Google Workspace’in ücretsiz abonelik sürümünde etkinlik günlüğü bulunmaması, saldırganların arkalarında yasa dışı etkinliklerine dair hiçbir iz bırakmadan Google Drive’dan veri indirmelerine olanak sağlayabilir.
Mitiga’dan bir ekipteki araştırmacılar, popüler barındırılan üretkenlik uygulamasında, Workspace için ücretli kurumsal lisansına sahip olmayan kullanıcılar için günlük oluşturma eksikliğinden kaynaklanan, önemli bir “adli güvenlik eksikliği” dedikleri şeyi keşfettiler. 30 Mayıs’ta yayınlanan bir Mitiga blog gönderisinde ekip, durumun işletmeleri içeriden gelen tehditlere ve diğer potansiyel veri sızıntılarına açık bıraktığını belirtti.
Google Workspace Enterprise Plus gibi ücretli bir lisansa sahip kullanıcılar, dosyaların kopyalanması, silinmesi, indirilmesi ve görüntülenmesi gibi eylemlerin kaydedildiği “sürücü günlüğü etkinlikleri” aracılığıyla Google Drive etkinliğinin görünürlüğünün avantajından yararlansa da — Araştırmacılar, varsayılan Cloud Identity Free lisansına sahip olanların olmadığını söyledi. Bu, kuruluşları potansiyel veri manipülasyonu ve hırsızlık saldırılarına karşı körleştirir ve kuruluşların ne kadar hızlı ve etkili bir şekilde yanıt verebileceğini sınırlar. Bunun nedeni, hangi verilerin çalındığını veya herhangi bir verinin çalınıp çalınmadığını doğru bir şekilde değerlendirme şanslarının çok az olması veya hiç olmamasıdır.
“Özellikle Google’da, ücretsiz lisans, alanınıza yeni bir kullanıcı eklendiğinde varsayılandır, yani onların özel Drive’ından Google Drive etkinliğiyle ilgili herhangi bir günlük almayacaksınız.” Veya Mitiga’da bulut güvenliği araştırma ekibi lideri Aspir, Dark Reading’i anlatır. “Asıl sorun bu, çünkü bu günlükler olmadan, kullanıcıların potansiyel olarak kendi özel Drive’larına veri indirmesini göremiyorsunuz.”
Önyükleme için, Google Workspace’i kurumsal çalışanları genelinde kullanan kuruluşlar kurumsal lisanslar verebilir ve böylece günlük kaydının sağladığı görünürlüğe sahip olabilir. — Aspir’e göre, kullanıcılar paylaşılan bir kurumsal sürücüden kişisel Google Drive’larına dosya indirirse, yine de veri hırsızlığı riski altında olabilirler.
“Kullanıcıların bazı paylaşılan şirket sürücülerine erişim izinleri varsa, dosyaları ortak Drive’dan kendi özel Drive’larına kopyalayabilirler… ve şirket, kullanıcının kopyalanan dosyaları kendi özel sürücülerinden indirdiğine dair herhangi bir günlük almayacaktır” diye açıklıyor.
Saldırganlar Google Drive Eksikliğinden Nasıl Yararlanabilir?
Araştırmacılar gönderilerinde ana hatlarıyla bu görünürlük eksikliğinin bir sorun teşkil ettiği iki temel senaryo var. İlki, bir kullanıcının hesabının bir tehdit aktörü tarafından, yönetici olarak veya yalnızca o hesaba erişim sağlayarak ele geçirilmiş olması, diye yazdılar.
Gönderide, “Bir yönetici kullanıcıya erişim sağlayan bir tehdit aktörü, kullanıcının lisansını iptal edebilir, tüm özel dosyalarını indirebilir ve lisansı yeniden atayabilir” dedi. Araştırmacılar, bu durumda, oluşturulacak tek günlük kayıtlarının, Yönetici Günlüğü Olayları altında bir lisansı iptal etme ve atama etkinliği olduğunu söyledi.
Araştırmacılar, bu arada, ücretli bir lisans olmadan bir kullanıcıya erişim sağlayan ancak yine de kuruluşun özel diskini kullanan bir tehdit aktörünün, diskin tüm dosyalarını hiçbir iz bırakmadan indirebileceğini söyledi.
