Ayrıcalığınızı kontrol edin: SaaS verilerinizi güvende tutmanın kritik ilkesi


Transform 2022’yi 19 Temmuz’da ve neredeyse 20 – 28 Temmuz’da geri getirmekten heyecan duyuyoruz. Bilgili görüşmeler ve heyecan verici ağ oluşturma fırsatları için yapay zeka ve veri liderlerine katılın. Bugün kayıt Ol!


Okta tarafından yakın zamanda açıklanan türden ihlaller hiçbir zaman tamamen önlenemezken, En Az Ayrıcalık İlkesi (PoLP), olayların ciddiyetini önemli ölçüde azaltabilecek basit ama güçlü bir hafifletme yöntemidir. Ancak, sağlam bir PoLP yaklaşımı ancak kullandığımız araçlar ve ürünler gerekli yetenekleri destekliyorsa uygulanabilir. Yaygın olarak bildirilen ihlal, 2022’de müşterilerini ve son kullanıcılarını güvende tutmak için SaaS ürünlerinin ne yapması gerektiğine daha yakından bakmak için harika bir fırsat.

Bekle, ne oldu?

Okta, Ocak ayı sonlarında Lapsus$ hacker grubu tarafından neredeyse bir hafta boyunca fark edilmeyen ve sonunda halka açık 22 Mart’ta. Lapsus$ tarafından kullanılan zayıf halkanın, üçüncü taraf bir müşteri destek satıcısı olan Sitel’in Sykes Enterprises şirketi olduğu bildirildi.

Bir Sitel destek mühendisine ait bir dizüstü bilgisayara saldırganlar tarafından erişildi, ardından Lapsus$ bir Uzak Masaüstü Protokolü Okta ile (RDP) oturumu. Okta’ya göre, saldırganlar çok faktörlü kimlik doğrulama (MFA) sayesinde bir hesap devralmayı başaramadılar, ancak şirket 300’den fazla müşterinin etkilenmiş olabileceğini ve bazı kullanıcı verilerinin bilgisayar korsanları tarafından toplandığını kabul etti.

Koddaki veya yanlış yapılandırmalardaki güvenlik açıklarından yararlanan geleneksel bilgisayar korsanlığı gruplarının aksine, Lapsus$’ın tercih ettiği yaklaşım, şirket içindeki kişilere veya erişim izni verilen üçüncü taraflara rüşvet vermektir. Bunun gibi alışılmamış taktiklerin yanı sıra her zaman var olan sosyal mühendislik saldırıları ve basit insan hatası riski ile hiçbir organizasyonun %100 güvenli olması mümkün değildir. Bu nedenle, bir ihlalden kaynaklanan “patlama yarıçapını” en aza indirecek önlemler almamız çok önemlidir. İşte tam da bu noktada PoLP devreye giriyor.

En Az Ayrıcalık İlkesi zihniyeti

PoLP, belirli bir kullanıcı için izin verilen izinleri, işlerini yapmaları için gereken en düşük düzeyle sınırlayarak olası saldırıların ciddiyetini en aza indiren en iyi uygulamadır.

Bu yaklaşım, bir saldırganın erişim elde etmesi durumunda bile, bu onlara otomatik olarak, kullanıcıların verilerini istediği zaman çıkarmak veya değiştirmek için tanrı benzeri süper kullanıcı yetkileri vermemesini sağlar. Bir saldırganın kilidini açabileceği yetenekler, hesabı kullanılan çalışanın iş gereksinimlerine göre sınırlıdır. PoLP düzgün bir şekilde uygulandığında, çalışan hesaplarının çoğunun katı sınırlamaları olacaktır, bu nedenle çoğu ihlal çok az zarar verir veya hiç zarar vermez.

