KULLANICI YÖNETİMİ NASIL YAPILIR?

Sızma testlerinde olduğu gibi siber saldırganlar da herhangi bir kullanıcı bilgisini ele geçirdiklerin işleri oldukça rahat oluyor. Özellikle RDP’nin yoğun olarak kullanıldığı ortamlarda yetkili bir kullanıcıyı ele geçiren saldırgan bütün bilgisayarlara, neredeyse karşısına oturmuşçasına bağlanabilmektedir. 
 
Kullanıcı bilgilerini ele geçirdikten sonra saldırganların elde ettiği bir diğer avantaj da güvenlik tedbirlerinin büyük çoğunluğu açısından “görünmez” hale gelmesidir. Yakın zamanda olay müdahalesinde bulunduğumuz pek çok kuruluşta saldırganın bağlandığı bilgisayarların listesini çıkarttıktan sonra “hocam antivirüs uyarı vermemiş, bunu değiştireceğiz siz ne önerirsiniz?” sorusuyla karşılaştım. Elinizdekini çöpe atıp hemen Bitdefender almanıza gerek yok çünkü antivirüslerin bakış açısıyla bakarsanız bağlantı gayet normal. Üstelik Windows RDP kullanıldığı için herhangi bir zararlı yazılım zaten kullanılmıyor. 
 
Özel yetkisi olmayan kullanıcıların ele geçirilmesi belli ölçüde sorun teşkil etse de asıl tehlike yetkili bir kullanıcının ele geçirilmesidir. Sızma testlerinde fark ettiğimiz önemli noktalardan birisi de kuruluş bünyesindeki “yetkili kullanıcı” tanımlarının oldukça karmaşık olduğudur. Evet, birçok kuruluş Domain Admin yetkilerine sahip kullanıcıların kısa bir listesini kabaca takip ediyor ancak grup üyelikleri işin içine girince önemli yetkiler gözden kaçabiliyor.
 

KVKK ile kuruluşların gündemine giren yetkili kullanıcı yönetimi konusunda dikkat edilmesi gereken ana başlıkları hatırlayalım:

Kullanıcıları belirleyin

Kuruluşa ait kullanıcı hesaplarını gözden geçirin. Bu yazının kapsamında bizim için önemli olanlar belirli bir yetki düzeyine sahip kullanıcı hesapları. Eliniz değmişken uzun süredir kullanılmayan, demo veya pasif durumdaki hesapları silmeyi unutmayın.
 
Yetki seviyelerini değerlendirin
Süper yetkili ve yetkisiz kullanıcı hesaplarının dışında sistemler veya uygulamalar (örn: yedekleme yazılımı, zafiyet tarama çözümü, vb.) tarafından kullanılan hesapların da sıradan kullanıcıdan fazla yetkileri olabilir. Bunları süper yetkili, yetkili ve yetkisiz olarak 3 kategoriye ayırın.
 
Kullanıcının sahibini bulun
 
“Tarayici”, “backup” veya “teknikdestek” gibi herhangi bir kişiliyle doğrudan ilişkili olmayan hesapları kimin kullandığını belirleyin. Bu aşamada kullanıcı hesabının hangi sıklıkla kullanıldığını ve bu yetki seviyesinin gerçekten gerekli olup olmadığını değerlendirin.
 
Kalıcı yetki vermemeye çalışın
 
Bazı yetkili kullanıcı hesaplarının belirli dönemlerde kullanıldığını tespit edebilirsiniz. Bu durumda yetki gerektiğinde verilip, gerekmediğinde kaldırılabilir. Yapınız çok büyük değilse bu elle yapılabilir ancak belli bir sayının üzerinde kullanıcıya sahipseniz “Just in Time Access” özelliğine sahip bir yetkili kullanıcı yönetim çözümü (PAM – Privileged Account management) düşünmenizde fayda var.
 
Dikkat edilmesi gerek loglar
 
Herhangi bir kullanıcı hesabının kötü niyetli kişilerin eline geçmiş olabileceğinin belirtileri aşağıdaki Windows log türleriyle görülebilir; (Bu loglar üretilmiyorsa Advanced Audit Policy Configuration ayarlarını değiştirmek gerekebilir)
  • 4720: Kullanıcı oluşturuldu
  • 4740: Kullanıcı hesabı kilitlendi
  • 4725: Kullanıcı hesabı devre dışı bırakıldı
  • 4726: Kullanıcı hesabı silindi
  • 4738: Kullanıcı hesabı değişikliği yapıldı
  • 4728, 4732 ve 4756: Grup üyeliğinde değişiklik yapıldı
Bunlara ek olarak; “Trust Relationship” olarak bilinen ve farklı domainlerin birbirine güvenmesini sağlayan ayarların da dikkatli yapıldığının kontrol edilmesi gerekir. Örneğin eskiden abc.org domainini kullanırken bunu abc.com olarak değiştirmiş olabilirsiniz, buna rağmen abc.org domaini hala güvenilir domain olarak görülüyor olabilir. 
 
Önemli bir saldırı vektörü olan kullanıcı hesaplarının denetimi ve güvenliği konusunda neler yapabileceğimizi öğrenmek için bizlere sparta@sparta.com.tr mail adresimizden ulaşmanız yeterlidir.
Başa dön