Ayrıcalıklı Erişim Yönetimi (PAM) ve Kurumsal Siber Güvenlik
İş dünyasında siber güvenlik denildiğinde akla genellikle dışarıdan gelen saldırıları engelleyen pahalı güvenlik duvarları (Firewall) veya bilgisayarlardaki antivirüs programları gelir. Ancak siber güvenlik dünyasında çok bilinen acı bir gerçek vardır. Başarılı hackerlar sistemlerinize zorla girmeye çalışarak zaman kaybetmezler, onlar sadece sistemlerinize yasal bir kullanıcı gibi giriş yaparlar.
Eğer bir saldırgan, şirketinizin bilgi işlem yöneticisine ait şifreyi ele geçirmişse, milyon dolarlık güvenlik sistemleriniz hiçbir alarmı tetiklemez. Sistem, o saldırganı şirketin asıl yöneticisi sanır ve en gizli dosyalara erişmesine izin verir. İşte Ayrıcalıklı Erişim Yönetimi (Privileged Access Management – PAM), şirketin bu en yüksek yetkili hesaplarını koruma altına alan, bu şifreleri insanlardan bile gizleyen ve sistemde yapılan her işlemi saniye saniye kaydeden modern bir güvenlik mimarisidir. Nesil Teknoloji uzmanlığıyla hazırladığımız bu rehberde, kurumunuzun “anahtarlarını” nasıl koruyacağınızı ve büyük siber yıkımları nasıl engelleyeceğinizi çok net ve anlaşılır bir dille inceliyoruz.
Kurumsal siber saldırıların %80’inden fazlası, şirket içindeki yetkili (admin) hesapların ele geçirilmesiyle başlar. PAM sistemleri bu yüksek yetkili şifreleri dijital bir çelik kasaya hapseder. Yöneticiler bile gerçek şifreyi göremez. Sistem, kimin hangi sunucuya girdiğini video kaydı gibi izler ve işi bitenin yetkisini anında geri alır. Bu sistem, içeriden veya dışarıdan gelebilecek en büyük yıkımları önler.
1. PAM Nedir ve Sıradan Güvenlikten Farkı Ne
Her şirkette temelde iki tür kullanıcı hesabı vardır. Birincisi, e-postalarına bakan, internete giren ve standart dosyalar hazırlayan normal personel hesaplarıdır. İkincisi ise, şirketin tüm ana sunucularına, müşteri veritabanlarına ve finansal kayıtlarına sınırsız erişimi olan, sisteme yeni programlar kurup silebilen Ayrıcalıklı Hesaplar (Admin/Yönetici) dır.
Birçok şirket, standart Kimlik ve Erişim Yönetimi (IAM) yazılımları kullanır. IAM sistemleri, şirket binasının kapısındaki resepsiyon görevlisi gibidir. Sadece kartı olanı içeri alır ve mesai takibi yapar. Ancak PAM (Ayrıcalıklı Erişim Yönetimi) bambaşka bir şeydir. PAM, binanın en alt katındaki devasa dijital kasanın önünde bekleyen özel denetçidir. O kasayı kimin açtığını, içeriye hangi yetkiyle girdiğini, içeride ne kadar kaldığını ve kasanın içinden hangi dosyayı aldığını saniye saniye denetler.
Neden Bir Tercih Değil Zorunluluktur
Günümüzde siber güvenlikteki en geçerli ve modern yaklaşım Sıfır Güven (Zero Trust) kuralıdır. Bu kural özetle şunu söyler “Sistemin içindeki bir kullanıcıya veya cihaza asla sonsuz güven duyma, her hareketini her an yeniden doğrula.” Şirketinizdeki yüksek yetkili bir bilgi işlem (IT) çalışanının şifresi çalındığında, şirketinizin tüm dijital mülkiyeti başkasının eline geçer. PAM, çalışanlara verilen bu sonsuz yetkileri ortadan kaldırarak Sıfır Güven kuralını şirketinize tam anlamıyla uygular.
