Günümüzün bulut güvenliği kategorileri, bulutta tespit ve müdahaleye yönelik temel gereksinimlerin belirlenmesi konusunda uygulayıcılara herhangi bir fayda sağlamamaktadır. Bunun nedeni, çeşitli algılama ve yanıt yeteneklerinin Kubernetes Güvenlik Duruşu Yönetimi (KSPM), Kimlik Tehdidi Algılama ve Yanıt (ITDR), Bulut İş Yükü Koruması (CWPP), Bulut Yerel Uygulama Koruma Platformları (CNAPP) ve daha fazlası gibi diğer bulut güvenliği kategorilerini kapsamasıdır.
Ancak 2025 yılına kadar yeni uygulama iş yüklerinin %95’inin bulutta yerel platformlarda dağıtılacağı öngörülmesine rağmen, konteynerler ve Kubernetes çalıştıran kuruluşların %90’ı yakın zamanda meydana gelen ihlalleri bildiriyor. Bu arada, BT güvenliği liderlerinin %95’i beceri açığının ekiplerini etkilediğini düşünüyor. XZ Arka Kapısı gibi sıfır gün tehditlerinin yükselişiyle birlikte, bulut saldırılarını tespit etme ve bunlara yanıt verme yeteneğini desteklemek hiç bu kadar önemli olmamıştı.
Peki gelişen tehdit ortamında nasıl gezinebilirsiniz? İlk adım, bulut saldırılarını tespit etme ve bunlara yanıt verme konusunda gerçekten neyin önemli olduğunu anlamak için geleneksel kategorilerin ötesine bakmaktır.
Saldırılar Bize Ne Anlatıyor?
Şubat 2024’te Siber Güvenlik ve Kritik Altyapı Ajansı (CISA), SolarWinds saldırganlarının bulut altyapısını ve insan olmayan kimlikleri hedef alan yeni taktikleri hakkında bir uyarı yayınladı. 2023’teki Scarleteel saldırısı, saldırganların bulut ortamlarından nasıl yararlandıklarını, Kubernetes aracılığıyla iş yüklerinden akıcı bir şekilde hareket ederek kimlik bilgilerini çalmayı ve geçerli programları kötü amaçlı amaçlar için nasıl kullandıklarını gösterdi. Saldırı zincirinin tamamında yalnızca botnet kurulumu ve veri sızması açıkça kötü niyetliydi.
2023’te Dero, Monero ve RBAC-Buster gibi saldırılar Kubernetes RBAC yanlış yapılandırmalarından yararlandı ve anonim kimlik doğrulaması elde etti. Mart 2024’teki XZ Arka Kapı tedarik zinciri saldırısı, yazılım tedarik zinciri saldırılarının bulut ortamlarına yönelik artan tehdidini daha da vurguluyor.
Bu olaylar hep birlikte üç kriterin altını çiziyor:
- Bulut ortamlarındaki açıkça kötü niyetli etkinlikleri aramak yerine, kötü niyetli şekillerde kullanılan normal süreçleri ele alan güçlü tespit ve yanıt stratejilerine duyulan ihtiyaç.
- Araştırma ve müdahale için kimliği kritik bağlam olarak dahil etme ihtiyacı.
- Cloud Detection and Response (CDR), yazılım tedarik zinciri saldırılarını tespit etmelidir.
CDR Ne Değildir?
Kategoriler çakışıyor, bunun çözümü yok. Bu nedenle CDR’nin ne olmadığını açıkça tanımlamak faydalı olacaktır. İlk olarak, bir CDR aracı bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümü değildir. SIEM aracınızın sıfır günü kendi başına algılamasını en son ne zaman bekliyordunuz?
CDR aynı zamanda bir Güvenlik Operasyon Merkezi (SOC) değildir ancak %100 tamamlayıcıdır. SOC’niz ASLA yalnızca buluta odaklanmayacaktır. . . CDR ise bulut için çok incelikli, spesifik taktikler ve algılama yöntemleri sağlar. SOC’nizin amacı daha geniştir ve bulutun yanı sıra şirket içi ortamları da hesaba katar.
