CyberArk PAM nedir?
Cyberark PAM, kuruluşların sahip olduğu Windows hesaplarını, database veya uygulama konfigürasyon dosyalarında bulunan şifreleri, Linux ve network cihazlarında kullanılan SSH anahtarlarını yönetmek için kendi içerisinde tam bir yaşam döngüsüne sahip ayrıcalıklı erişim yönetimi (Privileged Access Manager) çözümüdür.
Kuruluşların, aşağıdaki gibi her türlü ayrıcalıklı kimlik ile ilişkili erişim bilgilerini güvence altına almasına, kontrol etmesine ve izlemesini sağlar.
- Windows sunucular ve kullanıcı bilgisayarları üzerindeki yetkili (Admin) hesaplar
- UNIX/LINUX sunucular üzerindeki yetkili (Root) hesaplar
- Oracle ve SQL Database sunucuları üzerindeki yetkili (SYS) hesaplar
- Cisco Switch/Router vb cihazlar üzerindeki yetkili hesaplar
Ayrıcalıklı Hesap (Privileged Account) Nedir?
Ayrıcalıklı hesap, bir iş sürecinin operasyonel hizmetini değiştirme veya etkileme kapasitesine sahip olan herhangi bir hesaptır. IT dünyasında ayrıcalıklı hesaplar “Keys to the kingdom” (Krallığın Anahtarları) olarak da adlandırılır. Kuruluşların sahip olduğu tüm cihazlarda, Veri tabanlarında, uygulamalarda, Endüstriyel kontrollerlarda ve daha fazlasında ayrıcalıklı hesaplar kullanılır. Son yıllarda ortalama olarak bir şirketin, çalışanlarının sayısının 3 katına kadar daha fazlasına sahip oldukları görülmektedir.
Tehditler ve Zorluklar
Kurumların karşılaştığı birçok hacklenme ve veri sızıntısı vakalarının analizleri sonucunda, bu vakaların %80 oranında ayrıcalıklı hesaplara sahip kullanıcı adı ve şifre bilgilerinin ele geçirilmesi sonucu oluştuğu görülmektedir.
Personel bilgisayarlarındaki Local admin hesabı veya herhangi bir sistem üzerindeki yetkili bir servis hesabı bilgilerini ele geçiren saldırganlar, farklı birçok zaafiyeti kullanarak Domain Admin gibi daha yetkili olan hesapların bilgilerine ulaşabilmekte (Priviledge Escalation) ve sonrasında tüm sistemleri ele geçirip, veri sızıntısı ve zararlar verebilmektedirler. Bu saldırılar sonucunda kuruluşlar ciddi maddi kayıplar ile karşılaşabildikleri gibi kurum itibarını da beklenmedik şekilde kaybedebilmektedir.
Her ne kadar ISO-27001, PCI-DSS, CBDDO vb. uygulama ve denetim standartları ile belirli güvenlik standartları belirlenmiş olsa da hem iş süreçlerinin sorunsuzca devam edilmesini sağlayabilmek hem de gerekli olan hesap güvenliğini sağlayabilmek için gereken bu kontrolleri, sürdürülebilir şekilde uygulayabilmek gerçekten zordur.
Çözümler
Yukarıda bahsettiğim bu zor süreçler için, Cyberark PAM, kurum içinde kullanılan tüm ayrıcalıklı yetkilere sahip hesap bilgilerinin tanıtılıp, belirlenen politikalar ile parola kasaları içerisinde düzenli aralıklarla değiştirilerek güvenilir bir şekilde yönetilmesini,Merkezi Politika Yöneticisi (Central Policy Manager – CPM) ile sağlayabiliyor.
Özellikle kurum dışı tedarikçi ve danışman gibi kullanıcıların kurum içi kaynaklarda yapacakları çalışmalarda, ayrıcalıklı hesaba ait kullanıcı adı şifre bilgisini hiç gösterilmeden, yetkili oturum yöneticisi (Privileged Session Manager – PSM) ile erişebilmesi sağlayabildiği gibi, istenilirse şifre bilgilerine belirlenen kişilerin erişebilmesi de sağlayabiliyor. Yetkisi dahilinde ayrıcalıklı hesap bilgileri ile bir sunucuya ya da sisteme bağlanan kullanıcıların yaptıkları tüm işlemlerin anlık olarak izlenebilmesi, log kayıtlarının alınması hatta ekran görüntülerine ait video kayıtları ayrı bir yerde saklanması, denetim ve adli analiz (Forensic analysis) çalışmalarında ciddi kolaylıklar sağlayabiliyor.
Kuruluş içerisindeki sistemler üzerinde yeni bir ayrıcalıklı kullanıcı hesabı oluşturulduğunda bunu keşfederek ve bilgi vererek aksiyon alınmasını sağlayan, yapılan çalışmalarda kötü niyetli davranış (Malicious Behavior) veya yüksek riskli davranış (High Risk Behavior) içeren komutlar çalıştırıldığında, alarmlar oluşturan ve gerektiğinde oturumu askıya alıp, sonlandırabilen Ayrıcalık Tehdit Analitiği (Privilege Threat Analytics – PTA) özelliğini de içinde barındırıyor.
PAM – Self-Hosted Architecture
