Aktif Dizin Güvenliği 101

Günümüzde çoğu şirket, operasyonlarının devam etmesi için Microsoft Active Directory'ye (AD) güvenmektedir. Ama AD tam olarak nedir?

AD, özünde, çalışanları bir şirket ağındaki (e-posta veya ağ dosya paylaşımları gibi) kaynaklarına bağlayan ağ geçididir. Yöneticiler tarafından her kullanıcının izinlerini yönetmek, oturum açarken kimliklerini doğrulamak ve hangi kaynaklara erişebileceklerini belirlemek için kullanılır.

AD'nin birçok faydası vardır. Kullanımı kolaydır, uzun yıllardır kullanılmaktadır ve son derece güvenilirdir. Yine de birçok şirket, bununla birlikte gelen güvenlik risklerini bilmiyor.

AD'nin Kısa Tarihi

AD'nin 2000 yılında piyasaya sürülmesinden önce, Microsoft BT dizin sunucuları orta ve büyük ölçekli kuruluşların ihtiyaçlarını yeterince destekleyecek şekilde ölçeklenmiyordu ve çok sayıda sunucu gerekliydi. Örneğin yaklaşık 1.000 kişilik bir şirketin 200 farklı sunucuya ihtiyacı olabilir.

Bu, şirketler için büyük bir acı noktasıydı. Her biri benzersiz oturum açma kimlik bilgileri gerektiren tüm bu bağımsız sunucuların yönetilmesi zor olmakla kalmadı, aynı zamanda birbirleriyle kolayca iletişim kuramadıkları için dosya paylaşımı gibi etkinlikleri de zorlaştırdı.

AD bu zorluğu çözdü. Uygulamalarla kolayca bütünleşerek ve tüm iş ortamında tekli oturum açma yetenekleri sağlayarak ağ deneyimini dönüştürdü ve hızla her yerde bulunur hale geldi.

Prevalansı yirmi yıldır değişmedi. Neredeyse çeyrek asırlık bu teknoloji, ortadan kaybolmak yerine, şimdi her zamankinden daha önemli ve işletmeler tarafından küresel olarak kullanılan çoğu bulut kimlik sisteminin temeli olarak hareket ediyor.

Bununla birlikte, AD dünya çapındaki çoğu kuruluş için hala gerekli olsa da, aynı zamanda bir güvenlik yükümlülüğü haline gelmiştir.

AD Bugün Neden Bir Sorun

AD çeşitli nedenlerle savunmasızdır.

İlk olarak, karmaşık güvenlik tehditleriyle başa çıkmak için tasarlanmamıştır. Fidye yazılımlarından, gelişmiş ulus devlet destekli siber teçhizatlardan ve bulut bilişimin yaygın olarak benimsenmesinden önceki bir çağda piyasaya sürüldü. Bu farklı bir zamana ait bir teknolojidir ve bu nedenle bugün karşı karşıya olduğumuz gelişmiş tehditlerin çoğuyla etkili bir şekilde yüzleşemez.

İkinci olarak, AD, kullanım kolaylığını kolaylaştırmak için açık olacak şekilde tasarlanmıştır. Sorunsuz bir kullanıcı deneyimine öncelik vermek için bir ağa giriş yapan kullanıcılara güvenir. Ancak bugün bu açıklık, başarılı sızmacılara çok az engel teşkil eden savunucular için zorlu bir meydan okumadır.

Üçüncüsü, yaşı, birçok durumda, amatör saldırganların bile ıskalamak için mücadele edeceği büyük bir hedef oluşturmak için birikmiş, başlangıçta menfaat uğruna verilen 20 yılı aşkın kötü güvenlik kararlarını barındırdığı anlamına gelir.

Bu nedenle, tüm işletmelerin yaklaşık %90'ı AD açıkları nedeniyle güvenlik ihlallerine maruz kalıyor ve tüm siber saldırıların 10'unda dokuzu bir şekilde AD içeriyor.

Bu istatistikler gerçekten korkutucu ve AD'yi hedeflemek için kullanılan saldırı yöntemlerinin basitliği de öyle. Gelin bu sürece adım adım bakalım…

1. Saldırgan, kimlik avı yoluyla bir bilgisayarın güvenliğini aşacaktır – Bir saldırgan, AD için oturum açma kimlik bilgileri gibi hassas bilgileri ifşa etmesi için hedefini kandırmak için tasarlanmış sahte bir mesaj veya e-posta gönderir.
2. Daha sonra o yerel makinede ayrıcalıklar elde etmek için çalışırlar – Saldırganlar, cihazdaki güvenlik açıklarından yararlanarak makinedeki ayrıcalıklarını çeşitli şekillerde yükseltebilir.
   Diğer cihazları bulmak için AD'yi kullanırlar – Saldırganlar daha sonra diğer bilgisayarları bulmak için AD'yi kullanır ve bu ağa bağlı ve kullanılan tüm makinelerin haritasını çıkarır.
3. Ardından, saldırganlar daha fazla cihaza giriyor - Buradan saldırganlar, tespit edilmesi zor keşifler yürüten bir ağda dolaşarak AD yönetici haklarına sahip bir makine bulmak için birçok makineye saldırıyorlar.
4. Ve son olarak, ayrıcalıklı bir hesaba güvenli erişim - Sonunda, ayrıcalıklı veya yönetici hesabının kimlik bilgilerine erişim elde ederler. Buna sahip olduklarında, AD'nin ve buna bağlı olan her şeyin tam kontrolüne sahip olurlar.