CDR aynı zamanda Bulut Yerel Uygulama Koruma Platformu (CNAPP) veya Bulut Güvenliği Duruş Yönetimi (CSPM) çözümü değildir çünkü bu çözümler bulut saldırılarına karşı etkili yanıtları belirleyemez. En iyi ihtimalle bir CNAPP, gerçek zamanlı, imza tabanlı çalışma zamanı uyarılarını statik Kubernetes ve bulut yapılandırmalarıyla birleştirir. En iyi ihtimalle bu, ekiplere bilinen (atlanması kolay) saldırılara karşı reaktif algılamalar ve geçici iş yükleri için eylemsiz yapılandırma önerileri sağlar. Gerçek zamanlı öngörü ve imzasız, davranışsal tespit olmadan yeni bulut saldırılarını tespit edip bunlara yanıt veremezsiniz.
Kategoriler bize bir CDR’nin bir CNAPP, SIEM veya SOC olmadığını söylüyor. Bir CDR, sıfır günleri (diğer bir deyişle imzaları değil) tespit edebilen gerçek zamanlı içgörü ve teknoloji gerektirir.
Bir CDR Uygulamalara Odaklanmalı mı?
Bulut kullanım durumları geniştir ancak tüm bulut işlevlerinin merkezinde yer alan uygulamalara en büyük dikkat gösterilmelidir. Kubernetes’in mesajlaşma ve gözlemlenebilirlik gibi görevleri giderek daha fazla yönetmesi (2021’den 2022’ye kadar %211 kullanım artışı göstermesi) nedeniyle, güvenlik ekiplerinin etkili bulut algılama ve müdahale için uygulama geliştirmede kullanılan bulutta yerel araçlara uyum sağlamaya öncelik vermesi gerekiyor. CDR yeteneğinin CADR (Bulut Uygulama Tespiti ve Yanıtı) olarak daha detaylı tanımlanması için muhtemelen yer vardır.
Bulut kullanımı bize bir CDR’nin Kubernetes ve bulut yerel ortamları için gereken incelikli algılama ve yanıt yeteneklerine sahip olması gerektiğini söylüyor.
Bulut Saldırılarını Tespit Etme ve Yanıt Verme Kriterleri
Artık etkili CDR’nin içinde ve dışında ne olduğunu bildiğimize göre, her bir kriter kapsamındaki gerçek teknik kriterlerin bazı örnekleri nelerdir?
İçinde ne var:
- Sıfır günleri tespit edebilen teknikler; imzaya dayalı değil
- Tespit, sistem çağrılarının ve saldırganların bilinen tekniklerinin ötesine geçer: Uygulama katmanında gerçekleştirilen saldırılar, sistem çağrısı yapmaz. Örneğin, normalden farklı bir dosyaya bilgi yazan bir saldırgan, mevcut sistem çağrıları arasında gizlenecek ve fark edilmeyecektir. Ayrıca, çoğu zaman, kötü amaçlı olmayan sistem çağrılarının kümelenmesi bir soruna işaret edebilir; ancak bu sistem çağrılarına tek tek bakıldığında kötü amaçlı hiçbir şey görülmez.
- Yazılım tedarik zinciri saldırıları için geçerlidir
- Çalışan kümelerde log4j güvenlik açığı içeren bir iş yükünü veya herhangi bir yeni Kubernetes 3. taraf güvenlik açığını hemen arayın: Log4j gibi sıfır gün CVE’sinden yararlanılarak bir yazılım tedarik zinciri güvenlik saldırısına neden olabilir. Çalışan dağıtımlarınızın önceliklerinizi yönlendirmesi gerektiğinden, CVE’nin yalnızca dağıtım öncesi kodunuzda değil, çalışan iş yüklerinizde nerede bulunduğunu bilmek önemlidir.
