AYRICALIKLI HESAPLARA YÖNELİK TEHDİTLERİN CYBERARK PTA iLE TESPİTİ VE ÖNLENMESİ
CYBERARK PRIVILEGED THREAT ANALYTICS
Kurumlar PAM ürünleri ile birlikde ayrıcalıklı hesaplarını şifre ve oturum yönetimine tabi tutabilirler. Ancak PAM dışında kalan ayrıcalıklı hesaplar ve o hesaplar ile yapılan işlemler çoğu zaman soru işareti olarak kalmıştır. Ayrıca PAM üzerinden sağlanan oturumlarda da ayrıntılı bir tehdit analizi ihtiyacı olduğu aşikardır.
Örnek olarak, CyberArk PAS çözümünü etkin olarak kullanan bir kurum, ayrıcalıklı hesaplarının düzenli olarak şifresinin değiştirilmesini, bu hesaplara olan yetkisiz erişimlerin önlenmesini ve yapılan erişimlerin kayıt altına alınmasını sağlayabilir. Ancak CyberArk veya başka bir PAM ürününde tutulan veya tutulmayan ayrıcalıklı hesaplar ile yapılan oturumlara otomatik olarak müdahale edebilecek bir teknolojiye ihtiyaç duyulmaktadır. Örnek vermek gerekirse, bir PAM RDP Proxy üzerinden gerçekleştirilen bir RDP oturumu esnasında bir incident oluşturulması durumunda, ancak o incident’a ait kayıtlar PAM kayıt mekanizması sayesinde izlenebilir; ancak eş zamanlı müdahale edilemez. PAM dışından örnek vermek gerekirse, ayrıcalıklı hesapların host edildiği sistemler üzerinden doğrudan yapılan şifre değişimlerine PAM kullanarak müdahale edilememesi PAM çözümleri için eksiklik olarak tanımlanmıştır.
CyberArk, kendi PAM çözümünü Privileged Threat Analytics ürünü ile entegre ederek, daha bütüncül bir çözüm haline getirmiştir. Bu çözüm CyberArk Core PAS ürünü olarak isimlendirilmekte ve lisanslanmaktadır. CyberArk Privileged Threat Analytics, ilk olarak CyberArk kullanıcılarına ait anormallikleri tespit edebilen bir User Behavior Analytics (UBA) ürünü olarak ortaya çıkarılmış, sonrasında ise CyberArk PAS ürününü geliştiren ve tamamlayan bir komponent olarak konumlandırılmıştır.
CyberArk PTA ile birlikde network’unuzde alınabilecek aksiyonları “Collect”, “Detect”, “Alert”, “Respond” olarak dört ana başlık altında inceleyebiliriz.
COLLECT:
PTA, çeşitli kaynaklardan ayrıcalıklı hesapların kullanımına ait bilgileri eş zamanlı olarak toplar. Bu bilgileri aldığı kaynaklardan birincisi CyberArk Vault’dur. Vault üzerinde bulunan ayrıcalıklı hesapların kullanımına ait bilgileri syslog formatında PTA’e eş zamanlı olarak iletir. PTA için bir diğer temel kaynak ise Windows ve unix sunucular tarafından gönderilen ayrıcalıklı kullanıcı hareketlerine yönelik loglardır.
Windows sunuculara ait logları PTA sunucuya gönderebilmek için Windows işletim sistemi sunucularına özgü PTA Windows agent kurulup, syslog gönderimi için kullanılabilir. Ancak log yönetimi işini bir log management ürünü ile yapılan kurulumlarda sunuculardan alınan loglar direk olarak log management ürününden syslog olarak PTA’e gönderilebilir. PTA syslog olarak UTF-8 formatını desteklemektedir ve Arcsight, Splunk, QRadar, LogRhythm, McAfee ve RSA log management ürünleri ile native entegrasyonlar mevcuttur.
