Bilgisayar Korsanları Google Cloud’u Kimlik Avı İçin Kötüye Kullanıyor


Tehdit aktörleri genellikle bulut hizmetlerine çeşitli yasadışı amaçlarla saldırır. Google Cloud, çok sayıda kötü amaçlı etkinlik için kötüye kullanılabilecek kapsamlı ve güçlü kaynakları nedeniyle hedef alınmaktadır.

Google Cloud hizmetlerinin sağladığı muazzam miktardaki veri ve bilgi işlem gücü, tehdit aktörlerini sıklıkla cezbeder. Bulut ortamlarının karmaşıklığı nedeniyle, bu durum onların tespit edilememesine de olanak sağlayabilir.

Google Cloud Threat Horizons, yakın zamanda bilgisayar korsanlarının Google Cloud’u kimlik avı için aktif olarak kullandığını açıkladı.

Google Cloud Kimlik Avı İçin

TAG ve Mandiant gibi çeşitli Google ekiplerinden derlenen Google Cloud Threat Horizons Raporu, sağlayıcılar genelinde bulut güvenliği tehditlerine ilişkin stratejik istihbarat ortaya koyuyor.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

Sunucusuz bilişimin kırılgan olabilen dönüştürücü bir kavram olduğuna işaret ediyor.

Ortaya çıkan sunucusuz bulut tehditlerini ele almak için stratejiler geliştirirken bulut güvenliği profesyonellerinin odaklanacağı üç temel alan dikkate alınmalıdır. Bunlar arasında, genişletilebilirlikten ve azaltılmış operasyonel genel giderlerden yararlanırken müşteri yanlış yapılandırmalarından kaynaklanan riskleri azaltmak yer alır.

Aşağıda önceliklendirilmesi gereken hususlara değindik:

  • Tehlikeye atılan kimlik bilgileri
  • Yanlış yapılandırmadan yararlanıldı
  • Kötü amaçlı yazılımların dağıtımı

2024’ün ilk yarısında Google Cloud Bulut CISO Ofisi, Google Güvenlik Operasyon Merkezi’nden alınan verilere dayanarak bulut güvenliği olaylarıyla ilgili derinlemesine bir soruşturma gerçekleştirdi.

Araştırma, zayıf veya hiç şifre kullanmamanın yasadışı girişe giden ilk büyük yol olmaya devam ettiğini, yanlış yapılandırmaların ise vakaların %30’undan fazlasına ulaştığını ve çoğunlukla ücretsiz servis hesap anahtarlarını içerdiğini ortaya koydu.

İlk Erişim Endişe Verici Vektörleri (H1 2024) (Kaynak – Google Threat Horizon)

Kripto madenciliği, 2023’ün ikinci yarısındaki %65’ten biraz düşerek %59 ile saldırıların başlıca nedeni olmaya devam etti.

Tecavüzün Gözlemlenen Etkisi (H1 2024) (Kaynak – Google Threat Horizon)

Bu keşifler, sunucusuz bilgi işlemin yapılandırmayla ilgili bazı güvenlik açıklarının giderilmesine nasıl yardımcı olabileceğini ve kapsamlı bir derinlemesine savunma stratejisinde neden önemli olduğunu göstermesi bakımından önemlidir.

Bu bağlamda analiz, kuruluşların bulut güvenliği olgunluk modellerini ortaya çıkan tehditlere karşı iyileştirmek için kimlik bilgisi yönetimine diğer konulara göre nasıl öncelik vermeleri gerektiğini, sıkı yapılandırmaları nasıl gözetmeleri gerektiğini ve sunucusuz mimarileri nasıl benimsemeleri gerektiğini vurgulamaktadır.

Sunucusuz bilişim, pek çok avantaj sunmasına rağmen, başından itibaren güvenliğe öncelik veren bir yaklaşım gerektirir.

Mandiant’ın iki yıl boyunca yaptığı bu analiz, sunucusuz mimarinin bulut sağlayıcıları genelinde karşı karşıya olduğu önemli riskleri ortaya koydu.

Bunlar, yetkisiz erişime yol açabilen sabit kodlanmış ve açık metinli sırları, sunucusuz altyapıdan yararlanarak kötü amaçlı faaliyetler yürüten ve bu altyapının ölçeklenebilirliğini saldırılar başlatmak için kullanabilen tehdit aktörlerini, güvenlik açıkları oluşturan güvenli olmayan tasarım ve geliştirme uygulamalarını ve hassas verileri veya işlevleri açığa çıkaran yanlış yapılandırılmış arka uç hizmetlerini içerir.

Kuruluşların bu özel tehditlerle başa çıkmak ve sunucusuz teknolojiyi uygun şekilde kullanmak için güçlü güvenlik önlemleri almaları gerekir.

2023-2024 yılları arasında “PINEAPPLE” ve “FLUXROOT” adlı iki tehdit aktörü, esas olarak Latin Amerika’da yaşayan insanları hedef alan kötü amaçlı yazılımları dağıtmak için Google Cloud hizmetlerini kullandı.

Google ekipleri, tespit yeteneklerini kurarak, kötü amaçlı URL’leri engelleyerek ve ilgili projeleri askıya alarak tepki gösterdi; bu da kampanyanın etkinliğini önemli ölçüde kısalttı.

Azaltma önlemleri

Aşağıda tüm hafifletme önlemlerinden bahsettik:

  • Yüksek ayrıcalıklı hesapları sıkı bir şekilde yönetin.
  • En az ayrıcalık ilkelerini uygulayın.
  • Kötü amaçlı yazılım algılama kontrollerini uygulayın.
  • Kötü amaçlı yazılım analizi için CISA ile işbirliği yapın.
  • Sızdırılan kimlik bilgilerini izleyin.
  • Kimlik bilgilerini sıfırlama kılavuzları geliştirin.
  • Konteyner Tehdit Algılama’yı kullanın.
  • Güvenilmeyen konteynerlerden kaçının.
  • Cloud Functions ağ ayarlarını yapılandırın.
  • Cloud Run için ağ giriş ve çıkışını kontrol edin.

AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo



Source link