Ayrıca modern siber tehditler, organizasyonların en savunmasız noktalarından biri olan ve izlenmesi daha zor olan uç noktalara odaklanmaktadır.Güçlü bir uç nokta çözümü olmadan sistemlerinizi ve verilerinizi saldırılardan korumak oldukça zordur. İşte bu noktada, siber güvenlik çözümlerinden biri olan CyberArk, dünya genelinde ayrıcalıklı erişim yönetimine liderlik etmektedir. Çözümlerinden biri olan CyberArk Endpoint Privilege Manager (EPM), uç noktalardaki ayrıcalıklı erişim risklerini ortadan kaldırırken, kullanıcıların verimliliğini ve iş sürekliliğini kesintiye uğratmadan güvenliği ön planda tutmayı hedefler. Bu sayede varsayılan ayrıcalıkları kaldırarak veya sıkılaştırarak, zararlı yazılım ya da kimlik avı saldırılarını sisteme zarar vermeden izleme ve engelleme gibi çözümleriyle uç nokta güvenliğini sağlar.
CyberArk EPM’nin bazı özelliklerinden bahsedecek olursak:
Kullanıcıların yerel yönetici ayrıcalıklarını kaldırarak, kötü amaçlı yazılımların ve saldırganların sistem üzerinde ayrıcalıklı yetkileri kullanabilmesini engeller ve izole bir ortam sağlar. Son kullanıcıların kimlik bilgilerinin ele geçirilmesini ve yetkiye erişimi zorlaştırır.
Uç noktalardaki tehditleri algılayan ve izinsiz uygulamaların çalıştırılmasını engelleyen kurallarla kimlik avı saldırılarına karşı etkin bir koruma sağlar.
Güvenilir uygulamaları otomatik olarak beyaz listeye alırken, şüpheli veya bilinmeyen uygulamaların çalıştırılmasını engeller. Böylece, zararlı yazılımların ayrıcalıklara erişim elde etmesini önlemeye yardımcı olur.
Tarayıcılar ve uygulamalar üzerinden kimlik bilgisi hırsızlığını tespit ederek, saldırganların parolaları ele geçirme girişimlerini durdurur.
Kullanıcıların belirli görevleri gerçekleştirmek için gerekli yönetici ayrıcalıklarını, uygulama bazlı olarak ve kontrollü bir şekilde yükseltmesine olanak tanır. Böylece genel bir yönetici ayrıcalığı verilmeden erişim sağlanır.
Uç noktalardaki yerel hesap parolalarını güvenli bir şekilde yönetir ve bu işlemi döngüsel olarak gerçekleştirir. Bu sayede parola yönetimi ve sıkılaştırma sağlanır.
CyberArk EPM’in yeteneklerini etkin bir şekilde kullanan organizasyonlar, hem uç nokta kullanıcısının iş yükünü azaltmayı hem maliyetleri düşürmeyi hem de yüksek sıkılaştırma ile kötü niyetli kullanımın önüne geçmeyi hedefler. Aynı zamanda, son kullanıcıya gerekli yetkilerle izole bir kullanım imkanı sağlar. Bu sayede, kullanıcı kimlik bilgisi hırsızlığı ve saldırı ataklarına karşı oluşabilecek sorunların tamamı engellenmiş olur.
Uç nokta kullanıcısının kimliği, gerçek bir kişiyi tanımlayan isim, unvan, bölüm gibi bilgilerin yanı sıra; kullanıcı adı, e-posta, token, şifreler ve biyometrik parametreler gibi kimliğin tüm yetkilerini içeren kritik bilgilerden oluşur. Her gün kişiler, kurumlar ve organizasyonlar tarafından binlerce farklı kimlik bilgisi kullanılmaktadır. Siber suçlar, çeşitli yollarla son kullanıcı kimliklerini ele geçirmeye odaklanarak temel hedef olarak ayrıcalıklı kimliklere erişmeyi amaçlar. Bu nedenle, son kullanıcı kimlikleri kimlik yaşam döngüsünün en zayıf halkasıdır.