Çeşitli log management ürünleri ile toplanan windows ve unix sunuculara ait loglardan aşağıdakileri PTA’e yönlendirilebilir;
Windows
- Event ID 4624 – windows lokal bir makina üzerinde başarılı login işlemi
- Event ID 4720 – AD’de veya local bir makina üzerinde yeni bir kullanıcı oluşturulması
- Event ID 4723 – Bir kullanıcının kendi şifresini değiştirmeye çalışması
- Event ID 4724 – Bir kullanıcının başka bir kullanıcının şifresini değiştrimeye çalışması
- Event ID 4732 – Bir lokal security grup içine kullanıcı eklenmesi
Unix
- Accepted Password
- Accepted Public Key
- Session Open
Bunlara ilave olarak Arcsight log management ürünü ile Oracle Logon events’de PTA sunucuya göndermek mümkündür.
Active Directory
PTA, Active Directory’den okuma yetkili bir kullanıcı ile sorgular çekerek konfigurasyon ve durum bilgisi toplar.
Network Sensor ve DC Agent
PTA’in ayrı birer komponent’leri olan Network Sensor ve DC Agent aynı işi yapabilen, Domain Controller’a ait Kerberos trafiğini PTA sunucuya göndermeyi sağlayan yazılımlardır.
Domain controller üzerine kurulabilen bir ajan sayesinde Kerberos trafiğini PTA sunucuya yönlendirmek mümkün olduğu gibi, DC üzerine ajan kurmak istemeyen kurumlar için DC’ye en yakın switch üzerinden port mirroring yöntemiyle Network Sensor kullanarak yine Kerberos trafiğini PTA sunucuya göndermek mümkündür.
DETECT:
CyberArk PTA, çeşitli kaynaklardan topladığı bilgiler ve bu bilgileri kullanarak oluşturduğu korelasyonlar sayesinde birçok incident’ı tespit edebilmektedir.
Özellikle yüksek risk içeren hesap hareketlerini ve bunlara bağlı olabilecek atak tiplerini tespit edebilir. Bu tip atakları ve riskleri aşağıda ki başılıklarda sıralayabiliriz;
- Güvenlik kontrollerini atlatabilecek bilinen atak türleri
- Kerberos Otantikasyon atak tipleri (DC Agent veya Network Sensor ile)
- Ayrıcalıklı hesapların kullanımına yönelik riskleri
- Ayrıcalıklı hesapların kullanımına ait istatistiksel anormallikleri
- CyberArk RDP Proxy üzerinden yapılan oturumlarda ki riskleri
PTA, hem CyberArk PAS üzerinde yönetilen ayrıcalıklı hesapları hem de henuz PAS üzerinde yönetilmeyen ayrıcalıklı hesapları yukarda bahsedilen kaynaklardan aldığı bilgiler ile sürekli olarak izler ve CyberArk platform’unun eksik veya yanlış kullanımlarını tespit eder. Bu sürekli izleme sayesinde temel olarak aşağıda ki eksik veya kötüye kullanımları tespit edebilir;
- PAS tarafından yönetilmeyen ayrıcalıklı hesapları
- Şüpheli credential çalma işlemlerini (PAS dışı kullanımlar)
- Şüpheli şifre değişim işlemleri (PAS dışı şifre değiştirme işlemleri)
- CyberArk RDP ve SSH Proxy üzerinden yapılan oturumarda ki şüpheli işlemler.
DC agent veya Network Sensor ile deep packet inspection denilen yöntemi kullanarak Domain Controller’lara yönelik Kerberos atakları eş zamanlı olarak tespit edebilir. Bilindiği üzere Kerberos ataklar sayesinde network’de yetki yükseltme ve bu durumu kalıcı bir avantaja çevirmek için birçok kötüye kullanım senaryosu uygulanabilir. Bu atak tiplerine örnek olarak “Over-pass-the-hash, DC Sync ve Golden ticket atak” gibi bilinen atak tipleri sayılabilir ve bu atak yöntemleri PTA ile tespit edilip önlenebilir.
