IBM ve Microsoft’un Kimlik Tabanlı Tehditlere Karşı Oto-Otomasyonlu Yanıt Sistemi Entegrasyonu

Giriş

Günümüzde siber saldırganlar, kurumsal ağlara sızmak için en zayıf halka olan kullanıcı kimliklerini hedef almaktadır. IBM ve Microsoft'un yeni ortaklaşa geliştirdiği IBM Security Verify ve Microsoft Entra ID entegrasyonu, kimlik tabanlı tehditlerin otomatik olarak tespit edilmesini ve düzeltilmesini sağlayan bir çözüm sunmaktadır. Bu entegrasyon, özellikle çok faktörlü kimlik doğrulama (MFA) kötüye kullanımı, token çalınması ve yetkisiz ayrıcalık yükseltme gibi saldırı vektörlerine karşı koruma sağlamaktadır.

Sorun: Kimlik Tabanlı Tehditlerin Artan Sıklığı ve Elle Müdahale Zorlukları

Kimlik tabanlı saldırılar, son yıllarda %400 oranında artış göstermiştir. Bu saldırılar genellikle aşağıdaki yöntemlerle gerçekleştirilmektedir:

1. Kimlik Avı (Phishing): Kullanıcıları kandırarak kimlik bilgilerini çalmak.
2. Token Çalınması: Meşru kullanıcıların kimlik doğrulama token'larını ele geçirmek.
3. Yetki Yükseltme (Privilege Escalation): Kullanıcıların yetkilerini izinsiz artırarak ağa erişim sağlamak.
4. MFA Kötüye Kullanımı: Kullanıcıların MFA sürecini atlatmak için sosyal mühendislik veya kimlik avı saldırıları kullanmak.

Bu saldırılar, elle müdahale gerektiren ve gecikmelere yol açan süreçlerdir. Geleneksel yöntemlerle tehditlerin tespiti ve düzeltilmesi, ortalama 200 günden fazla sürebilmektedir. Bu da saldırganlara ağ içinde daha fazla hareket alanı sağlamaktadır.

Çözüm: IBM ve Microsoft'un Ortaklaşa Geliştirdiği Oto-Otomasyonlu Yanıt Sistemi

IBM ve Microsoft'un entegrasyonu, Microsoft Entra ID (eski adıyla Azure AD) tarafından toplanan güvenlik telemetrisini, IBM Security Verify tarafından yönetilen otomatik yanıt hizmetleriyle birleştirmektedir. Bu entegrasyonun temel avantajları şunlardır:

• Gerçek Zamanlı Tehdit Tespiti: Microsoft'un telemetri verileri kullanılarak, kimlik tabanlı saldırılar anında tespit edilmektedir.
• Otomatik Yanıt Mekanizmaları: IBM Security Verify, tehditleri otomatik olarak izole eder ve gerekli düzeltmeleri uygular.
• Yönetilen Hizmet Desteği: IBM'in uzman ekipleri, süreci sürekli olarak izler ve iyileştirmeler yapar.
• Politika Tabanlı Kontroller: Kuruluşlar, kendi güvenlik politikalarına göre yanıt stratejilerini özelleştirebilir.

Adım 1: Microsoft Entra ID ile Güvenlik Telemetrisinin Toplanması

Microsoft Entra ID, aşağıdaki verileri toplar ve analiz eder:

1. Kimlik Doğrulama Olayları: Kullanıcıların giriş denemeleri, başarısız oturum açma girişimleri ve MFA kullanımı.
2. Riskli Oturumlar: Anormal davranışlar (örneğin, aynı kullanıcının farklı coğrafi konumlardan giriş yapması).
3. Token Aktiviteleri: Kullanıcı token'larının kullanım sıklığı ve yerleri.
4. Yetki Yükseltme Girişimleri: Kullanıcıların yetkilerini değiştirme girişimleri.

Örnek Komut (Microsoft Graph API):

# Riskli oturumları listeleme
GET https://graph.microsoft.com/beta/identityRiskEvents

# Token aktivitelerini izleme
GET https://graph.microsoft.com/beta/auditLogs/signIns

Adım 2: IBM Security Verify ile Tehditlerin Tespiti ve Yanıtlanması

IBM Security Verify, Microsoft'tan alınan telemetri verilerini kullanarak tehditleri analiz eder ve otomatik yanıtlar oluşturur. Bu süreç aşağıdaki adımlardan oluşur:

1. Tehdit Tespiti: IBM'in yapay zeka destekli analizi, anormal davranışları tespit eder.
2. Otomatik Yanıt: Tehditler, aşağıdaki eylemlerle izole edilir:
   • Kullanıcı hesaplarının geçici olarak devre dışı bırakılması.
   • Riskli token'ların iptal edilmesi.
   • Yetki yükseltme girişimlerinin engellenmesi.
3. İzleme ve Raporlama: IBM Security Verify, tüm olayları kaydeder ve yöneticilere ayrıntılı raporlar sunar.

