelinde Çok Faktörlü Kimlik Doğrulamanın (MFA) uygulanması ve zorunlu kılınmasının değerlendirilmesi.

4. FAALİYET İZLEME VE DEĞİŞİKLİK TAKİBİ

Ortamımda hangi değişiklikler yapıldı, bu değişikliklerden kim sorumlu ve diğer bulut hizmeti katmanlarında da benzer değişiklikler yapıldı mı?

  • Son değişikliklerin takibi ve raporlanması, sorumlu kullanıcılar ve katmanlar arası tutarlılık.

Hangi kimlikler hassas verilere veya kritik sistemlere erişti?

  • Hassas veri depolarına, kritik sistemlere ve yüksek riskli uygulamalara kimlik erişiminin izlenmesi ve raporlanması.

5. OLAY İLİŞKİSİ VE YANIT

Kimlikle ilgili olaylar farklı ortamlarda nasıl ilişkilendiriliyor?

  • Birleşik bir görünüm sağlamak için IdP, IaaS, PaaS, SaaS, CI/CD ve şirket içi ortamlarda kimlik etkinliklerinin ve olaylarının ilişkilendirilmesi.

Belirlenen tehditleri azaltmak için hangi eylemler yapılmalıdır?

  • Tespit edilen kimlik tehditlerini azaltmak ve gelecekteki olayları önlemek için eyleme dönüştürülebilir öneriler ve otomatik yanıt seçenekleri.

Soruların ve iş kullanım örneklerinin tam listesi için tam listeye erişebilirsiniz Kimlik Tehdidi Algılama ve Müdahale Çözüm Rehberi.



siber-2