Bulut Kimliğinin Açığa Çıkması ‘Kritik Bir Başarısızlık Noktasıdır’

Tehdit istihbaratı firması ReliaQuest’in Salı günkü raporunda, kullanıcı kimliğini güvende tutmanın başarısızlığının kuruluşlar içinde “kritik bir başarısızlık noktası” haline geldiği belirtiliyor.

Firma, üçüncü çeyrekteki tüm “gerçek olumlu güvenlik uyarılarının” %44’ünün, ham uyarıların %33’ünün de bir tür kimlik sorununa dayandığını buldu; bu da bunların kötü niyetli olmayabileceği ancak yine de önceliklendirilmesi gerektiği anlamına geliyor. Kimliğin “hem onaylanmış ihlallerin en büyük nedeni hem de en gürültülü uyarı kaynağı” olması, “güvenlik ekiplerini bunaltacak ve operasyonel maliyetleri artıracak” bir yük yaratıyor.

Siber güvenlik firması CrowdStrike’ın Ağustos ayı raporunda, saldırganların uç nokta ve ağ savunmalarını aşmalarına yardımcı olmak için bulut tabanlı kimlikleri hedef almaya devam ettiği belirtiliyor. Bu rapor, önceki 12 ayda bulut izinsiz girişlerinde %136’lık bir artışın yanı sıra muhtemelen Çin hükümeti için çalışan tehdit aktörleriyle bağlantılı bulut izinsiz girişlerinde yıllık %40’lık bir artış sayıyor.

CrowdStrike’ın karşı saldırı operasyonları başkanı Adam Meyers, “Bulut hem suçlular hem de ulus devlet tehdit aktörleri için öncelikli bir hedeftir” dedi (bkz: Ulus-Devlet, Siber ve Hacktivist Tehditler Avrupa’yı Vuruyor).

ReliaQuest iki temel zorluğun mevcut olduğunu görüyor: bulut ortamlarına yönelik kimlik bilgileri sıklıkla çalınıyor veya ifşa ediliyor ve saldırganlar ayrıcalıkları kolayca yükseltebiliyor.

Bulut kimlik bilgilerinin açığa çıkması, kod depolarına sabit kodlanmış, günlük dosyaları veya yanlış yapılandırılmış uygulamalar yoluyla açığa çıkarılmış, kötü amaçlı yazılım paketi yöneticileri kullanılarak hedeflenmiş veya bilgi çalan kötü amaçlı yazılımlar tarafından toplanmış olmak üzere birçok biçimde ortaya çıkabilir. Tehdit istihbaratı şirketi Flashpoint’in raporuna göre, bilgi hırsızları bu yılın yalnızca ilk yarısında 5,8 milyon virüslü ana bilgisayar ve cihazdan 1,8 milyardan fazla kimlik bilgisi topladı (bkz.: Bilgi hırsızları çılgına dönüyor).

‘Aşırı İzin Verme’ Sorununu Tekrarlayın

En az erişim ilkelerini sürdürmekte başarısız olmak da bir zorluktur. ReliaQuest, üçüncü çeyrek araştırmasına dayanarak, “Kimlik bağlantılı ayrıcalık artışı, onaylanmış tüm kimlik tabanlı uyarıların %52’sini oluşturuyordu; bunun temel nedeni, aşırı ayrıcalıklı kimliklerin çok fazla bulunmasıydı.” dedi.

Çok fazla erişime sahip bulut tabanlı kimlikler uzun süredir devam eden bir sorundur. Palo Alto’nun Birim 42 tehdit istihbaratı grubu 2022’de 200’den fazla farklı kuruluşa ait 18.000 bulut hesabındaki 680.000 kimliği inceledi ve “bulut kullanıcılarının, rollerinin, hizmetlerinin ve kaynaklarının %99’una aşırı izinler verildiğini” tespit etti.

