Ortak Hesapların Tehlikesi ve Önemi
Organizasyonlar büyüdükçe, çalışanlar, yükleniciler, hizmetler ve sistemler gelip geçerken, geriye genellikle “yetim” hesaplar kalmaktadır. Bu hesaplar, tesisat üzerinde aktif olsa da, yönetime kapalı ve takip edilmediği için potansiyel bir güvenlik açığı oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Gelir, çalışmayan ya da “yetim” hesaplar genellikle yönetilmezler. Bunun temel sebebi, sistemlerin parçalı bir yapı ile yönetilmesidir. Geleneksel Kimlik Yönetimi (IAM) ve Kimlik Yönetim ve İçi Kapsama (IGA) sistemleri esasen insan kullanıcılar için tasarlanmıştır ve her uygulama için manuel entegrasyon gerektirir. Bu durum, birçok uygulamanın kayıtlara dahi alınmamasına yol açmaktadır.
Etkilenen Sistemler
- Entegrasyon Bottleneck’leri: Her uygulama, IAM’nin yönetebilmesi için özel bir yapılandırma gerektirir. Yönetilmeyen sistemler genellikle önceliklendirilmez.
- Kısmi Görünürlük: IAM araçları yalnızca “yönetilen” kimlikler üzerinde çalışır; bu, yerel yönetici hesapları, hizmet kimlikleri ve eski sistemleri göz ardı eder.
- Karmaşık Sahiplik: Çalışan değişikliği, birleşmeler ve dağıtık ekipler nedeniyle hangi uygulamanın veya hesabın kime ait olduğu belirsizleşir.
- AI-Ajanlar ve Otomasyon: Ajan-AI, insan operatörlerinden bağımsız olarak çalışan yarı otonom kimlikler getirir, bu da IAM modelini daha da karmaşık hale getirir.
Gerçek Dünya Riski
Yetim hesaplar, bir organizasyonun arka kapılarıdır. Geçerli kimlik bilgilerine sahip olup, aktif bir sahibi bulunmadığından, saldırganlar tarafından bu hesaplar sıklıkla istismar edilir.
- Colonial Pipeline (2021) – saldırganlar, eski/aktif olmayan bir VPN hesabı üzerinden sisteme girdi. Çok sayıda kaynak, “pasif/eski” hesap detayını doğrulamaktadır.
- Akira ransomware saldırısına uğrayan bir üretim şirketi (2025) – ihlal, “hayalet” üçüncü taraf tedarikçi hesabı aracılığıyla gerçekleşti (aktifleştirilmemiş, yani yetim bir hesap).
- Birleşme ve Satın Alma (M&A) bağlamı – birleşme sonrası konsolidasyon sırasında genellikle binlerce eski hesap/tokene rastlanır; işletmeler, sıklıkla hala aktif olan eski çalışan token’lerini bir tehdit olarak belirtmektedir.
Yetim hesaplar, çeşitli riskleri destekler:
- Uyum Sorunları: En az ayrıcalık ve devre dışı bırakma gereksinimlerini ihlal eder (ISO 27001, NIS2, PCI DSS, FedRAMP).
- Operasyonel Verimsizlik: Şişirilmiş lisans sayıları ve gereksiz denetim yükleri oluşturur.
- Olay Cevabında Gecikme: Görünmeyen hesaplar dahil olduğunda adli inceleme ve müdahale süreci yavaşlar.
Çözüm ve Korunma
Kuruluşlar varsayımlar yerine kanıtlara ihtiyaç duymaktadır. Yetim hesapların ortadan kaldırılması, her hesabı, izinleri ve aktiviteleri görebilme yeteneği olan tam bir kimlik gözlemlenebilirliğini gerektirir.
Modern önlemler arasında:
- Kimlik Telemetri Toplama: Yönetilen ve yönetilmeyen uygulamalardan aktivite sinyallerini doğrudan çıkarmak.
- Birleşik Denetim İzleri: Katılan/taşınan/veya ayrılan olaylar, kimlik doğrulama kayıtları ve kullanım verilerini ilişkilendirerek sahipliği ve meşruiyeti doğrulamak.
- Rol Bağlamı Haritalama: Gerçek kullanım içgörülerini ve yetki bağlamını, kimlik profillerine kayıt edilmesi için dosyalama – kimin neyi, ne zaman ve neden kullandığını gösterme.
- Sürekli Uygulama: Hiçbir aktivitesi veya sahipliği olmayan hesapları otomatik olarak işaretlemek veya devre dışı bırakmak, manuel incelemeleri beklemeden riskleri azaltmak.
Sonuç
Kuruluşlar, görünürlük açığını kapatarak, yetim hesapları gizli yükümlülüklerden yönetilebilir varlıklara dönüştürebilirler. Bu, organizasyonların güvenlik düzeylerini artırmalarına ve olumsuz etkilere karşı korunmalarına yardımcı olacaktır. Okuyuculara önerim; kimlik yönetim sistemlerini gözden geçirmeleri ve güncellemeleri, gereksiz hesapları kapatmaları ve kimliklerin doğru bir şekilde yönetildiğinden emin olmalarıdır.
