2020 ile 2022 yılları arasındaki kötü şöhretli bulut saldırılarının çoğu, daha hızlı tespit ve müdahaleyle önlenebilecek basit teknik hataların sonucuydu.
Sysdig çözüm mimarı Mohamed Shaaban, 2021-2022’deki altı büyük bulut güvenlik olayıyla ilgili yaptığı çalışmada, buluta yapılan saldırıların, özellikle saldırı hacmi ve saldırganın otomatik araç kullanımı açısından daha gelişmiş hale geldiğini, bunun da savunucuların ihtiyaç duyduğu anlamına geldiğini buldu. Bunları engellemek için tespit ve müdahale yeteneklerini hızlandırmak.
Shaaban ve meslektaşı Rafik Harabi, gelecek hafta Black Hat Middle East’te “Manşetlere Dikkat Çeken 6 Güvenlik İhlalinden Dersler” konulu bir konuşma sunacak.
Araştırmacılar altı olay arasında bazı önemli ipuçları buldular. Bunlar arasında: Saldırganlar, saldırıdaki hedefin taranmasını, bulunmasını ve istismar edilmesini otomatikleştiren araçlar geliştiriyor ve sistemlere sızdırılmış kimlik bilgileri ve yaygın güvenlik açıkları aracılığıyla erişiyor.
Araştırmacılar bir dizi bulut olayını analiz etmek için farklı sektörlerden saldırıları seçtiler:
- PyTorch — Aralık 2022’de bir saldırgan, sistem verilerini çalmak üzere tasarlanmış kötü amaçlı kod içeren, güvenliği ihlal edilmiş bir PyTorch bağımlılığını indirmek için PyPI kod deposunu kullandı. Saldırgan, sistemi test eden etik bir bilgisayar korsanı gibi davrandı ve ancak kötü amaçlı yazılımı gizlemeye ve hassas verileri sızdırmaya çalıştığında yakalandı.
- MediBank — Kasım 2022’de saldırganlar, ele geçirilen oturum açma kimlik bilgileri aracılığıyla dahili sistemlere erişim sağladılar. Bu taktik “VPN erişimini kapsamış olabilirSaldırganlar bir ay boyunca sistemler üzerinde gizlendikten sonra çalınan şeyi bankaya gösterdiler. Ancak banka fidye talebini ödemeyi reddetti ve saldırgan verileri Dark Web’de yayınladı.
- Alibaba – Şanghay Polisi – Temmuz 2022’de, yanlış yapılandırılmış bir Alibaba bulut sunucusu, internette bir yıldan fazla bir süre boyunca şifre olmadan açık bırakıldı ve bu, 23 TB verinin çalınmasına ve hacker sitesi Breach Forums’ta satışa sunulmasına yol açtı. Bu 23TB dosya, Şangay Ulusal polis veri tabanında saklanan bir milyar Çin vatandaşının kişisel verilerini içeriyordu.
- ONUS — Saldırganlar, Aralık 2021’de Vietnam’ın en büyük kripto ticaret şirketinde Log4j’nin savunmasız bir sürümünden yararlandı. Saldırganlar, tam adlar, E-KYC verileri, e-posta adresleri, telefon numaraları, şifrelenmiş şifreler ve işlem geçmişleri dahil olmak üzere yaklaşık iki milyon müşteri kaydını ele geçirdi.
- Peloton — Mayıs 2021’de araştırmacılar, kimliği doğrulanmamış bir kullanıcının, hesabı özel moda ayarlanmış olsa bile tüm kullanıcılar için hassas bilgileri görüntüleyebileceğini, canlı sınıf istatistiklerini izleyebileceğini ve sınıftaki diğer katılımcıları araştırabileceğini belirledi. Güvenlik açığı, kullanıcı kimliklerinin, eğitmen kimliklerinin, grup üyeliğinin, konumun ve antrenman istatistiklerinin yanı sıra kullanıcının cinsiyeti ve yaşının saldırgan tarafından görülebilmesi anlamına geliyordu.
- Equinix — Eylül 2020’de veri merkezi sağlayıcısı, şirketin bazı dahili sistemlerini etkileyen bir fidye yazılımı saldırısına maruz kaldı. Saldırganların, şirketin sunucularından hassas verileri indirebildiklerini iddia ederek Equinix’ten 4,5 milyon dolar fidye talep ettiği anlaşılıyor. Fidye ödenmediği takdirde verileri kamuya açıklayacakları tehdidinde bulundular. Yaklaşık iki aylık bir araştırma, müşteri operasyonlarına veya müşteri bilgilerine ilişkin hiçbir hassas bilginin etkilenmediğini ve veri merkezlerinin olaydan etkilenmediğini belirledi.
Dersler öğrenildi
Shaaban, bu saldırılarla ilgili araştırmanın amacının “gerçekte neyin kötü gittiğine ve neyin daha iyi yapılabileceğine” dair dersler çıkarmak olduğunu söylüyor. Bu çıkarımlar, kuruluşların bulut ortamları üzerinde düşünmelerine ve özellikle olayların teknik yönlerinin neler olduğuna ve uzun vadeli etkilerine odaklanarak uygulamaya koydukları güvenlik kontrollerini ve süreçlerini gözden geçirmelerine yardımcı olabilir.
Araştırmacılar, bu olaylardaki saldırı ve yanıt modellerinin, buluttaki siber tehditlere nasıl daha iyi koruma ve yanıt verileceği konusunda fikir verebileceğini söylüyor.
Shaaban, güvenlik ekiplerinin sıklıkla savunmanızı güçlendireceğiniz bir önleme yaklaşımına mı yoksa çok düzeyli güvenlik araçları gerektiren tespit ve müdahaleye mi odaklanacağına karar vermesinin zorluklardan biri olduğunu söylüyor.
Bu nedenle, özellikle savunmacıların daha geniş bir yüzey alanını korumak için savunmada daha hızlı hareket etmeleri gerektiğinden ve saldırı çabalarında otomatik araçlar kullanabilen saldırganlara karşı tespit ve yanıt için bir kriterin gerekli olduğunu belirtiyor.
Bu doğrultuda Sysdig, bir şirketin bir tehdidi tespit etmesinin beş saniye, önceliklendirmesinin beş dakika ve yanıt vermesinin beş dakika sürdüğü 5/5/5 kriterini önerdi.
Shaaban, “Bulutta her şey gerçekten hızlı olduğu için her şeyin hızlı olmasına ihtiyacımız var ve tespitlerin, önceliklendirmenin ve yanıtın çok hızlı olmasına ihtiyacımız var ve bu nedenle 5/5/5 kıyaslamasını önerdik.” diyor.