Okta, olayla ilgili yayınlarında, saldırganların erişim elde ettiği uygulamanın “en az ayrıcalık düşünülerek oluşturulduğunu” belirtti. Bir üçüncü taraf destek mühendisine verilen yeteneklerle ilgili ayrıntılar, bu iddia hakkında bazı soruları gündeme getirse de, bu tür saldırıların hafifletilmesinde bu yaklaşım merkezi olduğu için PoLP’ye atıfta bulunmak uygundur.

Ayrıcalıklı sayısı artıyor

Okta-Sitel ilişkisi olağandışı değil. Dijital dönüşüm girişimleri, çok sayıda SaaS aracının benimsenmesini hızlandırdı, platformlar arasındaki entegrasyonu artırdı ve hizmetlerin dış kaynak kullanımı dış satıcılara. Üçüncü tarafların SaaS ürün hesaplarına erişmesine izin vermek, birçok şirket için çok yaygın hale geldi. Ancak sağlanan hizmetlerin doğası gereği, üçüncü taraf satıcılara genellikle çok sayıda müşteri hesabına erişim izni verilir. Destekleyici bir satıcı saldırıya uğrarsa, PoLP takip edilmezse etkisi çok büyük olabilir.

Şirketinizi bir PoLP zihniyetine kaydırmak, tüm organizasyonun katılımını gerektirir. Tüm dönüşüm çabaları gibi bu da insanları, süreçleri ve araçları içerir. Ancak günümüzde SaaS ürünleri, PoLP’yi benimsemede insanları ve süreçleri desteklemek için gereken yeteneklerden genellikle yoksundur.

Mevcut norm, herhangi bir rol ayrımı varsa minimum düzeyde sağlıyor. Günümüzde çoğu uygulamanın yalnızca süper yönetici rolü vardır ve bu rol, ürün içinde herhangi bir işlemi gerçekleştirebilir. Daha gelişmiş olanlar, evrimlerinin sonraki aşamalarında salt okunur bir rol de ekleyecektir. Ancak bu, vicdansız bir çalışanın veya yanlış yerleştirilmiş bir dizüstü bilgisayarın yıkıcı sonuçlara yol açmasını engellemeye neredeyse yetmez.

SaaS kurucuları ve tüketicileri olarak, ürettiğimiz ve kullandığımız ürünlerin, müşterilerimizin verilerini güvende tutmaya yardımcı olabilecek katı PoLP uygulamasını desteklediğinden emin olmalıyız.

PoLP için SaaS ürün gereksinimleri

Aşağıdaki PoLP temelleri herhangi bir modern uygulamada uygulanmalıdır:

Yeni kullanıcılar için minimum ayrıcalık

Yeni bir kullanıcının varsayılan rolü, minimum miktarda izne sahip olmalıdır. Bu, oluşturulduktan sonra, kullanıcıların hesaplarının herhangi bir işlem gerektirmeden otomatik olarak PoLP’ye uymasını sağlar. Sınırlı salt okunur haklara sahip yeni bir kullanıcı oluşturulmalı ve kullanıcının konumuna uygun olarak bir tercih seçeneği olarak yükseltilmelidir.

Maksimum kontrol için ayrıntılı izinler

Yalnızca yönetici ve salt okunur erişime sahip olmak işleri aşırı basitleştirir. Gerçek şu ki, çoğu kullanıcı ortada bir düzeyde erişime ihtiyaç duyacak ve bu da herkesin yönetici erişimine sahip olmasına neden olacaktır. Kullanıcılara verilen izinler üzerinde ayrıntılı kontrole sahip olma yeteneği, PoLP’nin daha dinamik yaklaşımı için anahtardır.

Kalıcı güvenlik için geçici erişim

PoLP, yalnızca en düşük erişim düzeyini sağlamakla kalmaz, aynı zamanda mümkün olan en kısa süre için izin verir. Geçici erişim protokollerinin kullanımının teşvik edilmesi, bir defaya mahsus bir ihtiyaç için bir hesaba verilen erişimi geri çekmeyi unutma riskini ortadan kaldırır. Ek olarak, geçici erişim protokolleri, erişimin düzenli bir programa göre otomatik olarak verilmesini sağlayabilir; örneğin, bir üçüncü taraf destek sağlayıcısının yalnızca çalışma saatleri içinde erişime sahip olacak şekilde sınırlandırılması ve böylece hasarın daha da en aza indirilmesi.