Genel olarak kimlik hırsızlığı, küçük zafiyetlerin veya güvenlik açıklarının bir araya getirilerek minimal olasılıklı saldırı senaryoları ile gerçekleştirilir. Yanal hareketlerle saldırının yaygınlaştırılması sağlanır ve sonuç olarak yetkisiz bir kullanıcıdan yetkili bir kullanıcıya doğru bir akış gerçekleşir. Bir kullanıcıya erişim sağlandıktan sonra, erişim sağlanan organizasyonlar üzerinden elde edilen hesapların sayısı ve yetkisi artarak ilerler.
Kullanıcı hırsızlarının ayrıcalık elde etmesini engelleyen ve gerektiğinde onay isteyen User Access Control (UAC) mekanizması, Windows işletim sisteminin güvenlik mekanizmalarından biridir. UAC, yetkisiz erişimleri önleyerek ve bilgisayar güvenliğini artırarak kimlik hırsızlığı ve siber saldırı denemelerine karşı etkili bir sınırlama getirir.
Kullanıcı Hesabı Denetimi (UAC), sistem üzerinde yapılacak ayrıcalıklı işlemler için kullanıcıdan onay istemektedir. Bu işlemler şunları içerir: izinsiz sistem değişikliklerinin engellenmesi, kullanıcı bilgilendirmesi ve en az ayrıcalık prensibi gibi sınırlamalar. UAC, son kullanıcı bazında kullanıcı bilinçliliğini artırmanın yanı sıra izolasyon ve saldırı yüzeyini küçültmek gibi avantajlar sağlamaktadır. Ancak, UAC son kullanıcılar için güvenlik önlemleri sunsa da, onay mekanizması ve güvenlik koruma sınırlamaları bazı durumlarda yetersiz kalabilir.
Bu sınırlamalar mutlaka ekstra çözümlerle desteklenmeli, izole edilmeli ve izlenerek raporlanmalıdır. Kullanıcı davranışları, yerel yönetici yetkisi ve hedefe yönelik saldırılar gibi sınırlamaların dışında kalan durumlarda CyberArk uç nokta güvenlik çözümü olan CyberArk Endpoint Privilege Manager (EPM), UAC mekanizmasının eksik kaldığı noktaları tamamlayarak kötü niyetli saldırılara karşı daha güçlü bir koruma sağlar.
CyberArk EPM ve Windows UAC birlikte çalıştığında güçlü bir güvenlik katmanı oluşturur. Bu sayede:
Bu özellikler sayesinde CyberArk EPM ve UAC, birlikte çalışarak organizasyonel düzeyde sistemlerin güvenliğini artırırken saldırganlardan gelen atakların önüne geçer. CyberArk EPM’in etkilerini şu üç ana başlıkta değerlendirebiliriz:
CyberArk EPM, kullanıcı yetkilerini işlem bazında dinamik bir şekilde yükselterek admin haklarının getirdiği riskleri ortadan kaldırmayı hedefler. Bu sayede:
CyberArk EPM, uç noktalarda çalışan tüm uygulamaları izler ve yapay zeka yardımıyla risk seviyesine göre sınıflandırır.
Bu güvenlik avantajlarının sonucu olarak:
Windows UAC, siber saldırılar için sıkça hedef alınan bir mekanizma olduğundan, yaygın saldırı teknikleri yaşandığında CyberArk EPM’in bu noktada neler yapabileceğine göz atalım.
Saldırı Tekniği:
Windows sistem araçları (ör. fodhelper.exe, eventvwr.exe) UAC tarafından otomatik olarak güvenilir kabul edilir ve yönetici yetkileriyle çalıştırılır. Saldırganlar bu araçları kötüye kullanarak yüksek yetkili işlemler başlatabilir.
EPM’nin Çözümü:
Uygulama Kontrolü:
EPM, tüm uygulamaların dijital imzalarını kontrol eder ve yalnızca güvenilir kaynaklardan gelen işlemlerin çalışmasına izin verir. Tanımlanmamış uygulamalar için bir “default deny” politikası uygulanabilir.