Popüler bir AD saldırısının bir örneği, Altın Bilet saldırısı olarak adlandırılan saldırıdır. Roald Dahl'ın Charlie ve Çikolata Fabrikası romanındaki altın bilete hepimiz aşinayız. Dijital dünyada, Altın Biletler ayrıca kuruluşunuzun BT ortamına erişim sağlar. Altın Bilet saldırısı, tehdit aktörlerine ağ bağlantılı kaynaklara sınırsız erişim ve kimlik bilgilerine sahip yönetici düzeyinde kullanıcılar olarak gizlenerek ağlarda süresiz olarak kalma yeteneği verir.

Tehdidin Ana Hatlarını Çıkarmak

AD, saldırması kolay olduğu için basit bir sorun değildir. Aynı şekilde, saldırganlar için ödüller de önemlidir.

AD esasen krallığınızın anahtarlarını elinde tutar. Ofisinizin fiziksel anahtarlarını sakladığınız bir kasa hayal edin; AD tıpkı bu kasa gibidir. Kritik sistemlerinize, bilgisayarlarınıza, yazılım uygulamalarınıza ve diğer kaynaklara erişimin merkezi merkezidir.

Hem basit hem de kazançlı olduğu için tehlikelidir. 2021'de bir şirket, ağına tekrar erişim sağlamak için 40 milyon dolara kadar fidye ödedi.

Aynı zamanda, saldırganlar için giriş engelleri de azalmaktadır. Hızla gelişen bir hizmet olarak fidye yazılımı (RaaS) pazarı sayesinde, artık teknik açıdan bilgili olmaları gerekmiyor. Bunun yerine, sadece olanlardan araç ve hizmet satın alırlar.

Bu yıkıcı bir döngüdür. Saldırı ortamını katlanarak genişleterek, gereken teknik bilgi azalmaya devam ederken, saldırganların ödülleri artıyor.

Bu nedenle, International Data Corporation'ın 2021 Fidye Yazılımı Araştırması'nın neden yakın zamanda küresel kuruluşların üçte birinden fazlasının (%37) 2021'de bir fidye yazılımı saldırısının kurbanı olduğunu ortaya çıkardığını anlamak kolaydır. Gerçekten de, ihtimaller sıkı bir şekilde saldırganların lehine değişmiştir. .

Şirketler Nasıl Cevap Verebilir?

Şirketler bu yükselen gelgiti tersine çevirmek için yanıt vermelidir.

Güvenlik açıklarınızı en aza indirmek için önce nerede savunmasız olduğunuzu bilmeniz gerekir. Birçok şirket için, bu anlayışı kazanmaya çalışmak, özellikle siber güvenlik konusunda çok az bilgisi olan veya hiç bilgisi olmayanlar için bunaltıcı gelebilir. Ancak içiniz rahat olsun, size yardımcı olacak çözümler ve destek var.

Purple Knight iyi bir başlangıç ​​noktasıdır. Önde gelen bir Microsoft kimlik uzmanı grubu tarafından oluşturulan ve yönetilen ücretsiz bir Active Directory güvenlik değerlendirme aracı, Active Directory'nizdeki zayıf noktaları saldırganlardan önce tespit etmenize yardımcı olabilir ve ele alınması gereken yaygın güvenlik açıklarını vurgulayabilir.

En son Purple Knight raporunda bir dizi olası güvenlik açığı listelenmiştir. Ancak yeni başlayanlar için bazı yaygın örnekler şunları içerir:

• Yapılandırma kayması – Yapılandırma kayması, yıllarca süren kötü AD uygulamalarının sonucudur. Uygulamaların çalışması için AD'de yapılandırılması gerekir, ancak bu zaman alır. Buna hızlı bir çözüm, uygulamaya çok fazla yönetici hakkı vermektir; bu, şirketlerin geçmişte yaptığı, parlak yeni araçlarını en kısa sürede çalışır duruma getirmek isteyen bir şeydi. Sonuç olarak, yönetim hesapları AD'de birikmeye başlar. Yine de, feci sonuçların ortaya çıkması için bunlardan birinin saldırıya uğraması yeterlidir.
  
• Eski yönetici hesapları – Eski yönetici hesapları benzer sorunlara yol açar. Onlar dolaptaki iskeletler. Bir saldırgan bu ayrıcalıklı hesaplara erişmeyi başarırsa, o zaman size musallat olmak için geri gelirler.
  
• Zayıf veya yaygın parolalar – Saldırganlar, yine de yaygın olarak kullanılan bir dizi parolayı deneyerek birden çok hesaba erişmeye çalışacaklardır. Bu, ağınızda zayıf veya yaygın parolaların kullanımını ortadan kaldırarak kolayca engellenebilecek bir teknik olan parola püskürtme olarak bilinir.

Tabii ki, bu güvenlik açıklarını belirlemek ve ele almak bulmacanın sadece küçük bir parçasıdır. Büyüyen siber suç tehdidiyle uzun vadede etkili bir şekilde mücadele etmek için kuruluşların bir dizi en iyi uygulamayı aktif olarak benimsemesi gerekir.

Bunlar, düzenli iç güvenlik denetimleri yapmaktan ve kısa ve öz operasyonel iyileştirmeler yapmaktan, kimlik avı konusunda düzenli personel eğitimi vermeye ve bir saldırı meydana geldiğinde hızlı bir geri tepme sağlamak için kurtarma süreçlerine yatırım yapmaya kadar her şeyi içerebilir.

Genel olarak güçlü bir savunma geliştirmeye yönelik destek veya rehberlik için, yapmanız gereken temel değişiklikleri anlamak için AD güvenliği konusunda uzmanlaşmış özel profesyonellere danışmaya değer. Active Directory saldırıları artık bir soru değil, ne zaman sorusudur. Şirketler kritik AD güvenlik açıklarını giderirse, savaşma şansları olur. Aksi takdirde, olası en kötü sonuçlarla yüzleşmeye hazır ördekler olmaya devam edecekler.