- Kubernetes ve kapsayıcılarla etkilidir
- Hem RBAC politika faktörünü hem de Kubernetes politika yapılandırmalarını sınırlayabilen giriş kontrolü politikaları: Giriş kontrolü, yanıt eylemlerinin Kubernetes ortamındaki kötü amaçlı etkinlikleri durduracağı yöntemdir; dolayısıyla bunlar, herhangi bir bulut algılama ve yanıt çözümünün kritik bir gereksinimidir.
- Cloud Identity Context’i içerir
- Kullanımı dikkate alan Kimlik Riski puanı: Gerçek kullanımdan bağlamı ve çalışma zamanı, bulut, görüntü CVE’leri ve K8’lerin yanlış yapılandırmalarıyla diğer ilişkileri içeren kimlik riski puanı
- Kötü amaçlı bir kampanyanın parçası olarak kullanılan geçerli süreçleri belirleyebilir
- Sapma veya anormallik algılamayı uygular: Tehdit algılamayı gerçekleştirmenin en hafif ve en kolay yolu, çalışma zamanı davranışının davranışsal temel çizgisinden sapmadır. Dağıtımdan önce konteyner görüntüleri ile çalışma zamanı davranışı arasındaki sapmayı tespit etmek, ortamınızdaki ‘iyi’ temel çizgisinden sapmayı tespit etmekle karşılaştırıldığında son derece verimsizdir. Konteyner görselleri oldukça fazla miktarda şişkinlik içeriyor ve bu şişkinliğin içindeki parçaların çoğu, savunmasız bir saldırı yüzeyi içeriyor. Bir konteyner görüntüsünden sapmayı çalışma zamanında olması gereken şeye bağlamak doğru bir karşılaştırma değildir (her ne kadar değişmezlik bir kavram olarak çekici olsa da!).
Neler Çıktı:
Çözüm
Gerçek şu ki, CDR’nin içinde ve dışında ne olduğunu belirlemeye gelince daha fazla öğe ve dalılacak daha fazla seviye var. Ancak şimdiye kadar, klasik bulut güvenliği kategorilerindeki araçları tespit ve müdahale için kullanma konusunda göründüğünden daha fazlasının olduğunu biliyor olmalıyız. Bulut güvenliği ortamında gezinmek, etkili tespit ve yanıt için gerçekten neyin önemli olduğunun net bir şekilde anlaşılmasını gerektirir.
Gelişen tehdit ortamıyla mücadele etmek için kuruluşların yüzey düzeyindeki sınıflandırmaların ötesine geçen güçlü tespit ve yanıt stratejilerine öncelik vermesi gerekiyor. Bu, gerçek zamanlı, imzasız tespit tekniklerine odaklanmayı, kimlik bağlamının kritik rolünü anlamayı ve yazılım tedarik zinciri saldırılarını (yalnızca açık kaynak yazılımdaki güvenlik açıklarını değil) ele almayı içerir. Uygulayıcılar, bulut güvenliği kategorilerinin karmaşasını ortadan kaldırarak ve bu temel kriterlere odaklanarak, bulut ortamlarını karmaşık saldırılara karşı daha iyi koruyabilir ve bulutta daha güvenli bir gelecek sağlayabilirler.
Yazar Hakkında
Jimmy Mesta, RAD Security’nin Kurucusu ve Baş Teknoloji Sorumlusudur. RAD Güvenlik platformunun teknolojik vizyonundan sorumludur. Bulutta yerel güvenlik çözümleri oluşturmaya odaklanmış deneyimli bir güvenlik mühendisliği lideri olan Jimmy, bulut hizmetlerinin ve konteynerleştirmenin büyümesine yön veren kuruluşlarda çeşitli liderlik pozisyonlarında bulundu. Jimmy daha önce büyük ölçekli bulut güvenliği programları oluşturmaya, teknik güvenlik eğitimi vermeye, araştırma üretmeye ve dünyanın en büyük konteynerli ortamlarından bazılarının güvenliğini sağlamaya odaklanan bağımsız bir danışmandı.
Jimmy ile Linkedin https://www.linkedin.com/in/jimmymesta/ üzerinden veya https://rad.security/ adresini ziyaret ederek bağlantı kurabilirsiniz.