UNC5537 olarak bilinen bir siber suçlu grubu geçtiğimiz ay gözyaşı döktü.
Muhtemelen ShinyHunters veya Scattered Spider ile ilişkili olan fidye çetesi, Ticketmaster’dan 560 milyondan fazla müşteri kaydını çaldı ve bunları yeniden yapılandırılmış sızıntı sitesi BreachForums’ta 28 Mayıs’ta satışa sunarak 500.000 dolar talep etti. İki gün sonra grup, İspanya merkezli Santander Bank’tan 30 milyon hesap kaydını çaldığını ve 2 milyon dolar talep ettiğini iddia etti. Her iki şirket de paylaşımlardan sonra ihlalleri kabul etti.
Olaylara müdahale firması Mandiant tarafından 10 Haziran’da yapılan bir analize göre, veri sızıntılarının ve en az 163 diğer ihlalin nedeni bir güvenlik açığı değil, çalıntı kimlik bilgilerinin kullanılması ve çok faktörlü kimlik doğrulama (MFA) üzerindeki zayıf kontroller gibi görünüyor. Google’ın bir parçası.
“Mandiant’ın soruşturması, Snowflake müşteri hesaplarına yetkisiz erişimin Snowflake’in kurumsal ortamının ihlalinden kaynaklandığını gösteren herhangi bir kanıt bulamadı.” Mandiant analizinde belirtti. “Bunun yerine, Mandiant’ın bu kampanyayla ilişkili olarak yanıtladığı her olay, güvenliği ihlal edilmiş müşteri kimlik bilgilerine kadar takip edildi.”
Snowflake’in sistemlerinden veri çalınması MFA tarafından önlenebilirken, şirketlerin başarısızlıkları bu tek kontrolün eksikliğinin ötesine geçiyor. Bulut hizmetlerini kullanan işletmelerin, eski çalışanların ve yüklenicilerin hesaplarını hızlı bir şekilde kaldırarak ve fırsatçı saldırganların sistemleri, ağları veya hizmetleri tehlikeye atabileceği yolları azaltarak, saldırı yüzeylerinde görünürlüğe sahip olduklarından emin olmaları gerektiğini söylüyor kıdemli siber yönetici Chris Morgan Bulutta yerel güvenlik platformu sağlayıcısı ReliaQuest’te tehdit istihbaratı analisti.
“Öğrenilen en büyük ders, tehdit aktörlerinin karmaşık teknikler kullanmasına gerek olmadığıdır” diyor. “Düşmekte olan meyveyi (bu durumda güvensiz kimlik bilgilerini) hedeflemek, tehdit aktörünün çok az çabasıyla başarılabilir, ancak bol miktarda fırsat sağlar.”
İşte en son bulut ihlallerinden alınan beş ders.
1. MFA ile Başlayın ve Sonra Ötesine Geçin
MFA’nın benimsenmesinde büyüme için çok fazla alan var. Çalışanların üçte ikisi (%64) ve yöneticilerin %90’ı MFA kullanırken, bir yıl önce yayınlanan bir raporgöre, her 10 kuruluştan altısından fazlasında, hesapta MFA etkin olmayan en az bir kök kullanıcı veya yönetici bulunuyor Orca Security’nin 2024 Bulut Durumu raporu.
Bulut güvenlik firması Mitiga’nın kurucu ortağı ve baş teknoloji sorumlusu Ofer Maor, işletmelerin tutarlı ve doğrulanabilir bir %100’e ulaşması gerektiğini söylüyor.
Şirketler “MFA’nın uygulandığından ve gerekli olduğundan emin olmalı ve kullanılıyorsa [single sign-on]SSO olmayan girişlerin devre dışı bırakıldığından emin olun” diyor. “Geleneksel MFA’nın ötesine geçin [and] cihaz gibi ek güvenlik önlemlerini açın. [or] Hassas altyapı için donanım tabanlı kimlik doğrulama.”
2. Yetkili IP Adreslerini Sınırlamak için Erişim Kontrol Listelerini (ACL’ler) Kullanın
Kuruluşlar ayrıca, kullanıcıların bir bulut hizmetine nereden erişebileceğini kısıtlayan veya en azından herhangi bir anormalliği tespit etmek için erişim günlüklerinin günlük olarak incelenmesine olanak tanıyan erişim kontrol listelerini uygulamaya koymalıdır.
Bilgi güvenliği danışmanlığı yapan analist firması IANS Research’te siber güvenlik uygulayıcısı olan fakülte analisti Jake Williams, bunun siber saldırganların yeteneklerini daha da sınırladığını söylüyor.