2. Sadece İnsanların Değil Makinelerin de Şifresi Var (Görünmez Tehlike)
Şirketlerde “yetkili hesap” denildiğinde herkesin aklına sadece bilgi işlem (IT) departmanındaki müdürler veya yöneticiler gelir. Oysa bir şirketin bilgisayar ağında, insanlardan on kat daha fazla sayıda görünmez yetkili hesap vardır. Bu hesapları iki temel kategoriye ayırırız
| İnsan Odaklı Yetkili Hesaplar | Makine ve Yazılım Hesapları (Görünmezler) |
|---|---|
| Ağ Yöneticileri (Domain Admin) Şirketteki her bilgisayara hükmeden, şifreleri sıfırlayabilen en güçlü hesaplardır. | Servis Hesapları İki farklı bilgisayar programının birbiriyle veri alışverişi yapmak için kullandığı arka plan hesaplarıdır. |
| Veritabanı Yöneticileri Şirketin tüm müşteri, muhasebe ve ticari sır kayıtlarının tutulduğu ana sistemlere giren kişilerdir. | Uygulama Şifreleri (Hard-coded) Yazılımcıların program kodlarının içine unuttuğu veya bilerek gömdüğü sabit şifrelerdir. |
| Dış Tedarikçi (Taşeron) Hesapları Şirketinize uzaktan bakım yapmak için bağlanan yazılım veya destek firmalarının yetkileridir. | Akıllı Cihazlar (IoT) Güvenlik kameraları, akıllı yazıcılar veya sensörlerin fabrikadan gelen ve hiç değiştirilmeyen yönetici şifreleridir. |
Saldırganlar, şirketlerin şifresini değiştirmeyi akıl edemediği bu Makine Hesaplarını bulmaya bayılırlar. Çünkü bu hesaplar yıllarca aynı şifreyle kalır, unutulur ve kimse onları denetlemez. Kurumsal bir PAM sistemi, insan hesapları kadar bu görünmez makine hesaplarının şifrelerini de aynı yüksek standartlarda koruma altına alır.
3. Bir PAM Sistemi Nasıl Çalışır (3 Temel Özellik)
PAM sistemi, şirket şifrelerini saklayan basit bir not defteri veya Excel dosyası değildir. O, şirketin bilgi işlem merkezinde duran akıllı bir trafik polisi ve aynı zamanda bir güvenlik kamerasıdır. Sistemi eşsiz kılan üç ana teknik özelliği şunlardır
Birinci Özellik Dijital Şifre Kasası (Vaulting)
En yetkili şifreler bile artık yöneticilerin bilgisayarlarında, zihinlerinde veya post-it kağıtlarında durmaz. PAM bu şifreleri askeri düzeyde şifrelenmiş dijital bir çelik kasaya hapseder. Yöneticinin bir sunucuya girmesi gerektiğinde, gerçek şifreyi bilgisayar ekranında hiç görmez. PAM sistemi, yönetici adına arka planda kapıyı açar. Yönetici şifreyi bilmediği için, şifrenin o yöneticiden çalınma ihtimali de matematiksel olarak ortadan kalkar.
İkinci Özellik Oturumların Kameraya Alınması (Session Monitoring)
Bir şirket yöneticisi veya dışarıdan destek veren bir taşeron firma şirketinizin kritik bir sunucusuna bağlandığında, PAM sistemi anında devreye girer. Kişinin ekranda yaptığı her fare (mouse) hareketini ve klavyede yazdığı her komutu tıpkı bir video kamera gibi kaydeder. Yarın öbür gün sistemde bir çökme, bir silinme veya veri hırsızlığı olduğunda, geriye dönüp “Kimin ne yaptığını” %100 doğrulukla ve mahkemede delil sayılacak şekilde kanıtlayabilirsiniz.
Üçüncü Özellik Tam Zamanında Geçici Yetki (Just-in-Time)
Eski güvenlik sistemlerinde, bir bilgi işlem yöneticisi 7 gün 24 saat “Admin” (Süper yetkili) statüsündedir. Bu da o hesap hafta sonu gece yarısı ele geçirildiğinde bile şirketin risk altında olduğu anlamına gelir. PAM bunu tamamen değiştirir. Normal şartlarda şirkette kimsenin yetkisi yoktur (Sıfır Kalıcı Ayrıcalık kuralı). Bir yönetici sunucuya girip tamir yapacaksa PAM sisteminden talep oluşturur. PAM ona sadece 30 dakikalığına geçici bir yetki verir ve süre bitince yetkiyi otomatik olarak geri alır. Şirketin kapıları sürekli açık kalmaz.
4. Hackerlar Ayrıcalıklı Hesapları Nasıl Kullanır (Saldırı Zinciri)
Bir siber saldırganın şirketinizi çökertmek için adım adım ne yaptığını anlarsanız, PAM sisteminin şirketinizi tam olarak nerede kurtardığını çok daha iyi kavrarsınız.
- Birinci Adım Oltalama (İlk Giriş) Saldırgan, İnsan Kaynakları veya Muhasebe departmanındaki sıradan bir çalışana sahte bir fatura veya e-posta atar. Çalışan linke tıklar ve bilgisayarına küçük bir virüs bulaşır. Bu personelin bilgisayarında büyük bir şirket yetkisi yoktur.
