Bulut Güvenliği, Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
Bulut Müşterileri Sağlayıcılardan Daha Fazla Güvenlik Talep Etmeli
Mathew J. Schwartz (euroinfosec) •
11 Temmuz 2024
Snowflake müşterilerine ait terabaytlarca verinin kimlik doldurma saldırılarıyla çalınması, çok faktörlü kimlik doğrulamanın hesapları korumak için isteğe bağlı olmaması gerektiğini gösteriyor.
Ayrıca bakınız: Proaktif Kimlik Yönetimi ile Küresel Güvenlik Düzenlemelerinde Yol Alma
Montana veri ambarı şirketi, tüm hesapların MFA kullanılarak güvence altına alınmasının zorunlu kılınmaması ve yöneticilere bu tür saldırıları izlemek için ihtiyaç duydukları araçların sağlanmamasının tehlikelerine ilişkin bir örnek çalışma olarak karşımıza çıkıyor.
Nisan ayından itibaren, finansal olarak motive olmuş gibi görünen saldırganlar, Snowflake’un müşterilerine karşı bir kampanya yürüttüler. Bilgi hırsızları ve veri sızıntıları gibi diğer kaynaklardan elde edilen kullanıcı adı ve parola çiftlerini aldılar ve hangilerinin işe yaradığını görmek için Snowflake’un giriş ekranında test ettiler.
Snowflake, Cisco Duo uygulaması aracılığıyla kullanıcılara MFA sunuyordu ancak birkaç gün öncesine kadar yöneticilerin bunu zorunlu hale getirmesine izin vermiyordu. Bu durum, Snowflake’un bir dizi ücretsiz, ihlal sonrası güvenlik iyileştirmesi ve şüpheli davranışları tespit etmek için daha iyi araçlar duyurmasıyla Salı günü değişti. Şirket, MFA’nın tüm yeni hesaplar için varsayılan olarak etkin olacağını ve bunu etkinleştirmeyi başaramayan mevcut kullanıcıları düzenli olarak uyaracağına söz verdi (bkz: Müşterilerin Güvenliği İhlal Edildikten Sonra Snowflake Güvenliği İyileştiriyor).
Cyjax’ın CISO’su Ian Thornton-Trump, “Onlara bravo. Bu yöne gitmeleri için büyük çaplı bir saldırının gerekmesi üzücü,” dedi.
Otomotiv parçaları tedarikçisi Advance Auto Parts bu hafta 2,3 milyon kişiye, bazı durumlarda Sosyal Güvenlik numaraları da dahil olmak üzere kişisel bilgilerinin Snowflake hesabının ihlali yoluyla ifşa edildiğini bildirdiğini bildirdi. Verilerini kaybeden diğer kamuya açık Snowflake müşterileri arasında Santander Bank, Los Angeles Birleşik Okul Bölgesi, lüks perakendeci Neiman Marcus ve Live Nation Entertainment’ın Ticketmaster’ı yer alıyor (bkz: Snowflake Veri İhlali Mağdurları Fidye Talepleri Alıyor).
MFA kullanmak kusursuz değildir, ancak birçok saldırı türünü durdurmaya yardımcı olur. MFA kullanmamak, Avustralyalı özel sağlık sigortacısı Medibank, UnitedHealth Group’un Change Healthcare birimi ve genetik test hizmeti 23andMe’ye yönelik saldırılar da dahil olmak üzere çok sayıda büyük ihlalde bir etken olmuştur.
Thornton-Trump, “MFA’yı isteğe bağlı bir özellik olarak sunmaktan çok uzak bir yol kat ettik,” dedi. “Yapın ya da yapmayın – denemek diye bir şey yok – ve artık MFA yapmalıyız.”
Bu tür yetenekleri sunmayan tedarikçilerin MFA’nın gücünü hissetmeleri ne kadar zaman alacak?
Dublin merkezli siber güvenlik danışmanlık şirketi BH Consulting’in başkanı Brian Honan, “Son ihlallerden, MFA’nın müşterilerinize sunulmasının her bulut hizmeti sağlayıcısı için olmazsa olmaz olduğu açıkça anlaşılıyor,” dedi. “Ne yazık ki, tüm bulut hizmeti sağlayıcılarının MFA çözümleri yok veya aslında birçok durumda MFA, ek ücretler gerektiren isteğe bağlı bir ekstra.”
Thornton-Trump, bir tedarikçinin sözleşmesinde ne belirtilirse belirtilsin, bir sağlayıcının bir müşterinin parasını aldığı anda müşterinin verilerini korumasının ve bunu yapmasına yardımcı olmasının zorunlu hale geldiğini söyledi.
“Bu kimlik bilgisi ihlali türündeki saldırıların çoğuna bakarsanız, süper sofistike APT işlerinden bile bahsetmiyoruz,” dedi. “Bütün bunlar, çok sayıda başarısız girişimden sonra hesap kilitlemesi olmayan, belirli bir IP adresi için hiçbir engelleme türü olmayan, izlenmeyen veya kötü yapılandırılmış portallarda kimlik bilgilerini zorla ele geçirebilmeye dayanıyor. CDN’ler ve web uygulaması güvenlik duvarları kullanarak web sitelerini kötü şeylerden korumada, temel müşteri hizmetlerine bakan portallarımızdan daha iyiyiz.”
Bu tür ihlaller yaşandığında, yalnızca müşterilerin değil, aynı zamanda hizmet sağlayıcıların da kusurlu olduğu söylenebilir.
“Sorumluluğun oranlarını tanımlamak zor, ancak açık olan şey güvenliğin ortak bir sorumluluk olduğudur,” ücretsiz Have I Been Pwned? ihlal bildirim hizmetinin kurucusu olan veri ihlali uzmanı Troy Hunt yakın zamanda bana söyledi. “Kimlik bilgileri müşteri adına eksiklikler yoluyla elde edildiyse, bu onların sorumluluğundadır, ancak aynı şekilde Snowflake gibi platformların bu saldırıların yaygın olduğu varsayımıyla çalışması ve bunlara karşı dayanıklılık sağlaması gerekir.”
Müşteriler: Daha Fazlasını Talep Edin
Daha yaygın güvenlik eksikliklerine dair örnekler bol miktarda mevcuttur. Geçtiğimiz yıl ortaya çıkan, ABD hükümeti de dahil olmak üzere Microsoft 365 kullanıcılarına karşı ulus-devlet korsanlığı kampanyası, birçok lisanslama seçeneğinin temel güvenlik özelliklerinden yoksun olduğunu ortaya koydu. İrlanda’nın ilk bilgisayar acil durum müdahale ekibini kuran Honan, “Çok temel bir düzeyde, bu planların çoğu günlükleme yeteneklerine sahip değil. Yani, verileriniz bulutta, neler olup bittiğini göremiyorsunuz ve bu büyük bir sorun. Bu büyük bir sorun,” dedi.
Müşterilerin temel bir hizmet seviyesi olarak sağlam kimlik ve kimlik doğrulama talep etmesi gerektiğini söyledi. “Müşterilerin harcama güçlerini kullanarak bulut hizmeti sağlayıcılarından daha iyi güvenlik çözümleri talep etmelerinin ve bulut hizmeti sağlayıcılarının güvenlik alanında gerekli adımları atmasının zamanı geldi.”