Araştırmacılar, iz bırakmadan veri hırsızlığına yol açabilecek kritik bir Google Workspace güvenlik sorunu belirlediler.
Bu, onu güvenlik araçları ve yetkililer için görünmez hale getirerek Google Workspace’te ciddi bir güvenlik sorunu haline getirir. Araştırmacılar hafifletmek için Google Workspace’e ulaştı, ancak şirket bunu “amaçlanan davranış” olarak nitelendirdi.
“Bu sorunu yaklaşık iki ay önce SaaS ve bulut tehdit avlarımızı yürütürken keşfettik. Mitiga bulut güvenliği araştırma ekibi lideri Or Aspir, The Cyber Express’e verdiği demeçte, Google Workspace günlükleri ve sürücü etkinliğiyle ilgili araştırmamız sırasında adli tıp görünürlüğündeki bu özel eksikliği belirledik” dedi.
Google Workspace ile çalışırken beklenen günlüklerin oluşturulmadığını ve sorunun Google Drive ile ilişkili kullanıcı lisansıyla bağlantılı olduğunu tespit ettiler.
Bu gözlem, araştırma ekibinin güvenlik araçları tarafından fark edilmeyecek bir veri hırsızlığı olasılığı olduğunu bilmesini sağladı.
Ancak Aspir, The Cyber Express’e verdiği demeçte, Google’ın Google Workspace güvenlik sorunu riskini ortadan kaldırdığını söyledi.
“Ne yazık ki, yanıtları sorunun “kasıtlı davranış” olarak değerlendirildiğini gösterdi, bu da adli tıp görünürlüğünün olmamasının acil eylem gerektiren bir kusur olarak görülmediğini ima ediyor” dedi.
Google Workspace güvenlik sorunu: Olası sorunlar
“Varsayılan olarak, her Google Drive kullanıcısı bir “Cloud Identity Free” lisansına sahip olarak başlar. Mitiga danışma belgesi, daha fazla özellik elde etmek için bir yöneticinin ücretli bir lisans ataması gerektiğini, araştırmamızda bu lisansın kullanıcılarına “Google Workspace Enterprise Plus” olduğunu söyledi.
Bir “Google Workspace Enterprise Plus” lisansı atanmadığında, kullanıcıların özel sürücüsünde işlemlerin günlük kayıtları olmaz.
“Tüm kullanıcılar Çalışma Alanına erişebilir ve kendi özel şirket sürücülerindeki dosyalarla işlemleri tamamlayabilir. Bunu herhangi bir günlük oluşturmadan basitçe yapıyorlar, bu da kuruluşları olası veri manipülasyonu ve hırsızlık saldırılarına karşı kör ediyor” diye ekledi.
Bunlar, bilgisayar korsanlarının verilere yetkisiz erişim sağlamayı başardıkları ve yine de tespit edilmedikleri örneklerden bazılarıdır. Bu, kuruluşları güvenlik olaylarını izlemek ve raporlamak için çok az bilgiye sahip veya hiç bilgisiz bırakırken aynı zamanda güvenliği de kaybeder.
Or, The Cyber Express’e “Bu, eylemlerinin tespit edilemeyebileceği ve kuruluşların veri ihlallerini veya yetkisiz erişim olaylarını tespit etme ve bunlara yanıt verme konusunda önemli bir zorluk teşkil edebileceği anlamına geliyor” dedi.
Google, Google Drive da dahil olmak üzere Google Workspace kullanan altı milyondan fazla işletmeye ev sahipliği yapmaktadır. Ancak bu aynı zamanda onu veri hırsızlığı ve güvenlik tehditlerinin hedefi haline getirir.
Or, Google’ın erişimin ve sistemlerin güvenliğini sağlamaya yardımcı olmak için neler yapabileceği veya hala yapabileceği sorulduğunda, “Google ekibini, ücretli lisansı olmayan kullanıcılar için adli tıp görünürlüğünün olmamasıyla ilişkili potansiyel riski tanımaya şiddetle teşvik ediyoruz” dedi.
Google Workspace’e güvenen kuruluşların olaylara müdahale yeteneklerine yardımcı olabileceğinden, ücretli lisansı olmayanlar da dahil olmak üzere tüm kullanıcılara Google Drive günlükleri sunmak çok önemlidir.
Bulut güvenliği yanıt şirketi, şu ana kadar Google Workspace güvenlik sorununun kötüye kullanıldığına dair herhangi bir örnek tespit etmedi.
Google Workspace güvenlik sorunu nasıl aşılır?
Mitiga’ya göre müşteriler, Google Workspace güvenlik sorununu aşmak için bu adımları uygulamalıdır.
- SOC ekip üyelerinin, kullanıcı lisansı iptali ve atama olaylarını aktif olarak izlemesi gerekir. Bu olaylar, verilerin tehlikeye atıldığına dair göstergeler sağlamaya yardımcı olabilir.
- Google Workspace alanına ücretsiz bir lisansla eriştiği tespit edilen kullanıcıları kaldırmanız veya bunlardan kaçınmanız önerilir. Görünürlükleri ve verilerin hırsızlığa karşı korunması için onlara ücretli bir lisans atanabilir.
- Araştırmacı, “Bütünsel bir İhlale Hazırlık Yaklaşımını benimsemek, Adli Veri Gölü’nü sürdürmek ve bu tür kaçınılmaz durumlarda şirketlere yardımcı olmak için SaaS ve bulut odaklı bir IR iş ortağıyla bir ekibe sahip olmak çok önemliydi” diye ekledi.
- Bu tür Google Workspace güvenlik sorunları, işe alınan IR iş ortağı tarafından entegre edilecek amaca yönelik teknoloji ve adli bulut yetenekleri arar.
Ücretli lisans ortamı, tüm kullanıcı eylemlerinin günlüğe kaydedilmesini ve şüpheli davranışlara karşı izlenmesini sağlayacağı için daha iyi güvenlik sağlayabilir.
Güvenlik sorunlarını önlemek için kişinin SaaS ve bulut ortamında ve Google Workspace’te tehdit avı da dahil olmak üzere proaktif çabalar da gereklidir.
Varsayılan Cloud Identity Free lisansı, tüm günlük kayıtlarının saklanacağını garanti etmez.
Ayrıca, Google Drive veri hırsızlığına yol açabilecek güvenlik sorunlarının üstesinden gelmek için adli verilerin toplanması da önemlidir. Mitiga, Google Workspace güvenlik sorununu keşfini bugün kendi platformunda yayınlamaya hazırlanıyor.