Ana Sayfa Çözümler Neden Netsmart? Kariyer Keşif İletişim

Netsmart Bilişim Sistemleri A.Ş.

Esentepe Mh. Ecza Sk. No: 6 K: 1, 34394,
Şişli-İstanbul, Türkiye

+90212-274-31-61

info@netsmart.com.tr

Analiz

CyberArk EPM ile UAC Bypass Tekniklerinin Engellenmesi

Dijitalleşen dünyada, organizasyonlar ve büyüyen sektörlerle birlikte siber saldırılar ve tehditler de aynı oranda artmaktadır. En büyük tehditlerden biri olan ayrıcalıklı hesapların güvenliği ile başlayan bu süreç, son kullanıcı noktasına kadar baştan sona kritik bir öncelik haline gelmiştir.


Genel Bakış

Ayrıca modern siber tehditler, organizasyonların en savunmasız noktalarından biri olan ve izlenmesi daha zor olan uç noktalara odaklanmaktadır.Güçlü bir uç nokta çözümü olmadan sistemlerinizi ve verilerinizi saldırılardan korumak oldukça zordur. İşte bu noktada, siber güvenlik çözümlerinden biri olan CyberArk, dünya genelinde ayrıcalıklı erişim yönetimine liderlik etmektedir. Çözümlerinden biri olan CyberArk Endpoint Privilege Manager (EPM), uç noktalardaki ayrıcalıklı erişim risklerini ortadan kaldırırken, kullanıcıların verimliliğini ve iş sürekliliğini kesintiye uğratmadan güvenliği ön planda tutmayı hedefler. Bu sayede varsayılan ayrıcalıkları kaldırarak veya sıkılaştırarak, zararlı yazılım ya da kimlik avı saldırılarını sisteme zarar vermeden izleme ve engelleme gibi çözümleriyle uç nokta güvenliğini sağlar.

CyberArk EPM’nin bazı özelliklerinden bahsedecek olursak:

1. Yerel Yönetici Haklarının Kaldırılması

Kullanıcıların yerel yönetici ayrıcalıklarını kaldırarak, kötü amaçlı yazılımların ve saldırganların sistem üzerinde ayrıcalıklı yetkileri kullanabilmesini engeller ve izole bir ortam sağlar. Son kullanıcıların kimlik bilgilerinin ele geçirilmesini ve yetkiye erişimi zorlaştırır.

2. Kimlik Avı Saldırılarına Karşı Koruma

Uç noktalardaki tehditleri algılayan ve izinsiz uygulamaların çalıştırılmasını engelleyen kurallarla kimlik avı saldırılarına karşı etkin bir koruma sağlar.

3. Uygulama Kontrolü ve Beyaz Listeleme

Güvenilir uygulamaları otomatik olarak beyaz listeye alırken, şüpheli veya bilinmeyen uygulamaların çalıştırılmasını engeller. Böylece, zararlı yazılımların ayrıcalıklara erişim elde etmesini önlemeye yardımcı olur.

4. Kimlik Bilgisi Hırsızlığı Tespiti

Tarayıcılar ve uygulamalar üzerinden kimlik bilgisi hırsızlığını tespit ederek, saldırganların parolaları ele geçirme girişimlerini durdurur.

5. Güvenli Uygulama Yükseltme

Kullanıcıların belirli görevleri gerçekleştirmek için gerekli yönetici ayrıcalıklarını, uygulama bazlı olarak ve kontrollü bir şekilde yükseltmesine olanak tanır. Böylece genel bir yönetici ayrıcalığı verilmeden erişim sağlanır.

6. Yerel Hesapların Parola Yönetimi

Uç noktalardaki yerel hesap parolalarını güvenli bir şekilde yönetir ve bu işlemi döngüsel olarak gerçekleştirir. Bu sayede parola yönetimi ve sıkılaştırma sağlanır.

