Tehdit aktörlerinin, faaliyetleri hakkında hiçbir adli iz bırakmadan Google Cloud Platform’dan (GCP) kolayca veri çalabileceğine inanabiliyor musunuz? Bu doğru!
Mitiga araştırmacıları, kısa bir süre önce bilgisayar korsanlarının GCP depolama gruplarından veri çaldığını keşfetti çünkü farklı günlük ayrıntıları varsayılan olarak etkinleştirilmemiştir.
Örneğin, bir siber suçlu verilere kolayca erişebilir ve depolama platformu, basit dosya okuma, dosya indirme, bir dosyayı harici bir kaynağa kopyalama gibi her türlü erişim için aynı açıklamayı kullandığından, etkinlik kayıt dışı kalır. bir sunucu veya bir dosyanın meta verilerini okuma/düzenleme.
Mitiga’dan araştırmacılar Veronica Marinov, olayı etkinliği ayırt etmeye yönelik teknik bir yazılım hatası olarak tanımladı, çünkü birçok okuma olayı veri ihlallerine yol açan verilerin harici klasörlere indirilmesini veya kopyalanmasını da içerebilir.
Ancak GCP Güvenlik ekibi bu olayı not aldı ve bir güvenlik açığı olarak etiketledi. Verimli idari beceriler kullanarak bununla akıllıca başa çıkabileceklerini fark ettiler.
Bu yılın 1 Mart’ında, web arama devi, denetiminde herhangi bir sızıntı tespit edilmediğini ve adli logları iyileştirerek GCP’deki yetersiz denetim günlüğünü azaltmanın ve tespit etmenin yolları olduğunu öğrendi.
NOT- AWS, varsayılan olarak CloudWatch günlükleri aracılığıyla günlük erişimi farklılaştırması sunar ve atanmış rollerine göre kullanıcılara ve gruplara izin ekleme ayrıcalığı sunar.
reklam