Sizin de yakından takip ettiğiniz üzere, yakın zamanda Uber ile ilgili haberler duymaya başladık, ardından bu saldırı ile ilgili pek çok makale, bilgilendirme yazısı yayınlandı. Güvenlik sektöründe kimlik ve erişim güvenliği konusunda faaliyet gösteren üretici firmalar, analiz raporlarını yayınlamaya başladı.

Makaleleri incelediğimizde şu sonuca vardık; aslında firma temel olarak kimlik ve erişim güvenliği konusunda önlem almış, ama bunu yaparken sahada da karşılaştığımız yumuşak karnını ihmal etmiş:
- Kullanılan MFA çözümü temel olarak görevini yapmış, ancak riskli kimlik doğrulama işlemlerini anlayıp bunlara göre önlem alabilecek bir çözüm olmadığı ortaya çıkıyor. “MFA Bombing” davranışlarına karşı önlem olabilecek bir engelleme mekanizması bulunmuyor.
- Ağ paylaşımı üzerinden kritik script’lere erişim sağlanabilmiş, bu tür kritik kaynakların olduğu ağ paylaşımlarına yetkisiz giriş engellenmeli ya da MFA ile korunabilmeli.
- Powershell script’inin içinde, yetkili bir hesaba ait giriş bilgileri açık bir şekilde yer almakta. Ve bu bilgiler ile PAM çözümüne giriş yapılabilmiş.

PAM çözümleri ile müşterilerimizle de çalışmalar yaparken, yerel yönetici hesapları ya da etki alanı yöneticileri dışında diğer kritik hesapların da korunması gerektiğini, hatta uygulama içine gömülü (Java, C# veya .Net gibi) veya script içinde kullanılan (Powershell, Python, Ruby gibi) hesap bilgilerinin de en az diğer hesaplar kadar önemli olduğunu iletiyoruz ve bunlar için en kısa zamanda önlem almalarını öneriyoruz. Örnek olarak aşağıda bir Python script’ine ait ekran görüntüsü yer almaktadır. Bu script içerisinde, PAM çözümünde hesap yaratmaya, değiştirmeye ve içeriğini görüntülemeye yetkili bir hesabın yer aldığı görülebiliyor. Bu hesap REST API üzerinden otomatikleştirilmiş hesaplar için kullanılmakta:

Bu tür servis hesaplarının kullanıldığı script'ler, mutlaka PAM çözümünün desteği doğrultusunda korunmalı, hesapların açık olarak kullanılmasının önüne geçilmeli.
MFA çözümünün de aşağıdaki özellikleri bulundurması oldukça önemli:
Yukarıda bahsettiğim durumların önüne geçmek oldukça mümkün ve aslında sanıldığından kolay ve sancısız. Örneğin Script’lerin ya da uygulamaların içine gömülü hesap bilgileri için CyberArk PAM’ın yanında Application Access Management (AAM) modülünün kullanılması öneriyoruz. Böylece bu tür hesapların güvenliğini sağlamış, şifrelerin yönetilmesinin yanında uygulamanın da sorunsuz bir şekilde çalışmasını engellememiş oluyoruz. Sahada bazen 5-10 yıldan uzun süredir şifresi değişmeyen uygulamaya gömülü şifrelerle karşılaşabiliyoruz.
Ayrıca bilinen, klasik MFA çözümlerinin yeni nesil tehditlere karşı da yetersiz kaldığını görüyoruz. Dolayısıyla mevcut MFA çözümlerinizin yeteneklerini öğrenmek ve bu tür sakınma ya da devre dışı bırakma hamlelerine karşı koruma sağlayamadığı zaman bunun yerine uygun bir çözüm konumlandırmak çok daha doğru olacaktır.
Burada verebileceğimiz örnek Silverfort Identity Security çözümü olacaktır. Zira Silverfort uzun süredir Identity Security çözümü ile yukarıda bahsedilen tüm korumaları sağlamakta:
- MFA Bombing Koruması: Silverfort politikaları, bir dizi reddedilen erişim denemesinden sonra kullanıcıya MFA istemlerinin gönderilmesini bastıracak şekilde yapılandırılabilir. Erişim denemeleri, güvenlik ekiplerinin incelemesi için Silverfort konsolunda günlüğe kaydedilip görülebilirken, gerçek kullanıcı bunları görmez ve bu nedenle erişime izin verme eğiliminde olmaz.
- Ağ Paylaşımları için MFA Koruması: Silverfort, ağ paylaşım erişimine MFA koruması uygulayabilir, Silverfort‘un kimlik doğrulama protokolü veya kullanılan hizmetten bağımsız olarak her erişim girişiminin analiz edilmesini sağlayan Active Directory entegrasyonu ile yapılabilir. Bu entegrasyon başka bir koruma katmanı ekler ve saldırganların kimlik bilgilerini ele geçirmiş olsalar bile bu tür klasörlere erişmelerini engeller.
- Servis Hesaplarına Özel Koruma: Silverfort, ortamdaki tüm hizmet hesapları için keşif, etkinlik izleme, risk analizi ve erişim politikası oluşturmayı otomatikleştirir. Bu, servis hesabının standart faaliyetinden herhangi bir sapmasının, hedeflenen kaynağa erişimini engelleyecek bir politikayı tetikleyebileceği anlamına gelir.
- PAM Erişimi için MFA Koruması: Silverfort, PAM konsolunun kendisine erişim için bir MFA politikası uygulayabilir ve Uber ihlalindeki gibi kötü niyetli erişimden koruyabilir.
- PAM Harici Kaynaktan Erişimler için MFA veya Erişimi Engelleme: PAM sistemleri tarafından kullanılan RDP ya da SSH Proxy’ler dışındaki herhangi bir kaynaktan hedef sisteme erişmeye çalışan ve PAM tarafından yönetilen ayrıcalıklı hesabı MFA ile koruyan veya erişimi tamamen engelleyen bir politika uygulanabilir. Silverfort ile PAM içeriğinin saldırganlar tarafından kullanıldığı ve daha sonra hassas kaynaklara erişmek için bu ayrıcalıklı kimlik bilgilerini kullanmaya çalıştığı senaryolara karşı doğrudan bir koruma sağlayacaktır.