CyberArk EPM’in yeteneklerini etkin bir şekilde kullanan organizasyonlar, hem uç nokta kullanıcısının iş yükünü azaltmayı hem maliyetleri düşürmeyi hem de yüksek sıkılaştırma ile kötü niyetli kullanımın önüne geçmeyi hedefler. Aynı zamanda, son kullanıcıya gerekli yetkilerle izole bir kullanım imkanı sağlar. Bu sayede, kullanıcı kimlik bilgisi hırsızlığı ve saldırı ataklarına karşı oluşabilecek sorunların tamamı engellenmiş olur.

Uç nokta kullanıcısının kimliği, gerçek bir kişiyi tanımlayan isim, unvan, bölüm gibi bilgilerin yanı sıra; kullanıcı adı, e-posta, token, şifreler ve biyometrik parametreler gibi kimliğin tüm yetkilerini içeren kritik bilgilerden oluşur. Her gün kişiler, kurumlar ve organizasyonlar tarafından binlerce farklı kimlik bilgisi kullanılmaktadır. Siber suçlar, çeşitli yollarla son kullanıcı kimliklerini ele geçirmeye odaklanarak temel hedef olarak ayrıcalıklı kimliklere erişmeyi amaçlar. Bu nedenle, son kullanıcı kimlikleri kimlik yaşam döngüsünün en zayıf halkasıdır.

Genel olarak kimlik hırsızlığı, küçük zafiyetlerin veya güvenlik açıklarının bir araya getirilerek minimal olasılıklı saldırı senaryoları ile gerçekleştirilir. Yanal hareketlerle saldırının yaygınlaştırılması sağlanır ve sonuç olarak yetkisiz bir kullanıcıdan yetkili bir kullanıcıya doğru bir akış gerçekleşir. Bir kullanıcıya erişim sağlandıktan sonra, erişim sağlanan organizasyonlar üzerinden elde edilen hesapların sayısı ve yetkisi artarak ilerler.

Kullanıcı hırsızlarının ayrıcalık elde etmesini engelleyen ve gerektiğinde onay isteyen User Access Control (UAC) mekanizması, Windows işletim sisteminin güvenlik mekanizmalarından biridir. UAC, yetkisiz erişimleri önleyerek ve bilgisayar güvenliğini artırarak kimlik hırsızlığı ve siber saldırı denemelerine karşı etkili bir sınırlama getirir.

Kullanıcı Hesabı Denetimi (UAC), sistem üzerinde yapılacak ayrıcalıklı işlemler için kullanıcıdan onay istemektedir. Bu işlemler şunları içerir: izinsiz sistem değişikliklerinin engellenmesi, kullanıcı bilgilendirmesi ve en az ayrıcalık prensibi gibi sınırlamalar. UAC, son kullanıcı bazında kullanıcı bilinçliliğini artırmanın yanı sıra izolasyon ve saldırı yüzeyini küçültmek gibi avantajlar sağlamaktadır. Ancak, UAC son kullanıcılar için güvenlik önlemleri sunsa da, onay mekanizması ve güvenlik koruma sınırlamaları bazı durumlarda yetersiz kalabilir.

Bu sınırlamalar mutlaka ekstra çözümlerle desteklenmeli, izole edilmeli ve izlenerek raporlanmalıdır. Kullanıcı davranışları, yerel yönetici yetkisi ve hedefe yönelik saldırılar gibi sınırlamaların dışında kalan durumlarda CyberArk uç nokta güvenlik çözümü olan CyberArk Endpoint Privilege Manager (EPM), UAC mekanizmasının eksik kaldığı noktaları tamamlayarak kötü niyetli saldırılara karşı daha güçlü bir koruma sağlar.

CyberArk EPM ve Windows UAC birlikte çalıştığında güçlü bir güvenlik katmanı oluşturur. Bu sayede:

  • Organizasyondaki yerel hesaplar için şifre yönetimi ile sabit şifrelerin riskleri ortadan kaldırılır.
  • İzlenebilirlik ve raporlama ile olası riskler minimalize edilir.
  • Geçici yetkilendirme ve proxy tabanlı bağlantılar ile güvenlik verimliliği artırılır.