Sürekli olarak denetim faaliyeti

Ürünler, şüpheli faaliyetlerin zamanında keşfedilebilmesi için sürekli olarak denetlenmelidir. Bu, ekibin denetim uygulamasını geliştirmesini ve uygun bir sürecin uygulamaya konmasını gerektirir, ancak aynı zamanda kontrol edilmesi kolay bir denetim günlüğü mekanizması aracılığıyla üründe de desteklenmelidir.

İzin yönetimi için sürtünmesiz UX

Sağlam bir PoLP yaklaşımı için, kullanıcıların rollerini ve izinlerini kolayca yönetmelerine olanak tanıyan sorunsuz bir kullanıcı deneyimine (UX) sahip olmanız gerekir. Erişimin iptal edilmesi, değiştirilmesi ve verilmesi kolay olmalıdır – bu işlemleri zorlaştırmak, yolun aşağısında uğraşmaktan kaçınmak için fazla izin vermeyi teşvik eder. Bu yetenekler, daha sonra hesapları üzerinde tam kontrol sahibi olabilecek ve saldırı yüzeyini azaltabilecek istemcilere ve son kullanıcılara verilmelidir.

RBAC: Büyük kuruluşlar için önemli bir gereksinim

Bahsedilen temel minimum gereksinimlere ek olarak, büyük kuruluşların izinlerin geniş ölçekte yönetilmesine izin vermek için ek yeteneklere ihtiyacı vardır. Binlerce veya on binlerce çalışan ve verilebilecek yüzlerce veya binlerce bireysel izin içeren karmaşık ürünlerle, izinleri bireysel çalışan düzeyinde yönetmek artık mümkün değil.

Bu büyüklükteki şirketler için, rol tabanlı erişim denetimi (RBAC), SaaS uygulamalarında çok önemli bir yetenektir. RBAC, kuruluş içindeki işlevlerle eşleşen bir ürün içindeki rolleri tanımlamanıza olanak tanır. Her role, ürün içindeki işlevi için gerekli izinler verilir ve kullanıcılara işlevlerine göre roller atanır.

En Güvenli Prensibi

Tehditlerin değişen doğası ve zamanla güçlenecek eğilimlerin yönlendirdiği büyüyen saldırı yüzeyi ile birlikte, ihlaller kaçınılmazdır. Bu nedenle, işletmelerin azaltma stratejilerine öncelik veren bir yaklaşıma geçmeleri gerekir; En Az Ayrıcalık İlkesi bunun merkezindedir. Günümüzde SaaS ürünleri, PoLP için temel yetenekleri sağlamada genellikle yetersiz kalmaktadır. SaaS yaratıcıları ve tüketicileri olarak, kullanıcılarımızın hesaplarını güvende tutmak için daha iyisini yapmamız ve daha iyisini talep etmemiz gerekiyor.

Sagi Rodin CEO’su ve kurucu ortağıdır. ön yumurta.

DataDecisionMakers

VentureBeat topluluğuna hoş geldiniz!

DataDecisionMakers, veri işi yapan teknik kişiler de dahil olmak üzere uzmanların verilerle ilgili içgörüleri ve yenilikleri paylaşabileceği yerdir.

En yeni fikirleri ve güncel bilgileri, en iyi uygulamaları ve veri ve veri teknolojisinin geleceğini okumak istiyorsanız DataDecisionMakers’da bize katılın.

Kendi makalenize katkıda bulunmayı bile düşünebilirsiniz!

DataDecisionMakers’tan Daha Fazlasını Okuyun


Kaynak : https://venturebeat.com/2022/05/20/check-your-privilege-the-critical-principle-for-keeping-your-saas-data-safe/

Yorum yapın

SMM Panel