Bilgisayar korsanlarının siber saldırılarını önlemede SAML'nin önemi

Bilgisayar korsanlarının güneş enerjisi tedarik zinciri gibi farklı kuruluşlara yönelik son siber saldırıları, ABD devlet kurumlarını ve diğer kuruluşları etkilemiş ve sistemleri tehlikeye atan yöntemin önemli bulgularına yol açmıştır.

Microsoft saldırıları analiz etti ve yöntemlerden birinin saldırının gerçekleştiği Güvenlik Onaylama Biçimlendirme Dili (SAML) olduğunu öğrendi.

Saldırganlar, SolarWinds şirketinin altyapı izleme ve yönetim yazılımına, yükseltilmiş izinler aldıkları bu ağın kapısında kendilerine yer sağlayan kötü amaçlı bir kod yerleştirdiler. Saldırgan ağa girdikten sonra, genel yönetici hesabına ve SAML belirteci imza sertifikasına erişmek için şirket içi güvenlik ihlali yoluyla elde edilen yönetici izinlerini kullandı. Saldırganlar, imza sertifikasını kullanarak SAML belirteçlerini taklit etti. Ardından saldırganlar, bulutta veya şirket içinde kaynaklara erişmek için ayrıcalıklı kullanıcıların kimliğine büründü.

Peki, SAML nedir ve güvenli bir şekilde nasıl yönetilir?

SAML veya Security Assertion Markup Language, harici hizmetlere ve uygulamalara kullanıcının oturum açan kişiyle aynı kişi olduğunu söyleme işlemidir. SAML işlemi, çoklu oturum açma (SSO) teknolojisini oluşturur. Bir kullanıcının kimliğini doğrular ve ardından bu kimlik doğrulamasını birden çok uygulama için kullanır. Kullanımda olan mevcut sürüm SAML 2.0'dır ve 2005'ten beri kullanılmaktadır. SAML'nin önceki birkaç sürümünü birleştirmiştir ve artık modern standarttır.

SAML kimlik doğrulaması, bir kimlik kartı olarak kabul edilir. Bu kişinin kim olduğunu belirlemenin hızlı bir yoludur. Bir dizi DNA testi yapmak yerine sadece kimlik kartına bakarak birinin kimliğini doğrulamak gibidir.

Farklı amaçlar için bir araya gelen farklı cihaz türleri ve ağ sistemleri için birden fazla satıcı ve üretici ile bunları uyumlu hale getirmek çok önemli bir zorluk haline geliyor. SAML'nin avantajı, kullanıcıların kimliğini iletmek için özellikle bulut hizmeti sağlayıcıları olmak üzere farklı spesifikasyonlarda geniş çapta kabul görmesine izin veren birlikte çalışabilirlik standartlarıdır.

Çoklu oturum açma (SSO) nedir ve kullanımları nelerdir?

Çoklu oturum açma (SSO), bir kullanıcının aynı anda birden çok hizmet ve uygulama için kimliğini doğrulamasının güvenilir bir yoludur. Bu tesis, kullanıcıların tek bir oturum açma ekranında oturum açmasına ve ardından her seferinde kendilerini tanıtmadan herhangi bir farklı hizmet veya uygulamayı kullanmasına olanak tanır. SSO sistemi, kullanıcının her harici uygulamada veya hizmette oturum açtığını onayladığında olabilir. Bu noktada SAML devreye giriyor.

SAML işlevleri

Bir SSO kimlik doğrulama işleminin üç paydaşı vardır.

1. Asıl - Bulutta barındırılan uygulamalara erişmeye çalışan botları engelleyen çoğu durumda insan kullanıcılardır.
2. Kimlik sağlayıcı – kimlik sağlayıcı, kullanıcıların kimliğini depolayan ve oturum açma işlemi sırasında onları onaylayan bulut tabanlı bir yazılım hizmetidir. Temel olarak, kullanıcıyı tanıdıklarını ve belirli görevleri yapabileceklerini söylüyor. Bir SSO, bir kimlik sağlayıcıdan ayrı olabilir, ancak onların temsilcisi olarak hareket ederler, bu nedenle SAML sürecinde birçok yönden aynıdır.
3. Hizmet sağlayıcı –Kullanıcıların genellikle eriştiği bulut tabanlı uygulamalar ve hizmetler Microsoft 365 ve Gmail, bulut depolama hizmeti Google Drive, AWS S3 ve iletişim için kullanılan Skype ve Slack gibi uygulamalardır. Olağan durumlarda, bir kullanıcı yukarıdaki hizmetlerde doğrudan oturum açar, ancak SSO sistemi yerinde olduğunda, kullanıcı önce SSO'da oturum açar. SAML, kullanıcının dolaylı olarak oturum açmasına izin vermek yerine erişim sağlar.