Adım 3: Yönetilen Hizmet Desteği ve Sürekli İyileştirme

IBM'in uzman ekipleri, aşağıdaki hizmetleri sunmaktadır:

• 24/7 İzleme: Tehditlerin sürekli olarak izlenmesi ve anında müdahale edilmesi.
• Politika Yönetimi: Kuruluşların kendi güvenlik politikalarını tanımlamasına olanak sağlar.
• Eğitim ve Danışmanlık: Kuruluşların güvenlik farkındalığını artırmak için eğitimler sunar.

Uygulama Örneği: Kimlik Avı Saldırısına Karşı Oto-Otomasyonlu Yanıt

Aşağıdaki senaryo, bir kuruluşun kimlik avı saldırısına nasıl otomatik olarak yanıt verdiğini göstermektedir:

1. Saldırı Tespiti: Bir kullanıcı, kimlik avı e-postası yoluyla kimlik bilgilerini girer. Microsoft Entra ID, bu girişimi riskli olarak işaretler.
2. Veri Aktarımı: Microsoft Entra ID, tehdit verilerini IBM Security Verify'a gönderir.
3. Otomatik Yanıt: IBM Security Verify, kullanıcının hesabını geçici olarak devre dışı bırakır ve yöneticiye uyarı gönderir.

   # IBM Security Verify API kullanarak kullanıcı hesabını devre dışı bırakma
   POST https://api.securityverify.ibm.com/v1/accounts/{userId}/disable
   Authorization: Bearer {access_token}
   

4. İzleme ve Raporlama: IBM, tüm olayları kaydeder ve yöneticiye ayrıntılı bir rapor sunar.

⚠️ Önemli Uyarı: Bu entegrasyonu uygulamadan önce, aşağıdaki adımları takip edin:

• Microsoft Entra ID ve IBM Security Verify hesaplarınızın doğru şekilde yapılandırıldığından emin olun.
• IBM'in otomatik yanıt politikalarını kuruluşunuzun güvenlik gereksinimlerine göre özelleştirin.
• Tüm kullanıcıların bu değişikliklerden haberdar edildiğinden emin olun.

Avantajlar ve Sınırlamalar

Avantajlar

• Otomatik Yanıt Süresinin Azalması: Elle müdahale gerektiren süreçler ortadan kalkar ve tehditlere yanıt süresi saatler yerine dakikalara düşer.
• Gelişmiş Güvenlik: Tehditler gerçek zamanlı olarak tespit edilir ve izole edilir.
• Maliyet Tasarrufu: Elle müdahale gerektiren süreçler azalır ve güvenlik ekiplerinin yükü hafifler.
• Uyumluluk: Çözüm, GDPR, CCPA ve diğer veri koruma düzenlemelerine uygun olarak tasarlanmıştır.

Sınırlamalar

• Başlangıç Maliyeti: Bu entegrasyonun uygulanması, bazı kuruluşlar için maliyetli olabilir.
• Öğrenme Eğrisi: IBM Security Verify ve Microsoft Entra ID'in yapılandırılması, teknik bilgi gerektirebilir.
• Gizlilik Endişeleri: Hassas verilerin üçüncü taraf hizmetlerine gönderilmesi, bazı kuruluşlar için endişe yaratabilir.

Sonuç

IBM ve Microsoft'un ortaklaşa geliştirdiği bu entegrasyon, kimlik tabanlı tehditlere karşı otomatik ve hızlı yanıt verme yeteneği sunmaktadır. Bu sayede kuruluşlar, saldırganların ağ içinde hareket etmesini engelleyebilir ve güvenlik açıklarını minimize edebilir. Gelecekte, bu tür entegrasyonların yaygınlaşmasıyla birlikte, kimlik tabanlı saldırılara karşı daha etkili koruma mekanizmaları geliştirilecektir.

Kaynaklar

• IBM ve Microsoft Ortaklığı Hakkında Detaylı Bilgi
• Microsoft Entra ID Dokümantasyonu
• IBM Security Verify Ürün Sayfası