Silverfort'un Birleşik Kimlik Koruma Platformu - Dünyadan Güncel Teknoloji Haberleri

Silverfort'un Birleşik Kimlik Koruma Platformu - Dünyadan Güncel Teknoloji Haberleri
Ekranın sağ tarafında kullanıcıların erişmeye çalıştığı farklı kaynak türlerinin bir listesi görüntülenir

Şekil 6: Hizmet hesabı politikaları
Son düşünceler

Silverfort’un platformu, birleşik kimlik koruması hedefine gerçekten ulaşıyor

Şekil 4, Hizmet Hesapları ekranını göstermektedir


Bu makalede, piyasadaki ilk (ve şu anda tek) birleşik kimlik koruma platformu olan Silverfort platformuna kısa bir genel bakış sunacağız Ancak tüm ağ varlıklarında MFA korumasına sahip olmak oldukça zordur

Silverfort ve Osterman Research’ün yakın tarihli bir raporu şunu ortaya koydu: Dünya çapındaki kuruluşların %83’ü, kimlik bilgilerinin ele geçirilmesi nedeniyle veri ihlalleriyle karşılaştı Bu şekilde, yakında daha ayrıntılı olarak göreceğimiz gibi, herhangi bir kullanıcı ve kaynak için gerçek zamanlı koruma elde edilir

Gelişmiş MFA ile Kaynakları Koruma

MFA’nın kimlik tabanlı saldırılara karşı korunmanın en etkili yollarından biri olduğu kanıtlanmıştır Sonuç olarak Silverfort’un platformu, her geçen gün daha da gerekli hale gelen yenilikçi kimlik koruma yetenekleri sunuyor MFA’yı hemen hemen her kaynakta (komut satırı araçları, eski uygulamalar, dosya paylaşımları ve diğerleri gibi) uygulama ve saniyeler içinde politikalar oluşturma yeteneği benzersizdir Silverfort tüm kimlik doğrulama ve erişim isteklerini aldığından, tekrarlanan makine davranışlarını analiz ederek hizmet hesaplarını tanımlayabilmektedir Solda kullanıcı türlerinin bir listesi bulunur: ayrıcalıklı kullanıcılar, standart kullanıcılar ve hizmet hesapları ve kaynaklara nasıl eriştikleri: şirket içi ve bulut tabanlı dizinler (AD, Azure AD, Okta), federasyon sunucuları (Ping, ADFS) aracılığıyla ) ve VPN bağlantıları (RADIUS) Erişim girişimleri parlayan noktalarla temsil edilir Ağınızın her bilgisayarda proxy bulunduramayacak kadar büyük olması veya tüm bilgisayarların aracı yükleme yeteneğine sahip olmaması nedeniyle AD, tüm kimlik doğrulama ve erişim isteklerini Silverfort’a gönderir Buna şirket içi ve bulut kaynakları, eski sistemler, komut satırı araçları ve hizmet hesapları dahildir Bu düzenden sapmalar, kötü amaçlı etkinliğin göstergesi olabilir Bunları çeşitli parametrelere göre filtreleyebiliriz Saldırganların güvenliği ihlal edilmiş hizmet hesaplarını sevmelerinin nedeni budur; bunları radar altında yanal hareket için kullanabilirler ve fark edilmeden çok sayıda makineye erişim sağlayabilirler Birçok kuruluş, yanal hareket ve fidye yazılımı gibi kimlik tabanlı saldırılara karşı yeterince korunmadıklarını itiraf ediyor

Politika ekranında (şekil 2) mevcut politikaları görüntüleyebilir veya yenilerini oluşturabilirsiniz

Şekil 5: Hizmet hesabı İnceleme ekranı

Her hizmet hesabı için, davranışlarına göre politikalar otomatik olarak oluşturulur

Başlarken: Kontrol Panelini Kullanma

Aşağıda Silverfort’un kontrol panelinin ekran görüntüsü bulunmaktadır (şekil 1)

Silverfort’u çalışırken görmek ister misiniz? Ücretsiz bir demo planlayın Bugün uzman ekibimizle!