- İkinci Adım Keşif ve Şifre Çalma Virüs bulaştığı bilgisayarda sessizce çalışır. O bilgisayara geçmişte tamir için giriş yapmış olan bir IT yöneticisinin arka planda, bellek içinde kalmış şifre kırıntılarını (Hash) tarar ve bulur.
- Üçüncü Adım Odalar Arası Geçiş (Yanal Hareket) Saldırgan, bulduğu bu yönetici şifresini kullanarak şirket ağındaki diğer bilgisayarlara ve sunuculara engelsizce zıplar. Gerçek hedefi olan “Ana Sunucuyu” (Domain Controller) arar.
- Dördüncü Adım Yıkım Ana sunucuya eriştiğinde, tüm şirketin yedeklerini siler, verilerini kilitler (Fidye yazılımı) ve ekranınıza şirketi kurtarmak için milyonlarca dolar talep eden o malum mesajı bırakır.
PAM Bizi Burada Nasıl Kurtarır Eğer şirkette PAM olsaydı, saldırgan 2. adımda sıradan personelin bilgisayarında hiçbir yönetici şifresi bulamayacaktı. Çünkü PAM sayesinde yöneticiler şifreyi kendi bilgisayarlarına yazmazlar, işlemler dijital kasa üzerinden şifre görünmeden yapılır. Saldırgan diğer bilgisayarlara sıçrayamadan ilk girdiği bilgisayarda sıkışıp kalacak ve güvenlik ekipleriniz tarafından kolayca avlanacaktı.
5. Kurulum Seçenekleri Bulut (Cloud) mu Yoksa Kurum İçi (On-Premise) mi
Şirketler PAM sistemine geçiş yapmaya karar verdiklerinde karşılarına iki farklı mimari seçenek çıkar. Hangi seçeneğin size uygun olduğu, şirketinizin sektörüne ve regülasyonlara bağlıdır.
- Kurum İçi (On-Premise) Kurulum PAM yazılımı doğrudan şirketinizin kendi sunucu odalarına kurulur. Yazılımın ve donanımın tüm kontrolü sizdedir. İnternet bağlantınız kopsa dahi sistem içeride çalışmaya devam eder. Genellikle bankalar, savunma sanayi şirketleri, hastaneler ve verilerini şirket dışına çıkartması kanunen yasak olan yüksek regülasyonlu kurumlar tarafından tercih edilir. Kurulum süreci ve bakımı daha fazla IT eforu gerektirir.
- Bulut Tabanlı (SaaS / Cloud) Kurulum Yazılım size internet üzerinden bir hizmet olarak sunulur. Herhangi bir sunucu satın almanıza veya bakım yapmanıza gerek yoktur. Sistemi saatler içerisinde aktif edip kullanmaya başlayabilirsiniz. Esneklik, hız ve düşük başlangıç maliyeti arayan orta ve büyük ölçekli modern şirketler (E-ticaret, perakende, üretim) için en ideal çözümdür. Güncellemeler otomatik olarak bulut sağlayıcısı tarafından yapılır.
6. Kurum İçi Güvenli Erişim Politikası Nasıl Hazırlanır
Teknoloji tek başına hiçbir şirketi kurtarmaz; teknolojiyi destekleyen şirket kuralları (Politikalar) yazılmalıdır. Etkili bir PAM projesi, sağlam bir yazılı kurumsal erişim politikası ile başlar. Yönetim kurulu tarafından onaylanması gereken bu belgede şu kurallar kesin ve net bir dille belirtilmelidir
- Şifre Paylaşımının Yasaklanması Hiçbir IT personeli, şifresini iş arkadaşına WhatsApp, e-posta veya sözlü olarak iletemez. Tüm paylaşımlar PAM üzerinden süreli ve kayıtlı olarak yapılmalıdır.
- Minimum Yetki Prensibi Şirkette çalışan hiç kimseye, unvanı ne olursa olsun (Genel Müdür dahil) işini yapması için gereken yetkiden bir fazlası verilemez. Geçici yetki talepleri mutlaka bir üst yöneticinin veya sistemin dijital onayından geçmelidir.
- Dış Tedarikçi (Vendor) Kuralları Şirkete bakım, onarım veya yazılım güncellemesi için dışarıdan bağlanan tüm firmalar, kendilerine tahsis edilen PAM portalı üzerinden şirkete girmek zorundadır. Direkt bağlantılar (Doğrudan VPN veya RDP) kesinlikle yasaklanmalıdır.
