Servis Masası: Yeni Güvenlik Sınırı
Günümüzde siber saldırganlar, fiziksel güvenlik önlemlerinden çok, insanları hedef alıyor. Birçok işletmenin içeri girmesinin en hızlı yolu hâlâ servis masası. Tehdit aktörleri arasında yer alan Scattered Spider, sosyal mühendisliği bir bilim haline dönüştürerek, yardım masası çalışanlarını birincil hedef haline getiriyor.
Tek bir ikna edici telefon görüşmesi, sıradan bir şifre sıfırlama işlemini tam etki alanı erişimine dönüştürebilir. MGM Resorts ve Clorox gibi büyük şirketlerin yaşayarak deneyimlediği bu tür olaylar, başarılı bir sosyal mühendislik çağrısının ne denli yıkıcı olabileceğini gözler önüne seriyor. Bu tür olayların, dokuz haneli bir iş etkisi ve haftalarca süren aksamalara yol açtığı biliniyor.
Bu olaylar, bir tesadüf değil; tam olarak kurgulanmış bir senaryo.
Eğitim Önemli, Kontroller Karar Verir
Hızlı bir çözüm için ajan eğitimleri elbette önemlidir. Ancak, tek başına yeterli olmayabilir. Sosyal mühendisler, zaman baskısı altında yardımsever insanları istismar etme konusunda uzmanlaşmıştır. Yalnızca scriptler, “sağduyu” ve rastgele zorluk soruları, sakin, hazırlıklı ve ikna edici bir saldırgan karşısında çökebilir.
Eğer son savunma hattınız, aşırı çalışmış bir ajanın vereceği karara dayanıyorsa, zaten kaybetmişsiniz demektir. Kısaca, kullanıcı doğrulaması, bir güvenlik akışı olarak yönetilmeli; ajanın tartışmasına bırakılmamalıdır.
Servis Masası Kullanıcı Doğrulama Akışı
Kullanıcı doğrulamasını ajanın zihninden çıkararak, tutarlı, kaydedilmiş ve uygulanabilir bir IT güvenlik iş akışına entegre etmek gerekiyor. Aşağıdaki maddeler, bu iş akışının temel özelliklerini oluşturur:
Zorunlu kontroller: Ajanlar, kimlik bilgilerine erişim sağlamamalı ve bunları görüntülememelidir. Bu işler akış üzerinden yürütülmelidir.
Rol tabanlı doğrulama: Kontrol derinliği, rolün riskine göre ayarlanmalıdır (yönetici, finans, müteahhitler, vb.). Yüksek riskli roller daha güçlü kanıtlar talep eder.
Puan temelli esneklik: Gerçek hayatta telefonlar arızalanır, seyahat sırasında iki aşamalı kimlik doğrulama başarısız olabilir. Farklı kanıt türleri ile birlikte, puanların toplanarak bir geçme/kalma eşiğine ulaşmasına izin verilmelidir.
ITSM entegrasyonu: Ajanlar, normal araçlarında (örneğin, ServiceNow) kalmalıdır. Talepler, doğrulama akışını otomatik şekilde başlatmalı ve sonuç + telemetri, talebe geri dönmelidir.
Ajan Stresini ve Hataları Azaltma: Resmi bir iş akışı, ajanların güvenlik uzmanı olma yükünü ortadan kaldırır ve yüksek riskli kararlar vermek zorunda kalmazlar. Bu durum, daha hızlı, daha tutarlı ve daha az stresli bir işlem döngüsü sağlar. Bu yalnızca daha iyi bir güvenlik değil, aynı zamanda daha iyi bir hizmettir.
İyi Bir Doğrulama Profili Nasıl Olmalı? (NIST Uyumlu Profiller)
Çoğu müşterimiz, kimlik doğrulama profilleri ile kullanıcı riskini ve mevcut faktörleri eşleştirerek üç ana profil ile başlar. Bu profiller:
Profil 1 (Standart Kullanıcı – Düşük Güvence): Standart bir çalışanın şifre sıfırlama gibi rutin talepleri için.
- Yöntem: Kayıtlı kurumsal doğrulayıcı uygulamasına (Okta Verify, MS Authenticator) bir push bildirimi göndermek. Bu hızlı, tanıdık ve mevcut altyapıyı kullanır.
Profil 2 (Yetkili Kullanıcı / Hassas İşlem – Yüksek Güvence): Alan yöneticileri, finans kontrolörleri veya hassas bir değişiklik talep eden herkes için.
- Yöntem: İki farklı faktör gerektirir. Örneğin: Başarılı doğrulayıcı push bildirimi VE bir kez kullanılan kodun kurumsal e-posta adresine gönderilmesi.
Profil 3 (Acil Durum / MFA Hatası – Esnek Güvence): Kullanıcının birincil MFA cihazını kaybettiği durumlar için.
- Yöntem: Kullanıcının, kendisini tamamen kilitlemeyen bir seçenekler menüsünden 100 puan elde etmesi gerekmektedir.
Saldırıları Erken Tespit Etme ve Her Şeyi Belgeleyin
Doğrulama iş akışının bir parçası olduğunda, güvenlik sonuçları “ücretsiz” olarak elde edilir. İşte müşterilerimizin elde ettiği bazı ek avantajlar:
Erken uyarı: Aynı kullanıcıya veya role karşı başarısız doğrulama sayılarındaki artış, yangından önceki duman gibidir. Güvenlik operasyonlarına otomatik uyarılar gönderir.
Denetim izi: Her girişim, unsur, puan ve sonuç, talebe kaydedilir.
Uyumluluk: Otomatik raporlama, masa üzerindeki tutarlı kontrolleri gösterir.
Yürütme Planı ile Masa Aksatmasın
Tüm organizasyonların kendi proje ilkeleri vardır, ancak yaygın özellikler şunlardır:
Faktör ve boşlukları envanterine alma: Hangi kullanıcıların MFA’sı var? Hangi kullanıcıların yok? Hangi güvenli veriler bilgi kontrolü için uygundur?
Üç profil tanımlama: Düşük/orta/yüksek riskli rollere göre eşleştirin; geçiş eşiğini 100 olarak ayarlayın.
ITSM ile entegrasyon: Kullanıcı kimliği + kategori ile akışı talebinizden başlatın; sonuçları ve telemetriyi geri yazın.
Eğitim süreci değil, süreç öğrenimi: Ajanlar sadece bir şeyi öğrenmelidir: İş akışını takip etmek.
Ölçme ve ayarlama: Başarısızlık oranlarını, çözüm sürelerini, yükseltmeleri ve yanlış redleri takip edin. Puanlama ve soruları üç ayda bir ayarlayın.
Sonuç
Sosyal mühendisliğin üstesinden gelmek için sadece daha iyi posterler ve daha uzun senaryolar kullanılmamalıdır. Bunu, esnekliği ortadan kaldırarak, kanıtları artırarak ve saldırganların istismar etmek istediği iş akışını düzenleyerek başarmak mümkündür. Bunu yaparak, servis masası yumuşak bir hedef olmaktan çıkar ve doğru bir kontrol mekanizması haline gelir.
