Tarafından barındırılan kurumsal bilgi tabanlarının (KB) bin örneği HizmetŞimdi Şirketin geçen yıl bu tür ihlalleri önlemek için yaptığı veri koruma iyileştirmelerine rağmen, geçtiğimiz yıl hassas kurumsal verileri ifşa ettikleri tespit edildi güvenlik sorunları.
Yazılım hizmeti (SaaS) güvenlik firması AppOmni tarafından yürütülen güvenlik araştırmasına göre, ServiceNow KB’lerinin toplam kurumsal örneklerinin yaklaşık %45’i, kişisel olarak tanımlanabilir bilgiler (PII), dahili sistem ayrıntıları ve etkin kimlik bilgileri/belirteçleri de dahil olmak üzere hassas verileri canlı üretim sistemlerine sızdırıyor.
AppOmni SaaS güvenlik araştırmaları şefi Aaron Costello bir analizde 17 Eylül’de yayımlanan makalede güvenlik açıklarının “KB’lerdeki güncel olmayan yapılandırmalar ve yanlış yapılandırılmış erişim kontrolleri” nedeniyle oluştuğu belirtilmiş ve bunun muhtemelen “KB erişim kontrollerinin sistematik olarak yanlış anlaşılması veya muhtemelen en azından bir örneğin zayıf kontrollerinin klonlama yoluyla yanlışlıkla başka bir örneğine kopyalanması” anlamına geldiği ifade edilmiştir.
Aslında, birçok durumda, birden fazla örneği olan kuruluşlar HizmetŞimdi Araştırmacılar, her birinde KB erişim kontrollerinin sürekli olarak yanlış yapılandırıldığını buldu.
ServiceNow, bulut tabanlı bir BT hizmet yönetimi platformudur. Şirket, geçen yıl kimliği doğrulanmamış kullanıcıların verilere erişmesini önlemek için platformuna güvenlik güncellemeleri getirdi; bunlara erişim kontrol listelerine (ACL) yönelik varsayılan iyileştirmeler de dahildi. Ancak, Costello’nun belirttiğine göre, iyileştirmelerin, kuruluşun dışındakiler tarafından görülmemesi gereken “hassas dahili veriler hazinesi” olan KB’leri üzerinde büyük bir etkisi olmadı.
Güvenlik İyileştirmelerine Rağmen Sızıntılar Neden?
AppOmni, bulgularını ServiceNow’a açıkladı. ServiceNow, müşteri veri sızıntılarının örneklerini değerlendirmek ve “KB makalelerinin erişilebilirliğini uygun şekilde yapılandırmak” için müşterileriyle birlikte çalıştı. ServiceNow CISO’su Ben De Bont, AppOmni’nin analiziyle birlikte yayınlanan bir bildiride böyle söyledi.
“Müşterilerimizin verilerini korumaya kararlıyız ve güvenlik araştırmacıları ürünlerimizin güvenliğini iyileştirme yönündeki devam eden çabalarımızda önemli ortaklardır,” dedi De Bont. Costello ve AppOmni’ye yalnızca güvenlik açığını tespit ettikleri için değil, aynı zamanda ServiceNow müşterilerle azaltmaları koordine edene kadar bulgularının yayınlanmasını geciktirdikleri için teşekkür etti.
Bahsedildiği üzere, ServiceNow geçen yıl platformunda barındırılan verilerin güvenliğini iyileştirmek amacıyla veri korumalarında iki önemli değişiklik yaptı. Bunlardan biri, belirli widget’ların kimliği doğrulanmamış kullanıcılara açıkça ayarlanmadığı sürece verilere erişim izni vermesini önleyen özellikler eklemekti; ikincisi ise varsayılan olarak çoğu ACL’ye uygulanan Güvenlik Nitelikleri adlı yeni bir özellikti. Kimliği doğrulanmamış kullanıcıların verilere erişmesine izin verilmediğinden emin olmak için belirli doğrulamalar içerir.
Costello, bu güncellemelerin KB’lerdeki verileri iki nedenden dolayı korumadığını belirtti. Birincisi, KB makalelerinin içeriğine erişmek için kullanılabilen genel widget’ların güncellemeyi almamış olması, diye yazdı. İkinci neden ise KB’lerin çoğunun ACL’lerin aksine Kullanıcı Kriterleri adı verilen bir özellik kullanılarak güvence altına alınması, “ACL’ye özel bir özellik olduğu için ‘UserIsAuthenticated’ Güvenlik Niteliğinin eklenmesini gereksiz kılıyor,” diye belirtti Costello.
Bu, ServiceNow’ın KB ifşasında bulunan sorunları açıklayabilir ancak genel olarak kuruluşların KB’leri kilitlemekte neden zorlandıklarını açıklamaz. Costello’nun araştırmasında bulduğu şey, çoğu kurumsal örneğin (veya incelediği vakaların %60’ının) “varsayılan olarak genel erişime izin vermek” için güvenli olmayan bir KB güvenlik özelliğini koruduğudur, dedi Costello.
Costello, ayrıca birçok yöneticinin, KB yapılandırmalarında kimliği doğrulanmamış kullanıcılara erişim izni veren çeşitli ölçütlerin olduğunun farkında olmadığını ve bunun “harici kullanıcıların gözden kaçmasına ve erişim izni verilmesine” olanak sağladığını yazdı.
KB Veri Açığını Nasıl Azaltırsınız
Gerçekten de, ServiceNow, KB’lerden veri sızıntısı sorunu yaşayan tek barındırma sağlayıcısı değil, diyor güvenlik farkındalığı eğitim firması KnowBe4’te veri odaklı savunma savunucusu olan Roger Grimes. Microsoft da istemci verilerinin sızdırılmasıyla ilgili benzer bir sorun yaşadı, “yardım masası türü verilerde ifşa olan tam bellek dökümleri dahil” diyor.
Ancak, parmakla işaret etmek SaaS sağlayıcıları KB veri sızıntıları gibi güvenlik sorunları ortaya çıktığında, bu sorunun üstesinden gelmek yardımcı olmayacaktır ve kuruluşların kendi KB’lerinin güvenliğinden de sorumlu olmaları gerekir.
“Gerçek şu ki, hepimiz bu hiper-bağlantılı ve her zaman çevrimiçi erişilebilir içerik dünyasında verilerimizi en iyi şekilde nasıl güvence altına alacağımızı öğreniyoruz,” diyor. “Satıcıyı suçlamak yerine, bu tür bir sorunun ek örneğini kendi politikalarımızı ve süreçlerimizi incelemek için kullanalım.”
Costello, kuruluşların bunu başarabilmesi için bazı yollar önerdi; bunlar arasında güvenlik yapılandırmalarını güncel tutmak için KB erişim kontrollerinde düzenli tanılama çalıştırmak ve varsayılan olarak KB içeriğine kimliği doğrulanmamış erişimi engellemek için iş kurallarını kullanmak yer alıyor.
Ayrıca, hem iç hem de dış kullanıcıların verilere erişmeye çalıştığı durumlarda erişim kontrolünün nasıl belirleneceğini etkileyen önemli güvenlik bariyerleri görevi gören KB’lerin ilgili güvenlik özelliklerinin de farkında olmaları gerektiğini söyledi.
Costello, ServiceNow (ve hassas kurumsal verileri barındırmaktan sorumlu diğer SaaS sağlayıcılarıyla) iletişimde kalmanın ve güvenlik güncellemelerinin ve çalışmalarının güncel olduğundan emin olmanın veri ifşasını önlemeye yardımcı olabileceğini sözlerine ekledi.