Bu özellikler sayesinde CyberArk EPM ve UAC, birlikte çalışarak organizasyonel düzeyde sistemlerin güvenliğini artırırken saldırganlardan gelen atakların önüne geçer. CyberArk EPM’in etkilerini şu üç ana başlıkta değerlendirebiliriz:

Yetki Yönetimi (Privilege Management)

CyberArk EPM, kullanıcı yetkilerini işlem bazında dinamik bir şekilde yükselterek admin haklarının getirdiği riskleri ortadan kaldırmayı hedefler. Bu sayede:

  • Dinamik Yetkilendirme: Kullanıcı hesap düzeyinde değil, yalnızca yetkili hesaplar tarafından belirlenmiş belirli bir uygulama, dosya ve uzantı gibi işlemlerde geçici yönetici yetkisi devreye girer ve işlem gerçekleştirilir.
  • Otomatik Yetkilendirme: İşlem ya da süreç tamamlandıktan sonra yönetici yetkisi son kullanıcıdan geri alınarak sıkılaştırma sağlanır.
  • Token Tabanlı Yetkilendirme: Yetki yükseltmeleri doğrudan işlem token’ında gerçekleştirilir ve böylece güvenlik açıkları minimalize edilmiş olur.

Uygulama Kontrolü (Application Control)

CyberArk EPM, uç noktalarda çalışan tüm uygulamaları izler ve yapay zeka yardımıyla risk seviyesine göre sınıflandırır.

  • Tanımlanmamış Uygulamalar: Yeni bir uygulama çalıştırıldığında, bu uygulama EPM ajanı tarafından analiz edilir ve güvenilir olup olmadığı belirlenir.
  • Güvenilir Kaynaklar: Örneğin, Microsoft SCCM gibi bir dağıtım sistemi tarafından güvenliği kanıtlanmış uygulamalar otomatik olarak güvenilir kabul edilir. Güvenilir bir kaynak tarafından gelen alt uygulamalar ve süreçler de güvenilir sayılır.

Olay Kontrolü ve İzleme

  • Privilege Management: Yönetici yetkisi gerektiren ancak henüz politikalarla kapsanmayan işlemleri ve süreçleri izler.
  • Application Control: Güvenli ya da tehdit oluşturan olarak sınıflandırılmamış uygulamaların olaylarını toplar.
  • Uygulama Kataloğu: Sistem üzerindeki tüm uygulamaları görünür hale getirerek kapsamlı bir yönetim sağlar.

Bu güvenlik avantajlarının sonucu olarak:

  • Asgari Yetki İlkesi (Least Privilege): Kullanıcıların yalnızca ihtiyaç duydukları yetkilere sahip olmasını hedefler, böylece etki alanı daha efektif hale getirilir. Kötü amaçlı yazılımların ve yanlış yapılandırmaların önüne geçilir.
  • Uygulama İzleme ve Denetleme (Monitoring, Auditing): Yeni uygulamalar veya bilinmeyen kaynaklardan gelen işlemler anında değerlendirilerek yapay zeka yardımıyla risk analizi yapılır.
  • Uyumluluk Desteği: EPM, finansal alanlar ve kontrol sistemleri gibi düzenlemelere kolaylıkla uyum sağlar ve kullanım kolaylığı sunar.
  • Dinamik Güvenlik Politikaları: Güvenilir kaynaklar ve miras güvenlik mekanizmasıyla sürekli olarak güvenlik politikaları uygulanır.

CyberArk EPM’in Windows UAC Mekanizmasında Yer Alan Çözümleri

Windows UAC, siber saldırılar için sıkça hedef alınan bir mekanizma olduğundan, yaygın saldırı teknikleri yaşandığında CyberArk EPM’in bu noktada neler yapabileceğine göz atalım.

