Erişim Kontrolü Olmadan Hesap Güvenliği Yanılsamadır

Bir sabah işe geldiğinizde tüm güvenlik sistemlerinin çalıştığını görüyorsunuz. Güvenlik duvarı aktif, antivirüs güncel, VPN açık. Her şey yolunda görünüyor. Oysa o gün, iki yıl önce şirketinizden ayrılan bir eski çalışanın hesabı hâlâ sistemde aktif ve birileri bu hesabı kullanarak müşteri verilerine erişmiş durumda.

Bu senaryo bir kurgu değil. Kurumsal güvenlik ihlallerinin büyük bir kısmı dış saldırılardan değil, içeriden gelen tehditlerden kaynaklanıyor. Ve bu tehditlerin ortak noktası her zaman aynı: yetersiz erişim kontrolü.

“İçeriden gelen tehditler” yalnızca kötü niyetli çalışanlar anlamına gelmiyor. Unutulan hesaplar, aşırı yetkiler ve denetlenmemiş erişimler de aynı kapıyı açıyor.

Erişim Kontrolü Nedir ve Neden Kritiktir?

Erişim kontrolü, kimin hangi sisteme, ne zaman ve hangi yetkiyle girebileceğini belirleyen güvenlik mekanizmasıdır. Kulağa basit geliyor, değil mi? Ama uygulamada çoğu kurumun bu konuda ciddi açıkları bulunuyor.

Bir çalışan işe başladığında ihtiyaç duyduğu sistemlere erişim yetkisi verilir. Ancak zamanla bu yetkiler genişler: yeni projeler, geçici görevler, acil durumlar… Ve çoğunlukla bu geçici yetkiler kalıcı hale gelir. Kimse geri almayı düşünmez. Sonuç olarak muhasebe departmanındaki bir çalışan, yıllar içinde İK sistemlerine, müşteri veri tabanlarına ve hatta sunucu yönetim panellerine erişim kazanmış olabilir.

Bu duruma siber güvenlik dünyasında “yetki sürünmesi” (privilege creep) adı veriliyor. Ve bu sürünme sessizce ilerliyor.

Hesap Güvenliğinin En Büyük Düşmanı: Aşırı Yetkilendirme

Pek çok IT yöneticisi hesap güvenliğini yalnızca güçlü şifre politikaları ve kimlik doğrulama katmanları üzerinden değerlendirir. Oysa bir hesabın güvenli olması için yalnızca doğru kişinin o hesaba girmesi yetmez. O hesabın doğru kaynaklara erişmesi de şart.

Düşünün: Bir çalışanın hesabına kötü niyetli biri sızdı. Eğer bu hesabın erişim yetkisi yalnızca ilgili çalışanın görev alanıyla sınırlıysa hasar minimum düzeyde kalır. Ama hesap tüm sisteme açık durumdaysa, saldırgan tek bir kimlik bilgisiyle tüm kuruma kapı aralar.

Güçlü kimlik doğrulama + zayıf erişim kontrolü = yarım kalan güvenlik.

Bu yüzden erişim kontrolü, kimlik doğrulamanın tamamlayıcısı değil; onun ön koşuludur. Kullanıcının kim olduğunu doğrulamak kadar, o kullanıcının neye erişebileceğini belirlemek de kritik öneme sahiptir.

İçeriden Tehdidin Üç Yüzü

İçeriden gelen tehditleri tek bir kalıba sokmak mümkün değil. Üç farklı biçimde karşımıza çıkıyor:

  1. Kötü Niyetli İçeriden Tehdit: Çalışan, bilinçli olarak verileri sızdırır ya da sisteme zarar verir. Bu durum aslında en az görülen türdür; ancak en fazla dikkat çeken odur.
  2. İhmalkâr İçeriden Tehdit: Çalışan farkında olmadan güvenlik açığı yaratır. Kimlik avı e-postasına tıklamak, zayıf şifre kullanmak ya da yetkisiz bir cihazdan sisteme girmek bu kategoriye girer. İstatistiklere göre içeriden kaynaklanan ihlallerin büyük çoğunluğu bu gruba dahildir.
  3. Ele Geçirilmiş Hesap Tehdidi: Dışarıdaki bir saldırgan, içerideki bir kullanıcının kimlik bilgilerini ele geçirir ve sisteme meşru bir kullanıcı gibi girer. Dışarıdan başlayan bu tehdit, erişim kontrolü açısından tamamen bir içeriden tehdit gibi davranır.

Bu üç senaryonun ortak çözümü ise aynı noktada birleşiyor: kim olduğunu bilmek yetmez, ne yapabileceğini de kontrol altında tutmak gerekir.

“En Az Ayrıcalık” İlkesi: Erişim Kontrolünün Temeli

Siber güvenlikte en az ayrıcalık ilkesi (least privilege), her kullanıcının yalnızca görevini yerine getirmesi için ihtiyaç duyduğu minimum erişim yetkisine sahip olması gerektiğini savunur. Kulağa basit, uygulamada ise çoğu kurumda görmezden gelinen bir ilke.