- Düzenli Denetim (Audit) Sistemde unutulan veya işten ayrılan kişilere ait hesapların olup olmadığını tespit etmek için her 3 ayda bir otomatik yetki taraması yapılacağı kurala bağlanmalıdır.
7. Başarılı Bir PAM Kurulumu İçin 5 Adım (Yol Haritası)
PAM projeleri bir yazılımı bilgisayara kurup ertesi gün unutacağınız işler değildir. Şirketin iş yapış kültürünü kökten güvenli hale getirme sürecidir. Nesil Teknoloji olarak, kurumunuzun işleyişini aksatmadan uyguladığımız 5 adımlı yol haritamız şudur
- Keşif ve Temizlik İlk olarak şirketinizin devasa ağında kaç tane unutulmuş, gizli veya gereksiz yetkili hesap olduğunu özel tarama yazılımlarıyla tespit edip haritalandırıyoruz.
- Yetkilerin Geri Alınması Herkesin bilgisayarına istediği her programı kurabildiği standart “Yerel Admin” haklarını son kullanıcılardan alıyoruz.
- Kasaya Kilitleme ve Rotasyon Bulduğumuz en kritik sunucu, ağ cihazı ve veritabanı şifrelerini PAM kasasına taşıyoruz. Ardından şifrelerin her gece otomatik olarak karmaşık karakterlerle kendi kendine değişmesini (Rotasyon) sağlıyoruz.
- Kayıt ve İzleme Kurulumu Bilgi işlem ekibinizin veya dışarıdan size hizmet veren taşeron firmaların sadece bu video kayıtlı sistem üzerinden sunucularınıza girmesini teknik olarak zorunlu kılıyoruz.
- Tam Otomasyon Yönetici yetkisi almak için çalışanların amirlerine e-posta atıp saatlerce beklemesini engelliyor, iş akış sistemleriyle (ITSM) acil onay süreçlerini otomatik ve hızlı hale getiriyoruz.
8. Yasal Boyut KVKK Bize Neden Ceza Keser
Yöneticilerin sıklıkla düştüğü bir yanılgı vardır “Siber saldırganlar sistemimize zorla girdi, burada mağdur olan biziz, devlet veya kurumlar bize neden ceza kesiyor?”
Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK) Madde 12, müşteri verisini ve personel bilgisini elinde tutan şirkete “Veriye hukuka aykırı erişimi önlemek için gerekli tüm teknik ve idari tedbirleri alma” zorunluluğu getirir. Eğer şirketinizde bir veri sızıntısı olursa, KVKK denetçileri size şu soruyu soracaktır “Bu müşteri verilerinin bulunduğu sunucuya girme yetkisi olan admin hesaplarını nasıl denetliyorsunuz? Kimin, saat kaçta bu sunucuya girdiğine dair elinizde değiştirilemez bir log (kamera) kaydı var mı?”
Eğer şirketinizde bir PAM sistemi yoksa, sunucuya dışarıdan destek veren bir yazılım firmasının mı, işten ayrılmak üzere olan kötü niyetli bir çalışanın mı yoksa bir hackerın mı girdiğini hukuken ispatlayamazsınız. PAM sistemi sayesinde her kullanıcının yaptığı işlem saniye saniye kaydedildiği için, herhangi bir soruşturma durumunda kuruma anında eksiksiz bir yasal kanıt sunar, şirketinizi milyonlarca liralık idari para cezalarından ve itibar kaybından kurtarırsınız. Bankacılık sektörü (BDDK) veya enerji sektörü (EPDK) için bu sistemleri kullanmak zaten kanuni bir zorunluluktur.
9. Sistemin Şirketinize Sağlayacağı Mali Fayda (Yatırım Getirisi)
Ayrıcalıklı Erişim Yönetimi (PAM), şirket bütçesinde bir masraf kalemi değil, şirketi felaketlerden koruyan yüksek getirili bir yatırımdır (ROI). Bu yatırım kendini iş dünyasında üç farklı şekilde açıkça amorti eder
- Riskten Kaçınma Maliyeti Başarılı bir fidye yazılımı (Ransomware) saldırısı, bir şirketin haftalarca fatura kesememesine, üretim hatlarının durmasına, borsadaki değerinin düşmesine ve sızan veriler yüzünden ağır müşteri davalarıyla uğraşmasına neden olur. Ortalama bir veri ihlalinin şirkete zararı on milyonlarca lirayı bulur. PAM, hackerların içeride rahatça hareket etmesini engelleyerek bu devasa yıkım riskini ortadan kaldırır.