LOLBins (Living Off The Land Binaries) ile UAC Bypass

Saldırı Tekniği:

Windows sistem araçları (ör. fodhelper.exe, eventvwr.exe) UAC tarafından otomatik olarak güvenilir kabul edilir ve yönetici yetkileriyle çalıştırılır. Saldırganlar bu araçları kötüye kullanarak yüksek yetkili işlemler başlatabilir.

EPM’nin Çözümü:

Uygulama Kontrolü:
EPM, tüm uygulamaların dijital imzalarını kontrol eder ve yalnızca güvenilir kaynaklardan gelen işlemlerin çalışmasına izin verir. Tanımlanmamış uygulamalar için bir “default deny” politikası uygulanabilir.

Kural Bazlı Politikalar:
LOLBins gibi sistem araçlarının yalnızca belirli koşullarda çalıştırılmasına izin verir. Örneğin, fodhelper.exe, yalnızca bir IT yöneticisi tarafından belirlenen şartlarda çalıştırılabilir.

Nasıl Çalışır:

Kayıt Defteri Manipülasyonu:

  • Windows işletim sistemine yardımcı bir araç seçilir. Bu araç, “auto-elevation” özelliğine sahiptir.
  • Kayıt defteri yolunda, bu araç tarafından çalıştırılacak komut belirlenir.

Komut Çalıştırma:
Saldırgan, hedef sistemde kayıt defteri değişikliğinden sonra bu aracı çağırarak zararlı komutlarını yürütür.

DLL Hijacking ile Yetki Yükseltme

Saldırı Tekniği:

Bir uygulamanın yüklediği DLL dosyasını manipüle ederek, saldırgan kendi zararlı DLL’ini çalıştırabilir. Bu yöntem, yüksek yetkili işlemler için ciddi bir tehdit oluşturur.

EPM’nin Çözümü:

Güvenilir Kaynak İzleme:
EPM, yalnızca güvenilir yollar veya dijital olarak imzalanmış DLL dosyalarının yüklenmesine izin verir. Ayrıca, DLL dosyalarının yüklendiği yolları sürekli izler.

Inherited Trust:
Bir uygulama güvenilir bir kaynaktan yüklenmişse, bu uygulamanın yüklediği tüm bağlı dosyalar otomatik olarak güvenilir kabul edilir. Bu mekanizma, saldırganların DLL manipülasyonlarını devre dışı bırakır.

Nasıl Çalışır:

  1. DLL Dosyasının Bulunması:
    Bir analiz aracı kullanılarak, yüksek yetkilerle çalışan uygulamanın hangi DLL dosyasını aradığı tespit edilir.
  2. Zararlı DLL Oluşturulması:
    Zararlı bir DLL oluşturulur ve bu kod zararlı bir komut çalıştırır.
  3. Dosya Yer Değiştirme:
    Zararlı DLL, hedef uygulamanın beklediği yola yerleştirilir.
  4. Uygulamanın Çalıştırılması:
    Uygulama başlatıldığında zararlı DLL yüksek yetkilerle yüklenir ve saldırganın kodu çalışır.

Kayıt Defteri Manipülasyonları ile UAC Bypass

Saldırı Tekniği:

UAC tarafından kontrol edilen bazı uygulamaların çalıştırma parametreleri, kayıt defteri anahtarları üzerinden belirlenir. Saldırganlar bu anahtarları manipüle ederek zararlı komutlar çalıştırabilir.

EPM’nin Çözümü:

Kayıt Defteri İzleme (Registry Modifications):
EPM, kullanıcıların veya uygulamaların kayıt defteri anahtarlarına yetkisiz erişim girişimlerini algılar ve engeller.

Dinamik Yetki Yönetimi:
Yönetici yetkisi yalnızca kayıt defteri üzerinde belirli bir işlem için geçici olarak verilir ve işlem tamamlandığında kaldırılır.