Kuruluşların genel bulut kaynaklarını kullanımına ilişkin daha yeni bir araştırma, “hassas izinlere erişimi olan tüm kimliklerin ortalama %92’sinin bunları 90 gün boyunca kullanmadığını” ortaya çıkardı; bu da bulut kimliklerinin büyük çoğunluğunun aşırı izinli kaldığını gösteriyor.

Zorluklardan biri, yeterli sayıda bulut kimliğinin yükseltilmiş izinleri haklı çıkarması ve kimlik bilgileri açığa çıktığında kuruluşları yüksek risk altına sokmasıdır.

Güvenlik operasyon merkezlerini ve olay müdahale ekiplerini ele alalım. Darktrace’in Ağustos ayı raporunda, genel olarak “en az ayrıcalık ve minimum manuel erişim ilkesi” en iyi uygulama olsa da, ilk müdahale ekiplerinin genellikle acil ve “gerekli erişime” ihtiyaç duyduğu belirtiliyor. “Güvenlik ekiplerinin bir saldırının nasıl gerçekleştiğini anlamak için günlüklere, anlık görüntülere ve yapılandırma verilerine erişmesi gerekiyor, ancak genel erişim vermek içeriden gelen tehditlere, yanlış yapılandırmalara ve yanal harekete kapıyı açıyor.”

Uzmanlar, bu tür erişime her zaman izin vermek yerine, bunu yalnızca gerektiğinde sağlayan araçların (örneğin, Amazon Web Services’in Security Token Service) kullanılmasını öneriyor. Darktrace, “AWS STS belirteçleri gibi geçici kimlik bilgilerinden yararlanmak, bir soruşturma sırasında tam zamanında erişime olanak tanır” ve bu erişim sonrasında otomatik olarak iptal edilebilir, bu da “potansiyel saldırganların yükseltilmiş izinlerden yararlanma fırsat penceresini azaltır” dedi.

Bu zorlukların yönetilmesine yardımcı olmak için, şu anda çok sayıda satıcı tarafından sunulan bulut altyapısı yetki yönetimi araçları da dahil olmak üzere başka özel teknolojiler de mevcuttur. Pazar araştırmacısı Forrester’ın belirttiği gibi: “Aşırı ayrıcalıklı erişim ve yapılandırma hataları riskini yönetmek için CIEM, en az ayrıcalıklı erişimi zorunlu kılar, politika uygulamasını otomatikleştirir ve yetkilendirmeleri izler.”

Daha odaklı güvenlik açığı yönetimi de yardımcı olabilir. ReliaQuest, müşterilerinin ortamları üzerinde yaptığı çalışmalara dayanarak, 3. çeyrekteki bulut güvenlik aracı uyarılarının %70’inden fazlasının yalnızca bu dört kusura dayandığını buldu:

• Log4Shell (CVE-2021-44228): Java kitaplığındaki bu güvenlik açığı, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesini kolaylaştırır;
• OpenSSH (CVE-2024-6387): OpenSSH sunucularında uzaktan kod yürütülmesini sağlar;
• Microsoft Windows (CVE-2023-36884): Saldırganlar uzaktan kod yürütmek için özel hazırlanmış dosyaları kullanabilir;
• Jenkins (CVE-2024-23897): Komut satırı arayüzündeki rastgele dosya okuma güvenlik açığı, Jenkins sunucularında uzaktan kod yürütülmesine yol açabilir.

ReliaQuest, daha fazla kuruluşun uygulamaya koyması gereken acil çözümlerden birinin, bu tür güvenlik açıklarının kapsayıcıya alınmış görüntülerinde devam etmesini önlemek için DevOps hattı boyunca otomatik güvenlik araçlarını kullanmalarını sağlamak olduğunu söyledi. Ayrıca tüm bulut görüntülerinin ve DevOps şablonlarının düzenli olarak taranması, bu tür kusurların yeniden ortaya çıkmasının önlenmesine yardımcı olabilir.

“En iyi CVE’ler buluta özel olmasa da otomasyon sanallaştırılmış ortamlardaki etkilerini büyütüyor” dedi.