Google Drive, en çok kullanılan bulut tabanlı depolama platformlarından biridir ve muazzam popülaritesi ve yetenekleri nedeniyle tehdit aktörleri tarafından aktif olarak hedef alınır.
Veri hırsızlığı, kötü niyetli kişiler tarafından bir platforma girdikten sonra kullanılan yaygın bir yöntemdir. Bilgi çalmak için ortak bir saldırı vektörü görevi görür.
Mitiga’nın araştırma ekibi yakın zamanda Google Workspace’teki veri hırsızlığı teknikleriyle ilgili kapsamlı bir araştırma yürüterek bu saldırı yönteminin ve platformunun önemini vurguladı.
Bu araştırma, bulut ve Hizmet olarak Yazılım (SaaS) saldırıları ve adli tıp uygulamalarını keşfetmeye ve anlamaya yönelik devam eden çabalarıyla uyumludur.
Google Drive’a Saldırı
Kötü niyetli aktörler sıklıkla Google Drive’daki güvenlik açıklarından yararlanma hassas dosyalara ve kullanıcı verilerine yetkisiz erişim elde etmek için.
Derinlemesine bir analiz yürüten uzmanlar, Google Workspace’te kritik bir güvenlik açığını ortaya çıkardı ve adli tıp önlemlerinde rahatsız edici bir eksiklik olduğunu ortaya çıkardı.
Bu güvenlik açığı, tehdit aktörlerinin Google Drive’dan verileri herhangi bir sorun olmadan gizlice sızdırmasına olanak tanır. tespit edilebilir herhangi bir iz bırakarak.
Google Workspace, bir şirketin Google Drive kaynaklarında gerçekleştirilen çeşitli işlemleri izlemek ve takip etmek için “Drive günlük etkinliklerini” kullanarak gelişmiş şeffaflık sunar.
Google Workspace Güvenliği
Google Workspace, kuruluş dışındaki kullanıcılarla bir nesnenin paylaşılması gibi harici alan adlarını içeren etkinlikleri kaydederek kapsamlı izleme ve izleme sağlar.
Bu olaylar, harici kullanıcılarla olan etkileşimlerin eksiksiz bir kaydını sağlamak için yakalanır ve günlüğe kaydedilir.
Bu uygulamanın uygulanması, sorunun temel sınırlamasını oluşturan ücretli bir lisansa sahip kullanıcılar tarafından gerçekleştirilen işlemlerle sınırlıdır, ancak bu kısıtlama, düzeltilmesi gereken önemli bir sorundur.
Tüm Google Drive kullanıcılarına başlangıçta varsayılan seçenek olarak bir “Cloud Identity Free” lisansı sağlanır. Bu lisans, kullanıcıya Google Drive ekosisteminde temel erişim ve işlevsellik sağlar.
Burada yöneticilerin, ek özelliklerin kilidini açmak için kullanıcılara ücretli bir lisans, özellikle de “Google Workspace Enterprise Plus” lisansı ataması gerekir.
Sömürü
Net bir görüşün olmaması, potansiyel komplikasyonlara yol açan iki ana senaryoda önemli bir zorluk teşkil eder ve aşağıda bu senaryolardan bahsetmiştik:-
Bir tehdit aktörü, bir kullanıcının hesabını tehlikeye atar
Bir tehdit aktörü, bir yönetici kullanıcının hesabının güvenliğini aşmayı başarırsa, çeşitli kritik eylemlerin kontrolünü ele geçirebilir. Bu senaryoda, sistem yalnızca lisans iptali ve atama işlemleri için günlük kayıtları oluşturur.
Diğer faaliyetler veya olaylar kaydedilemez veya günlüğe kaydedilemez. Bir tehdit aktörü, ücretli bir lisansa sahip olmayan ancak kuruluşun özel diskine erişimi olan bir kullanıcı hesabına sızarsa, bu durum önemli güvenlik endişeleri doğurur.
Çalışan işten çıkarma
Bu durum, bir çalışan şirketten ayrıldığında ve Google kullanıcı hesabı uygun şekilde devre dışı bırakılmadan veya kaldırılmadan önce lisansı iptal edildiğinde ortaya çıkar.
Çalışan, önceden bildirimde bulunmaksızın dahili dosyaları doğrudan kendi özel sürücülerinden indirme potansiyeline sahiptir.
Bir kuruluşun kullanıcısının ücretli bir lisansa sahip olmadığı ancak yine de kendi özel sürücülerine erişimi olduğu durumlarda, herhangi bir günlük kaydı oluşturmadan sürücünün dosyalarını indirebilir.
Bu, kullanıcı kuruluştan ayrıldığında dosya indirme yetenekleri izlenemez kaldığından potansiyel bir risk oluşturur.
öneriler
Mitiga’nın güvenlik analistleri konuyla ilgili olarak Google’ın güvenlik ekibine ulaştı, ancak bu danışma belgesine dahil edilecek resmi bir yanıt almadılar.
Aşağıda, uzmanların sunduğu tüm önerilerden bahsetmiştik:-
- “Yönetici Günlüğü Olayları” altında, lisans atama ve iptal etme ile ilgili tüm olayları izlemelisiniz.
- Google Workspace’te, özellikle bu etkinliği tespit edip araştırmaya odaklanarak düzenli olarak tehdit avı gerçekleştirmek çok önemlidir.
- Bu proaktif aramaları yürüterek potansiyel tehditleri ve güvenlik ihlallerini etkili bir şekilde tanımlayabilir ve azaltabilirsiniz.
- Dosyaların ortak bir sürücüden özel bir sürücüye kopyalandığı ve ardından indirildiği durumları etkili bir şekilde algılamak için, aramalarınız sırasında “source_copy” olaylarını izlemek çok önemlidir.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin