MOVEit ortamlarına yönelik saldırılar serisi Mayıs ayında, beş ay geçmesine rağmen hala kurbanlara ulaşmaya devam eden saldırılar, dosya aktarım hizmetlerine yönelik zarar verici saldırıların yoğunlaştığı bir dönemi sınırladı.
Progress Software’in MOVEit’i, Fortra’nın GoAnywhere’i Ve IBM Aspera Faspex Bu yılın Mart ayından itibaren üç aylık bir süre boyunca tedarik zinciri saldırılarına maruz kaldı. MOVEit ve GoAnywhere’deki sıfır gün güvenlik açığından yararlanan fidye yazılımı grubu Clop, aynı zamanda Accellion’a karşı sıfır gün istismarları 2020 ve 2021’de dosya aktarım cihazları.
Bu yönetilen dosya aktarım hizmetlerinin, aralarında hareket eden veriler nedeniyle fırsatçı bir saldırı vektörü olduğu belirtildi. Jess Burn, Forrester’ın baş analisti. Burn’a göre bunlar, birinin kimlik bilgilerine yönelik kimlik avının ötesine geçen bir “hazine sandığı” içeriyor; bu veriler, tehdit aktörlerinin gasp veya potansiyel kurumsal casusluk için kullanabileceği yüksek değerli veriler.
“Bütün suçu üstlenebilir misin bilmiyorum [file-transfer services]ancak tasarım sürecinde güvenli olması gerekenleri oldukça savunmasız bırakan bir şeyler var,” dedi Burn.
Bu saldırıların doğrudan ve dolaylı kurbanları arasında büyük finans kurumları, eğitim hizmeti sağlayıcıları, devlet kurumları, sağlık hizmeti sağlayıcıları, sigorta şirketleri ve hukuk firmaları yer alıyor.
Dosya aktarım hizmetleri, iş operasyonlarının ayrılmaz bir parçası olarak hizmet eder ve kişisel olarak tanımlanabilir bilgiler, finansal, özel ve fikri veriler de dahil olmak üzere kuruluşların hassas verilerine güvenilir erişime sahiptir. Amy Chang, R Street Institute’un siber güvenlik ve yeni ortaya çıkan tehditler alanında kıdemli üyesie-posta yoluyla söyledi.
Bu hizmetler yaygınlaştıkça, tehdit aktörlerinin potansiyel istismarlar için hedefleyebileceği güvenlik açıklarının sayısı da artıyor.
Intel 471 belgelenmiştir Yönetilen dosya aktarım ürünlerindeki 17 güvenlik açığı 2018’den bu yana tehdit aktörlerinin büyük ilgisini çekiyor. 2014’ten bu yana yönetilen dosya aktarım yazılımını etkileyen 136 güvenlik açığından 51’i, Intel 471’e göre Ulusal Güvenlik Açığı Veritabanı tarafından yüksek riskli olarak sınıflandırılıyor.
Bu araçlar her yerde mevcuttur ve kurumsal verilerin, hassas bilgilerin bir konumdan diğerine taşınması sırasında üçüncü bir tarafça işlendiği süre nedeniyle maruz kalmanın sonuçları önemlidir.d Mauricio Sanchez, Dell’Oro Group’ta kurumsal ağ ve güvenlikten sorumlu kıdemli direktör.
Sanchez, “Bu firmalara ne yazık ki yanlış bir güvenlik duygusuna yol açan çok fazla örtülü güven var” dedi.
Uyumluluk birden çok hedefe yol açar
Yönetilen dosya aktarım hizmetleri, izleme, otomasyon ve gelişmiş güvenlik ile dosya aktarım protokolünün yeteneklerini geliştirir; bu özellikler, devlet ve sıkı düzenlemeye tabi endüstri kullanımı için uyumluluk gereksinimlerini karşılamak için kritik öneme sahiptir.
Hükümet yüklenicisi Maximus şunları bildirdi: MOVEit saldırılarıyla bağlantılı en büyük ihlal şimdiye kadar. Sosyal Güvenlik numaraları, korunan sağlık bilgileri ve 11 milyona kadar kişiye ait diğer hassas veriler dahil olmak üzere kişisel bilgiler içeren dosyalar ele geçirildi.
Burn, “Uyum bunu sağladı ve uyumluluk çoğu kuruluşta genellikle bir onay kutusudur” dedi. “Bu noktada yüksek düzenleme, süper yüksek etkiye eşittir ve bu fidye yazılımı aktörlerinin bildiği şey budur. Bu sistemlerin hassas verilerin gönderilmesine uyum amacıyla kullanıldığını biliyorlar.”
MOVEit, mevzuata uygunluk gereksinimlerini karşılayan çok sayıda yönetilen dosya aktarım hizmetinden biridir. Bu denetçi ve hükümet destekli akreditasyonlar, bu araçların yüksek hacimli hassas dosya paylaşımında yaygın olarak kullanılmasını sağlar.
Clop’un MOVEit ortamlarına yönelik saldırıları, özel sağlık bilgilerini, okul kayıtlarını, ABD’deki en büyük emeklilik sistemini ve hükümet müteahhitleri ile dört büyük muhasebe firmasından üçünün elinde bulunan verileri açığa çıkardı.
Sanchez, “Devlet akreditasyonunun büyük bir ağırlığı var” dedi. “Toplum olarak, çeşitli teknolojiler ve endüstrilerde belirli standartları uygulayan devlet kurumlarımıza ve kurumlara güveniyoruz.”
“Herhangi bir akreditasyon, yalnızca daha hızlı ve daha karmaşık bir şekilde hareket eden bir dünyaya yetişmek anlamına gelir. Eğer bir sorun varsa o da hiçbir akreditasyonun mükemmel olmayacağıdır” dedi Sanchez.
Hassas veri yayılımı
Yönetilen dosya aktarım hizmetlerinin yaygın kullanımı, aynı zamanda çok daha büyük bir alt mağdur kuruluş havuzunun ve onların ilgili müşterilerinin ortaya çıkmasına da neden oldu. Bir kuruluşun tedarik zincirindeki herhangi bir satıcının, sonuçta bir yukarı akış saldırısıyla tehlikeye atılan hassas verileri aktarması durumunda açığa çıkma meydana gelebilir.
“Üçüncü şahıslar bu şeyleri dördüncü ve beşinci şahıslara aktarıyor. Bu veriler yönetebileceğiniz veya izleyebileceğiniz bir şeyin yanında bile kalmıyor. Bu sizin kontrolünüzden çıkıyor” dedi Burn.
Burn, “Bu noktada bizden uzaklaştı” dedi.
Her ne kadar birçok kuruluş için dosya aktarım hizmetlerinin gerçekçi olmayan alternatiflerinden biri, bunların kullanımını sınırlamak veya tamamen durdurmaktır. Hassas dosya paylaşımının güvenliğini artırmaya yönelik diğer taktikler prosedürle ilgilidir.
Uzmanlara göre kuruluşlar, potansiyel istismar vektörlerine karşı tedarik zincirlerini sürekli olarak izlemeli ve verileri şifrelenmiş bir durumda tutmalı.
Sanchez, “Temel olarak,” dedi, “herhangi bir verinin kamuya açıklanacağını varsayın, bu nedenle en azından ekstra bir koruma katmanının olduğundan emin olun.”