Tipik bir iş akışı şöyle olacaktır 

• Yönetici veya kullanıcı, Hizmet sağlayıcıdan talepte bulunur.
• Hizmet sağlayıcı, kimlik sağlayıcıdan kimlik doğrulama ister.
• Kimlik sağlayıcı, hizmet sağlayıcıya SAML onayı gönderir.
• Hizmet sağlayıcı daha sonra Müdüre bir yanıt gönderir.
• Müdür oturum açmamışsa, kimlik sağlayıcı SAML onayını göndermeden önce oturum açmalarını ister.

SAML onayı, hizmet sağlayıcıya kullanıcının oturum açtığını ve kullanıcı kimliğinin onaylandığını bildirdiği için kritiktir. İddianın kaynağı, verilen süre ve uygulanan koşullar SAML iddiasını geçerli kılar.

Örneğin, SAML iddiası, bir iş başvurusunda bulunan bir aday için sağlanan referans geri bildirimi gibidir. Referans veren kişi, adayın iş rolünü, süresini, performansını ve genel görüşünü teyit edecektir. Şirket, referansın geri bildirimine göre bir adayı işe alır veya reddeder. Benzer şekilde, bir bulut hizmeti veya SaaS uygulaması, SAML onayına dayalı olarak bir kullanıcıyı reddedebilir veya izin verebilir.

SAML kimlik doğrulaması ve kullanıcı yetkilendirmesi

Kullanıcı kimliği söz konusu olduğunda, kimlik doğrulama ve yetkilendirmenin aynı şey olduğuna dair yaygın bir yanılgı vardır. SAML'de kullanılan teknoloji, yetkilendirme için değil kullanıcı kimlik doğrulaması içindir. Buradaki temel fark, kullanıcı yetkilendirmesinin, kimlik erişim yönetimi kapsamında ayrı bir işlev olmasıdır.  

Kimlik doğrulama: Bu, kullanıcının kimliğini, kim olduğunu ve giriş işleminin kimliğini onaylayıp onaylamadığını ifade eder.

Kimlik doğrulama: Bu, kullanıcının kimliğini, kim olduğunu ve giriş işleminin kimliğini onaylayıp onaylamadığını ifade eder.

Yetkilendirme: Herhangi bir kullanıcıya izin verilen izinleri ve ayrıcalıkları ifade eder. Bu, çalışanların iş rolleriyle ilgili olarak kuruluşun BT sistemleri tarafından izin verilen eylemler bağlamındadır.

Örneğin, genel tabirle, kimlik doğrulama ve yetkilendirme arasındaki farkı anlayalım. Bir kişi bir etkinliğe katılır ve doğru kişi olduğunu kanıtlamak için girişte biletini ve herhangi bir kimlik belgesini gösterir. Kabul edildikten sonra içeri girmelerine izin verilir. Kimlik doğrulamadır.

Olay içerisinde kişinin belirli kısıtlamaları vardır. Yetkileri olmadığı halde hiçbir yere gidemezler, hiçbir yere oturamazlar, sahneye çıkıp performans sergileyemezler demektir. Yetki sadece etkinliği izlemek içindir. Ek yetkilendirme için, kulise ek geçiş hakkı kazanmaları gerekir. BT açısından daha yüksek yetkilendirmeye eşdeğer olacaktır.

Üçüncü taraf hizmet sağlayıcılar, kullanıcı yetkilendirme sürecini gözden geçirmek için kimlik ve erişim yönetimi (IAM) sağlayan teknolojiler kullanır. Erişim Yönetimi çözümleri, yetkilendirme için farklı standartlar kullanır. Kimlik doğrulama ve yetkilendirme sunmak için SSO'yu kolayca entegre ederek kuruluşların verilere ve dahili kaynaklara kullanıcı erişimini yönetmesine olanak tanır.