Nasıl Çalışır:

  1. Hedef Kayıt Defteri Anahtarının Bulunması:
    Saldırgan, başlangıç uygulamalarını optimize etmek veya zararlı yazılımları tespit etmek için kullanılan bir araç ile UAC’ye bağlı kayıt defteri yollarını arar.
  2. Değişiklik Yapılması:
    Kayıt defterine zararlı bir komut eklenerek UAC tetiklenmek istenir.
  3. Yürütme:
    UAC’nin tetiklediği işlem, kayıt defteri yolundaki zararlı komutu çalıştırır.

Masquerading (Kamuflaj) ile UAC Bypass

Saldırı Tekniği:

Bir saldırgan, güvenilir bir Windows sistem dosyasını taklit eden bir dosya oluşturur ve bu dosyayı yüksek yetkilerle çalıştırır.

EPM’nin Çözümü:

Uygulama Doğrulama:
EPM, çalıştırılmaya çalışılan tüm uygulamaların dijital imzasını ve kaynağını doğrular. Eğer bir uygulama sistemde tanımlı değilse veya imzasızsa, çalıştırılması engellenir.

Varsayılan Engelleme (Default Deny):
EPM, bilinmeyen uygulamaların çalıştırılmasını varsayılan olarak reddeder. Bu, sahte dosyaların sistemde çalıştırılmasını engeller.

Nasıl Çalışır:

  1. Sahte Uygulama Yaratma:
    Saldırgan, bir Windows sistem uygulamasını taklit eden bir uygulama oluşturur. Örneğin, sahte bir explorer.exe dosyası.
  2. Sahte Uygulamayı Yerleştirme:
    Bu uygulama, gerçek explorer.exe’nin bulunduğu klasöre yerleştirilir.
  3. Komut Çalıştırma:
    Kullanıcı, sahte uygulamayı çalıştırdığında zararlı kod yüksek yetkilerle yürütülür.

Exploit Kullanımı ile UAC Bypass

Saldırı Tekniği:

Saldırganlar, Microsoft UAC mekanizmasındaki güvenlik açıklarını hedef alarak yüksek yetki elde edebilir. Örneğin, yamalanmamış bir UAC bileşeni exploit edilebilir.

EPM’nin Çözümü:

Yama Yönetimi:
EPM, tüm sistem bileşenlerinin güncel ve yamalanmış olmasını sağlar. Yama yapılmamış bileşenleri tespit ederek güvenlik açıklarını minimize eder.

Dinamik Politika Uygulama:
Saldırganların bilinen exploit’lerini tanımlayan politikalar uygulayarak bu tür girişimleri engeller.

Sonuç

Kötü amaçlı organizasyon ve kullanıcıların UAC Bypass ataklarına karşı CyberArk EPM etkili bir savunma katmanı sağlar. Yetki yönetimi, uygulama kontrolü ve izleme gibi özellikleri sayesinde saldırganların UAC mekanizmasını atlama girişimleri büyük ölçüde engellenir. Bu sayede, Windows UAC yetkinliklerini aşan saldırılar CyberArk EPM ile kullanıcı ve bilgi güvenliğini sağlamayı hedefler.

ReFS ve NFTS Hakkında Karşılaştırma

ReFS vs. NTFS

Versus

Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.

Daha fazla
ArcSight ESM MISP entegrasyonu nasıl yapılır?

ArcSight ESM MISP entegrasyonu nasıl yapılır?

Entegrasyon

SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.

Daha fazla
9 Adımda Veri Keşfi Neden Önemli

9 Adımda Veri Keşfi neden önemli ve Veri Keşfi ürünlerinde nelere dikkat edilmeli

Analiz

Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.

Daha fazla
CyberArk API Kullanımları

CyberArk API Kullanımları

CyberArk

2 uygulama veya yazılım bileşenin belirli protocoller ile veri transferi sağlayan mekanizmalardır. Mobil cihazlardaki, hava durumu uygulamaları, haber sitelerindeki borsa uygulaması gibi benzeri uygulamalar API protokolleri ile anlık haberleşmektedir.

Daha fazla