“Aslında hemen hemen her bulut altyapısı için… insanların gelebileceği IP adreslerini kısıtlamak en iyi uygulamadır” diyor. “Eğer yapamıyorsanız, insanların beklemediğiniz bir yerden gelmediğinden emin olmak için incelemelere erişim çok daha önemlidir.”
3. Bulut Hizmetlerinde Görünürlüğü En Üst Düzeye Çıkarın
Şirketlerin ayrıca uygulamaları sürekli olarak izlemenin anlamlı bir yoluna sahip olmaları gerekir. Veri kaynaklarını eksiksiz bir resimde toplayan günlük verileri, erişim etkinliği ve hizmetler, şirketlerin Snowflake’e yapılan saldırılar gibi saldırıları tespit etmesine ve önlemesine yardımcı olabilir.
SaaS güvenlik yönetimi yönetimi AppOmni’nin CTO’su ve kurucu ortağı Brian Soby ayrıca, kuruluşların belirli davranış veya tehdit tespitleri konusunda uyarıda bulunabilmesi gerektiğini söylüyor; bu, siber suçluların bulut verilerine erişme girişimlerini tespit edecek bir yaklaşımdır, diyor firma.
“Güvenlik operasyonları ekipleri dağınık ve genellikle şirketlerinin kullandığı çeşitli uygulamalarda derinlemesine uzmanlık geliştirme fırsatına sahip olmasa da, araçları ve güvenlik platformlarının bu sorunları hızlı bir şekilde tespit etmesi gerekir” diyor. “Bu senaryoda, olağandışı konumlardan anormal oturum açma işlemleri ve son derece şüpheli saldırgan uygulamalarının müşteri Snowflake örnekleriyle bağlantısı kesinlikle vardı.”
4. Bulut Sağlayıcılarınızın Varsayılanlarına Güvenmeyin
Bulut hizmeti sağlayıcıları, bir saldırganın bulut sağlayıcının altyapısını veya yazılımını ihlal etmediği sürece güvenliğin paylaşılan bir sorumluluk modeli olduğunu vurgulamaktan hoşlanır. Progress Software’in MoveIT Bulut hizmeti ve MoveIT Transfer yazılımındaki geçen yılki güvenlik açıkları — sorumluluk neredeyse her zaman müşteriye düşüyor.
Ancak bulut sağlayıcıları çoğu zaman güvenlikten ziyade kullanılabilirliğe öncelik verir, bu nedenle şirketlerin güvenli olmak için sağlayıcılarının varsayılan ayarlarına güvenmemeleri gerekir. Mitiga’dan Maor, örneğin Snowflake’in MFA yönetimini kolaylaştırmak için güvenlik kontrolünü varsayılan olarak açmak da dahil olmak üzere yapabileceği çok şey olduğunu söylüyor.
“Bu saldırının bu ölçekte başarılı olmasını sağlayan şey, Snowflake hesaplarının varsayılan ayarının MFA gerektirmemesidir, yani güvenliği ihlal edilmiş bir kullanıcı adı ve şifre aldığınızda anında tam erişime sahip olabilirsiniz” diyor. “Normalde, yüksek hassasiyete sahip platformlar kullanıcıların MFA’yı etkinleştirmesini gerektirir. Snowflake yalnızca MFA gerektirmiyor, aynı zamanda yöneticilerin bunu uygulamasını da çok zorlaştırıyor.”
5. Üçüncü Taraflarınızı Kontrol Edin
IANS Araştırma’dan Williams, son olarak şirketlerin, Snowflake veya başka bir bulut hizmetini kullanmasalar bile, üçüncü taraf bir sağlayıcının hizmeti arka uç için kullanabileceğini ve verilerini riske maruz bırakabileceğini unutmaması gerektiğini söylüyor.
“Kullanmasanız bile verileriniz Snowflake’te olabilir” diyor. “Günümüzde tedarik zincirlerinin karmaşıklığı budur… Verilerinizi üçüncü taraf bir hizmet sağlayıcıya veriyorsunuz, o da bunları Snowflake’e koyuyor ve en iyi uygulamaları kullanıyor olabilir veya kullanmıyor olabilir.”
Williams, kuruluşların verilerine erişim sağlayan tüm hizmet sağlayıcılarına ulaşmaları ve bu bilgileri korumak için doğru adımları atmalarını sağlamaları gerektiğini söylüyor.