Bunun birkaç temel nedeni var. İlk olarak, yetki vermek kolaydır; geri almak zahmetlidir. İkinci olarak, acil durumlarda hız adına güvenlik feda edilir ve bu geçici durumlar kalıcıya dönüşür. Üçüncüsü ise erişim kontrolünün düzenli denetim gerektirmesi, bu denetimin de çoğunlukla ihmal edilmesidir.

Her altı ayda bir erişim yetkilerini gözden geçirmeyen kurumlar, farkında olmadan güvenlik açığı biriktiriyor.

En az ayrıcalık ilkesini uygulamak için önce mevcut durumu netleştirmek gerekir: Kim neye erişebiliyor? Bu erişim hâlâ gerekli mi? Ayrılan çalışanların hesapları kapatıldı mı? Bu soruların yanıtı çoğu zaman IT yöneticilerini şaşırtır.

Kimlik Doğrulama Tek Başına Yetmez

Çok faktörlü kimlik doğrulama, hesap güvenliğinde kritik bir katman sağlar. Şifre çalınsa bile ikinci bir doğrulama faktörü olmadan sisteme girilemez. Bu, dışarıdan gelen saldırılara karşı son derece etkili bir savunmadır.

Ancak kimlik doğrulama, erişim kontrolünün yerini tutamaz. Bir kullanıcı kimliğini başarıyla doğruladıktan sonra ne yapabileceği, tamamen erişim politikalarına bağlıdır. Doğru kişiyi sisteme almak güvenliğin başlangıcıdır; bu kişinin sistem içindeki hareketlerini sınırlamak ise asıl güvencedir.

Bu iki katman birlikte çalıştığında gerçek anlamda savunma derinliği oluşur. Kimlik doğrulama kapıyı açar; erişim kontrolü ise içeride hangi odalara girebileceğinizi belirler.

IT Yöneticileri İçin Erişim Kontrolünde Pratik Adımlar

Rol tabanlı erişim kontrolü (RBAC) uygulayın: Bireysel kullanıcılar yerine roller üzerinden yetki tanımlayın. Bu sayede yeni bir çalışan sisteme eklendiğinde tek tek yetki vermek yerine ilgili role atamak yeterli olur.

Düzenli erişim denetimleri yapın: En az altı ayda bir tüm kullanıcı yetkilerini gözden geçirin. Ayrılan çalışanlar, değişen görevler ve geçici yetkiler bu denetimlerde mutlaka kontrol edilmeli.

Ayrıcalıklı hesapları izole edin: Yönetici hesapları günlük işler için kullanılmamalı. Kritik sistemlere erişim yalnızca gerektiğinde ve kayıt altında gerçekleşmeli.

Offboarding süreçlerini otomatize edin: Çalışan ayrılışlarında hesap kapatma işlemi manuel bir hatırlatmaya bırakılmamalı. Bu süreç otomatik ve denetlenebilir olmalı.

Erişim loglarını izleyin: Kim, ne zaman, hangi sisteme girdi? Anormal erişim örüntüleri çoğunlukla büyük ihlallerin öncüsüdür. Log yönetimi ve izleme bu nedenle kritik önem taşır.

Sonuç: Güvenlik İçeriden Başlar

Siber güvenlikte çoğu zaman dışarıdan gelen tehditlere odaklanırız. Güvenlik duvarlarını güçlendiririz, dış saldırılara karşı önlemler alırız. Oysa en ciddi riskler çoğu zaman zaten içeride bekliyordur: unutulan hesaplarda, aşırı yetkilerde, denetlenmeyen erişimlerde.

Erişim kontrolü bu risklerin önüne geçmenin temel yoludur. Kim olduğunu doğrulamak kadar, o kişinin ne yapabileceğini kontrol altında tutmak da IT yöneticisinin sorumluluğudur. Kimlik doğrulama ve erişim kontrolü bir arada çalıştığında hesap güvenliği gerçek anlamda sağlanmış olur.

Güvenliğinizi dışarıdan sağlamlaştırırken içeriyi göz ardı etmeyin. En büyük açık çoğunlukla en tanıdık yerden geliyor.

Kurumunuzda kimlik doğrulama ve erişim kontrolünü tek bir çatı altında yönetmek istiyorsanız SecTrail MFA, mevcut altyapınıza entegre olabilen yerli bir, çok faktörlü kimlik doğrulama çözümü sunuyor. Active Directory, RADIUS ve SAML 2.0 desteğiyle kurumsal sistemlerinize uyumlu çalışan platform hakkında daha fazla bilgi almak için bizimle iletişime geçin.

© 2023 Tüm hakları saklıdır.

DVU Danışmanlık, Yazılım ve Ar-Ge A.Ş.

tr_TR
tr_TR en_US