Ayrıca PsExec, PowerShell ve WMI gibi komut satırı erişim araçları ağ yöneticileri tarafından yaygın olarak kullanılmasına rağmen MFA’yı yerel olarak desteklemez Yaygın olarak kullanılan komut satırı erişim araçları ve eski sistemler gibi kaynakların korunması özellikle zordur

Şekil 5’te hizmet hesaplarımız hakkında kaynaklar, hedefler, risk göstergeleri, ayrıcalık düzeyleri ve kullanım gibi ek bilgileri görebiliriz Tüm hizmet hesaplarında tam görünürlüğe sahip olmak ve son olarak onları koruyabilmek son derece değerlidir

Bu ekran, platformun benzersiz farklılığını sergiliyor; günümüzde hibrit ortamdaki tüm kimlik altyapısıyla entegre olabilen tek çözümdür Örneğin öngörülebilirlik, aynı kaynağa veya hedefe tekrarlanan erişimi ölçer Silverfort, her istek için MFA’nın gerekli olup olmadığını belirlemek amacıyla kendi riskini ve ilgili politikaları analiz eder Bunlar ve diğer şirket içi kimlik doğrulamaları AD tarafından yönetilir ancak AD kimlik doğrulama protokolleri (Kerberos, NTLM) MFA için tasarlanmamıştır ve saldırganlar bunu bilir

Şekil 2: Politika ekranı

Yeni bir politika oluşturmak, şekil 3’te görüldüğü gibi oldukça sezgisel görünüyor

Platform, her biri farklı bir kimlik koruma sorununu ele alan çeşitli modüller içerir

Şekil 4: Hizmet Hesapları ekranı

Makineden makineye altında 162 hesabımız var gibi görünüyor AD yalnızca kullanıcı adlarının ve parolaların eşleşip eşleşmediğini kontrol eder, böylece meşru kimlik bilgilerini kullanan (güvenliği ihlal edilmiş veya edilmemiş) saldırganlar ağa erişebilir ve AD’nin bilgisi olmadan yanal hareket ve fidye yazılımı saldırıları başlatabilir Başka bir deyişle, politika temel olarak eski protokollerin doğasında olan sınırlamaları atlar ve MFA’yı bunlara uygular

MFA geleneksel olarak aracılara ve proxy’lere dayanır; bu da bazı bilgisayarların hiçbir zaman MFA kapsamına girmeyeceği anlamına gelir Burada olanlar aslında oldukça basit ama şaşırtıcı derecede zekice Aslında, tüm kuruluşların birden fazla hizmet hesabı vardır; bazen toplam kullanıcılarının %50’si kadar olabilir ve bunların çoğu izlenmez Karara göre kullanıcıya erişim izni verilir, engellenir veya MFA sağlaması istenir



siber-2

Genel olarak oldukça sezgisel bir kullanıcı arayüzüne sahiptir Silverfort’un en büyük avantajı MFA’yı tüm bunlara uygulayabilmesidir; diğer çözümler bunu yapamaz Tek yapmamız gereken ‘uyarı’, ‘engelleme’ ve ‘SIEM’e uyarı’ arasında seçim yapmak ve politikayı etkinleştirmektir (şekil 6) Bu entegrasyon uygulandığında, farklı şirket içi ve bulut dizinleri, her kimlik doğrulama ve erişim girişimini analiz için Silverfort’a iletir ve erişime izin verilmesi veya reddedilmesi konusunda karar verir Üstelik hizmet hesapları insan değildir, bu nedenle MFA bir seçenek değildir ve PAM ile parola rotasyonu da bir seçenek değildir; bu, oturum açma işlemleri başarısız olursa kritik süreçleri çökertebilir Silverfort’un patentli teknolojisi, AD (Active Directory) ve bulut tabanlı hizmetler gibi mevcut kimlik ve erişim yönetimi çözümleriyle entegre olarak ve Risk Tabanlı Kimlik Doğrulama ve MFA (Çoklu-Güvenlik) gibi güvenli erişim kontrollerini genişleterek kuruluşları kimlik tabanlı saldırılara karşı korumayı amaçlamaktadır Şimdi bunlardan ikisini inceleyeceğiz: Gelişmiş MFA ve Hizmet Hesabı Koruması

Şekil 3: Politika oluşturma
Hizmet Hesaplarını Keşfetme ve Güvenliğini Sağlama

Hizmet hesapları, yüksek erişim ayrıcalıkları ve düşük ila sıfır görünürlükleri nedeniyle kritik bir güvenlik sorunudur Kimlik doğrulama türünü, ilgili protokolleri, politikanın hangi kullanıcıları, kaynakları ve hedefleri kapsadığını ve gerekli eylemi belirlememiz gerekiyor Faktör Kimlik Doğrulaması) tüm kaynaklarına

Kontrol paneli aynı zamanda kimlikle ilgili değerli verilerin bir araya toplanmasını da gösterir: protokoller ve dizinler tarafından yapılan kimlik doğrulama girişimlerinin sayısı, doğrulanan kimlik doğrulamaların oranı, başarıyla korunan kullanıcı ve hizmet hesaplarının sayısı ve risk düzeyine göre (orta, yüksek, kritik) kullanıcıların dökümü