Araştırmacılar, ikinci tehdit senaryosunun, büyük olasılıkla, kurumsal bir kullanıcının şirketten ayrıldığı ve bu nedenle çalışanı bir Google kullanıcısı olarak fiilen devre dışı bırakmadan/çıkarmadan önce lisansının kaldırılması sırasında, çalışanın işten çıkarılması sırasında ortaya çıkacağını söyledi.
Çalışan (veya ücretli bir lisans atanmamış herhangi bir kullanıcı), günlüğe kaydetme olmaması, içeriden bir tehdit oluşturması veya bu verilerin potansiyel olarak açığa çıkması nedeniyle herhangi bir bildirimde bulunmadan dahili dosyaları potansiyel olarak kendi özel sürücüsünden veya özel Google Workspace’ten indirebilir. dışarıdan bir saldırgana, diye eklediler. Araştırmacılar, hâlâ bir şirketin özel diskini kullanan bir kullanıcının, diskleri herhangi bir günlük kaydı olmaksızın özel bir Google Workspace’e indirebileceğini söyledi.
Gönderide, “Her iki durumda da, ücretli bir lisans olmadan, kullanıcılar yine de ortak sürücüye görüntüleyenler olarak erişebilirler” dedi. “Bir kullanıcı veya bir tehdit aktörü, paylaşılan sürücüdeki tüm dosyaları kendi özel sürücülerine kopyalayabilir ve indirebilir.”
İşletmeler Nasıl Yanıt Verebilir?
Mitiga konuyla ilgili olarak Google’a ulaştı, ancak araştırmacılar henüz bir yanıt almadıklarını belirterek, Google’ın güvenlik ekibinin genellikle adli tıp eksikliklerini bir güvenlik sorunu olarak görmediğini ekledi.
Aspir, bu, hizmet olarak yazılım (SaaS) ve bulut sağlayıcılarıyla çalışırken ortaya çıkan bir endişeyi vurguluyor, çünkü hizmetlerini kullanan kuruluşlar “sahip olabileceğiniz adli veriler konusunda yalnızca onlara bağlı” diyor Aspir. “SaaS ve bulut sağlayıcıları söz konusu olduğunda, güvenlikle ilgili ortak bir sorumluluktan bahsediyoruz çünkü verilenlere ek korumalar ekleyemezsiniz.”
Aspir, örneğin bir kuruluşun tamamen Google Workspace’in sağladığı hizmetlere bağlı olduğunu söylüyor. Ona göre bu bilgi, “işletmelerin kötü bir şey olup olmadığını ve tam olarak ne olduğunu anlaması için gereken tüm günlükler” olmalıdır.
Araştırmacılara göre, Google Workspace kullanan kuruluşların Mitiga tarafından belirtilen sorunun kötüye kullanılmamasını sağlamak için atabilecekleri adımlar var. Bu, Yönetici Günlüğü Olayları özelliğinde, lisans atamaları ve iptallerle ilgili olaylar gibi belirli eylemlere dikkat etmeyi içerir, dediler.
Gönderide, “Bu olaylar hızlı bir şekilde art arda gerçekleşiyorsa, bir tehdit aktörünün ortamınızdaki lisansları iptal edip yeniden atadığını gösterebilir” diye yazdılar. “Sonuç olarak, Google Workspace’te bu etkinliği aramayı da içeren düzenli tehdit avları gerçekleştirmenizi öneririz.
Araştırmacılar ayrıca, bir çalışanın veya bir tehdit aktörünün dosyaları ortak sürücüden özel bir sürücüye kopyalayıp oradan indirdiği bir vakayı yakalamak için kuruluşların tehdit avına “source_copy” olayları ekleyebileceğini söyledi.
Genel olarak, kuruluşların “ücretsiz lisansa sahip bir kullanıcı varsa, bu kullanıcının kuruluşun özel Google Drive’ından veri indirebileceğini veya kopyalayabileceğini ve etkinlik günlüğü olmayacağını anlaması gerekiyor” diyor Aspir. “Ücretli lisansı olmayan kuruluş içindeki kullanıcılara karşı çok dikkatli olun.”