Kural Bazlı Politikalar:
LOLBins gibi sistem araçlarının yalnızca belirli koşullarda çalıştırılmasına izin verir. Örneğin, fodhelper.exe, yalnızca bir IT yöneticisi tarafından belirlenen şartlarda çalıştırılabilir.
Nasıl Çalışır:
Kayıt Defteri Manipülasyonu:
Komut Çalıştırma:
Saldırgan, hedef sistemde kayıt defteri değişikliğinden sonra bu aracı çağırarak zararlı komutlarını yürütür.
Saldırı Tekniği:
Bir uygulamanın yüklediği DLL dosyasını manipüle ederek, saldırgan kendi zararlı DLL’ini çalıştırabilir. Bu yöntem, yüksek yetkili işlemler için ciddi bir tehdit oluşturur.
EPM’nin Çözümü:
Güvenilir Kaynak İzleme:
EPM, yalnızca güvenilir yollar veya dijital olarak imzalanmış DLL dosyalarının yüklenmesine izin verir. Ayrıca, DLL dosyalarının yüklendiği yolları sürekli izler.
Inherited Trust:
Bir uygulama güvenilir bir kaynaktan yüklenmişse, bu uygulamanın yüklediği tüm bağlı dosyalar otomatik olarak güvenilir kabul edilir. Bu mekanizma, saldırganların DLL manipülasyonlarını devre dışı bırakır.
Nasıl Çalışır:
Saldırı Tekniği:
UAC tarafından kontrol edilen bazı uygulamaların çalıştırma parametreleri, kayıt defteri anahtarları üzerinden belirlenir. Saldırganlar bu anahtarları manipüle ederek zararlı komutlar çalıştırabilir.
EPM’nin Çözümü:
Kayıt Defteri İzleme (Registry Modifications):
EPM, kullanıcıların veya uygulamaların kayıt defteri anahtarlarına yetkisiz erişim girişimlerini algılar ve engeller.
Dinamik Yetki Yönetimi:
Yönetici yetkisi yalnızca kayıt defteri üzerinde belirli bir işlem için geçici olarak verilir ve işlem tamamlandığında kaldırılır.
Nasıl Çalışır:
Saldırı Tekniği:
Bir saldırgan, güvenilir bir Windows sistem dosyasını taklit eden bir dosya oluşturur ve bu dosyayı yüksek yetkilerle çalıştırır.
EPM’nin Çözümü:
Uygulama Doğrulama:
EPM, çalıştırılmaya çalışılan tüm uygulamaların dijital imzasını ve kaynağını doğrular. Eğer bir uygulama sistemde tanımlı değilse veya imzasızsa, çalıştırılması engellenir.
Varsayılan Engelleme (Default Deny):
EPM, bilinmeyen uygulamaların çalıştırılmasını varsayılan olarak reddeder. Bu, sahte dosyaların sistemde çalıştırılmasını engeller.
Nasıl Çalışır:
Saldırı Tekniği:
Saldırganlar, Microsoft UAC mekanizmasındaki güvenlik açıklarını hedef alarak yüksek yetki elde edebilir. Örneğin, yamalanmamış bir UAC bileşeni exploit edilebilir.
EPM’nin Çözümü:
Yama Yönetimi:
EPM, tüm sistem bileşenlerinin güncel ve yamalanmış olmasını sağlar. Yama yapılmamış bileşenleri tespit ederek güvenlik açıklarını minimize eder.
Dinamik Politika Uygulama:
Saldırganların bilinen exploit’lerini tanımlayan politikalar uygulayarak bu tür girişimleri engeller.
Kötü amaçlı organizasyon ve kullanıcıların UAC Bypass ataklarına karşı CyberArk EPM etkili bir savunma katmanı sağlar. Yetki yönetimi, uygulama kontrolü ve izleme gibi özellikleri sayesinde saldırganların UAC mekanizmasını atlama girişimleri büyük ölçüde engellenir. Bu sayede, Windows UAC yetkinliklerini aşan saldırılar CyberArk EPM ile kullanıcı ve bilgi güvenliğini sağlamayı hedefler.
-