PTA’in sağladığı temel tespitlerinden biride Vault erişimlerinde ki yani PAS login işlemlerinde ki anormalliklerdir. PTA, “proprietary profiling” algoritmasını kullanarak PAS kullanıcı davranışlarını bir süre gözlemler ve buna bağlı olarak kullanıclara ait normal erişim davranışlarını belirleyebilir. Öğrenilen bilgilerin sonucunda kullanıcı hareketlerinde ki anormallikleri aşağıda ki gibi listeleyebiliriz;
- Mesai saatleri dışında sağlanan Vault erişimleri
- PAS kullanıcısının her zaman kullandığı adres dışında farklı bir adresden Vault erişimi yapması
- Vault kasalarda tutulan ayrıcalıklı hesaplara normalden fazla sayıda erişim
- Uzun zamandır pasif olan bir PAS kullanıcısının Vault’a erişimde bulunması
CyberArk PTA ile birlikde tespit edilebilen incident’lara ait tüm detaylı listeye https://docs.cyberark.com/Product-Doc/OnlineHelp/PAS/Latest/en/Content/PTA/What-Does-PTA-Detect.htm?Highlight=what%20can%20we%20detect%20by%20PTA adresinden ulaşabilirsiniz.
ALERT:
PTA topladığı veriler ışığında tespit ettiği kritik incident’ları çeşitli alarm yöntemleri ile ilgili Güvenlik ekiplerine gönderir. Ayrıca tespit ettiği incident’ları önem derecesine göre risk skorlamasına tabi tutar ve tespit ettiği incident’ların detaylarını mail olarak ilgili mailbox’a, CyberArk PVWA (Password Vault Web Access) ve bir log management ürününe syslog olarak gönderebilir.
CyberArk PAS Web arayüzü sunucusu olan PVWA ile karşılık https iletişim sayesinde PTA tarafından tespit edilen incident’lar PVWA Web arayüzden’de (Security events tabından) eş zamanlı takip edilebilir. Ayrıca oluşan incident’ı CyberArk kullanarak ortadan kaldırmak için gerekli öneriler ve ilgili session’ı yine aynı arayüz üzerinden geriye dönük izlemek mümkündür.
PTA ile birlikde özellikle PSM/PSMP-SSH oturumlarında kullanılan yetkili komutları da tespit edip alarm olarak göndermek mümkündür. Ayrıca alarm oluşturulacak komutları belirleyip, hangi kullanıcılar için uygulanması belirlenebildiği gibi, şirket politikasına göre risk skorlaması uygulanabilir. Aynı şekilde windows tarafında tespit edilebilecek birçok incident’da PVWA arayüzünden “security configuration” sekmesinden şirket güvenlik politikasına göre ayarlanabilir veya “Add rule” sekmesi ile yeni bir kural olarak eklenebilir.
RESPOND:
PTA, CyberArk Core PAS ürününün tamamlayacı bir komponent’idir. Bu sayede tespit ettiği bir takım incident’lar için otomatik aksiyonlar alabilmektedir. Alınabilecek otomatik aksiyonları PVWA arayüzünden aktif hale getirebildğimiz gibi aşağıda ki gibi sıralayabiiriz;
- CyberArk PAS tarafından yönetilmeyen hesapları tespit edildiğinde CyberArk PAS kasalara eklenmesi sağlamak ve şifresini resetlettirmek.
- CyberArk kasalarda tutulan hesapları, tespit edilen incident’a bağlı olarak şifre değişimine tutulmasını sağlamak.
- CyberArk RDP Proxy üzerinden sağlanan oturumlarda tanımlı incident’ların oluşması durumunda ilgili oturumu terminate veya suspend etmek.
PVWA arayüzünden “security configurations” sekmesinden bu özellikler aktif/pasif hale getirilebilir.
PSM oturumlarının PTA ile analiz edilmesi ve risk skorlaması yapılması sayesinde, Audit ekipleri için oluşan incident’ları önceliklendirme imkanı sağlandığı gibi, alınabilecek aksiyonu otomatik olarak sonlandır veya dondur gibi seçeneklerde sağlanmaktadır. Örnek olarak Windows firewall editlenmesi gibi aktiviler için otomatik terminate veya suspend gibi sadece alarm oluşturulması sağlanabilir.
Kaynaklar:
https://docs.cyberark.com/Product-Doc/OnlineHelp/Portal/Docs.html
Eren Yıldırım
Devamını Oku