- Siber Sigorta İndirimleri Günümüzde sigorta şirketleri, şirketlere “Siber Güvenlik Sigortası” yapmadan önce risk analizi yaparlar. Eğer şirketinizde bir PAM sistemi varsa, sigorta şirketi sizin hacklenme riskinizin çok düşük olduğunu görür ve ödeyeceğiniz yıllık sigorta primlerinde çok ciddi indirimler uygular. PAM olmayan şirketleri ise sigortalamayı reddedebilirler.
- Operasyonel Verimlilik (Zaman Tasarrufu) Bilgi işlem ekipleri her gün “şifremi unuttum”, “şu programa yetki ver”, “yeni gelen personele şifre ata”, “işten ayrılanın şifresini hemen sil” gibi manuel işlerle saatlerini harcar. PAM sistemi tüm bu şifre oluşturma, rotasyon ve iptal etme süreçlerini otomatikleştirerek IT ekibinizin mesaisinden ciddi tasarruf sağlar.
Türkiye pazarında ve globalde CyberArk, BeyondTrust, Delinea gibi dünya devlerinin yanı sıra, ülkemizden çıkan ve global standartlarda hizmet veren Kron gibi çok güçlü PAM çözümleri bulunmaktadır. Nesil Teknoloji, bütçenize ve şirket yapınıza en uygun yazılımı seçmenizde size tarafsız ve profesyonel bir mühendislik rehberliği sunar.
10. Yöneticilerin Sık Sorduğu Sorular
PAM sistemi iş süreçlerimizi ve çalışanlarımızın hızını yavaşlatır mı?
Aksine, doğru yapılandırılmış bir PAM sistemi işleri hızlandırır. “Şeffaf Oturum” adı verilen teknoloji sayesinde yetkili personeliniz onayı aldıktan sonra arka plandaki karmaşık şifreleri hiç görmeden tek tıklamayla sunucuya veya veritabanına bağlanır. Bekleme, form doldurma ve karmaşık şifreleri akılda tutma derdi tamamen biter.
Orta ölçekli bir şirketiz (KOBİ), PAM gibi büyük sistemlere gerçekten ihtiyacımız var mı?
Siber saldırganlar şirketinizin cirosuna veya bina büyüklüğüne bakmaz, sisteminizdeki zafiyete ve elinizdeki verinin piyasa değerine bakar. Çalışan sayınız 50 de olsa, eğer e-ticaret yapıyor, müşteri verisi tutuyor, dijital fatura kesiyor veya fabrikanızda akıllı makineler kullanıyorsanız en azından temel bir PAM (Dijital Şifre Kasası) çözümüne mutlaka ihtiyacınız vardır.
Zaten çok güçlü bir Antivirüs ve Firewall kullanıyoruz, bu yetmez mi?
Siber güvenlik tek bir kalın duvar değil, iç içe geçmiş katmanlar bütünüdür (Soğan zarı gibi). Firewall (Güvenlik Duvarı) binanızın dış kapısıdır. Antivirüs, odadaki virüsleri temizler. Ancak PAM, o binaların ve odaların “Anahtarlarını” korur. Eğer saldırgan yasal bir yöneticinin anahtarını ele geçirirse, Firewall onu yasal bir çalışan sanıp içeriye seve seve alacaktır. Bu yüzden PAM şirket güvenliğinin kalbidir.
Bu sistem dışarıdan bize destek veren yazılım (Taşeron) şirketleri için de geçerli mi?
Kesinlikle evet ve PAM’in dünyada en çok kullanıldığı alanlardan biri de budur. Şirketinize uzaktan bağlanan tedarikçi veya danışman firmalara sınırsız VPN şifresi vermek şirketinizin anahtarını sokağa bırakmak gibidir. Bunun yerine onları PAM sisteminiz üzerinden içeri alırsınız. Tedarikçi sadece tamir edeceği sunucuya, sadece sizin izin verdiğiniz saatlerde girer ve yaptığı her hareket şirketinizin hafızasına kaydedilir.
Nesil Teknoloji ile çalışmanın kurumumuza avantajı nedir?
Nesil Teknoloji olarak sadece bir yazılım satmıyoruz; kurumunuzun siber güvenlik kültürünü inşa ediyoruz. TSE A Sınıfı Sızma Testi yetkinliğimizle önce sisteminizdeki mevcut açıkları buluyor, ardından şirketinizin işleyişini hiç durdurmadan en uygun PAM sisteminin kurulumunu ve teknik personelinizin eğitimini uçtan uca sağlıyoruz.
