Haziran ayı başında, Ticketmaster ihlali, Snowflake hesaplarının çok faktörlü kimlik doğrulama (MFA) gerektirmediği ve bunun sonucunda bazılarının ele geçirildiği gerçeğine geniş çapta dikkat çekti. Keşke bu kadar basit olsaydı. MFA mükemmel bir telafi edici kontrol olsa da veri ihlallerini durdurmak için tek başına yeterli değildir. Rakiplerin hiçbir yönetim kuralı yoktur ve MFA da dahil olmak üzere telafi edici kontrolleri atlatmak için başka birçok teknikten yararlanabilirler. Örneğin, MFA, tipik bir kuruluşun kimlik bilgilerinin %20’sini veya daha fazlasını oluşturabilen, insan olmayan kimlikler (yani hizmet hesapları) için çalışmaz. Bu sadece MFA’nın etkinleştirilip etkinleştirilmemesi meselesi değildir; MFA yeterli değildir. Asıl sormamız gereken soru şu: Düşmanlar neden Snowflake gibi sistemleri hedef alıyor ve veri açısından zengin bu ortamları nasıl daha etkili bir şekilde güçlendirebiliriz?
Neden Kar Tanesi? Hedefi Anlamak
Snowflake, bir kuruluşun veri depolama, analiz ve işleme için yapılandırılmış ve yarı yapılandırılmış veri kümelerini barındıran, veri açısından zengin bir ortamdır. Birçok kuruluş Snowflake’i kullanıyor çünkü diğer veritabanı tekliflerine göre daha hızlı, daha esnek ve kullanımı daha kolay. Kendi kendini yöneten bir hizmet olarak bulut için tasarlanmıştır ve dijital dönüşüm girişimleri için idealdir. Bu kullanım kolaylığı, çok sayıda kaynaktan gelen büyük miktarda hassas verinin toplanmasıyla sonuçlandı. Kaçınılmaz olarak bu veri depoları siber saldırganların ilgisini çeker çünkü bu veriler kimlik hırsızlığı, fidye yazılımı, sosyal mühendislik ve diğer kötü amaçlı faaliyetler için idealdir.
Snowflake veritabanlarında tutulan verilerin ötesinde, aynı zamanda verilerin bulut veri platformunun içine ve dışına taşınmasını kolaylaştıran kapsamlı veri entegrasyonu yetenekleri de sunar. Snowflake ayrıca düzinelerce veri entegrasyon aracı ve teknolojisi de sunmaktadır (Amazon Data Firehose, Google Cloud, Informatica, Apache Kafka ve SAP bunlardan sadece birkaçıdır). Teknoloji ortaklarından oluşan ekosistemi, popüler uygulamalar, veritabanları ve bulut platformlarıyla entegrasyonu kolaylaştıran bağlayıcılar sunar. Bu ekosistemin kullanımı kolaydır ancak aynı zamanda kötü niyetli aktörler için potansiyel saldırı yüzeyini de arttırır. Snowflake aynı zamanda daha büyük bir BT yığınının da parçasıdır. Bu nedenle her zaman güvenlik ekibinin dikkatini çekmeyebilir. Ayrıca saldırganlar, Snowflake’in tuttuğu veri yığınlarına erişim sağlamak için BT yığınının diğer bölümlerindeki güvenlik açıklarını hedefleyebilir.
Modern İşletmeler Veri Çöpü Alanıdır
Veriler büyümeye devam ettikçe kuruluşlar bunu kullanmanın yollarını bulmaya çalışıyor ve Snowflake de bu kullanımın ayrılmaz bir parçası. Veri hatları, kuruluşların bu sürekli veri yüklerini dönüştürmek ve optimize etmek için manuel olarak atması gereken adımların çoğunu otomatikleştirir. İşlem hatları, gelecekte kullanılmak üzere verilerin taşınmasını, analiz edilmesini, kullanılmasını ve saklanmasını kolaylaştırır; bunların hepsi işletmenin büyümesi için hayati öneme sahiptir. Ancak veri hatları aslında iş dünyasının onayladığı Truva atlarına dönüşüyor. İş kolları, düşmanlar için nasıl yeni saldırı yolları oluşturduklarını anlamadan, müşteri verilerini analiz için depolara taşımak amacıyla bu hatları kullanıyor.
Veri ambarları da işbirliğine dayalıdır; İşletmeler, çalışanlarına bu verileri analiz etmeleri ve kullanmaları için geniş erişim hakkı vererek, taşınması, kopyalanması ve paylaşılması çok kolay olduğundan veri saldırısı yüzeyini daha da artırır. Ne yazık ki çoğu çalışan genellikle bir veritabanı yöneticisiyle aynı güvenlik farkındalığı eğitimine veya sorumluluğa sahip değildir. Yine de hesaplarının büyük miktarda hassas verilere erişimi var. Kuruluşların anlaması gereken şey, temel olarak, kuruluşunuz verileri büyüdükçe, taşıdıkça ve değiştikçe güvence altına alacak korumaları uygulamaya koymadıkça, verilerin kendisinin hiçbir kuralının olmadığıdır.
Veri Riski Yüzeyini Azaltın
Saldırganlar, Snowflake hesaplarını kullanarak hassas verilere erişebileceklerini zaten göstermiş durumdalar; Buna yanıt olarak kuruluşların artık veri riski yüzeyini azaltmak için harekete geçmesi gerekiyor. Bunu birkaç temel yolla yapabilirler: veri erişimini en aza indirerek, eski verileri ortadan kaldırarak ve sahip oldukları verileri güçlendirerek.
- Veri erişimini en aza indirme Kuruluşlar, birden fazla iş kolunun verilere kolay erişimini sağlamak için veri ambarlarını açtığında kritik öneme sahiptir. Güvenlik ekiplerinin, kullanıcılara yalnızca işlerini gerçekleştirmek için gereken minimum düzeyde erişim sağladıklarından ve en az ayrıcalık ilkesini benimsediklerinden emin olmak için kimlik erişimini değerlendirmeleri gerekir. Bir kullanıcının hesabının güvenliği ihlal edilirse saldırgan, verilerin yalnızca küçük bir alt kümesine erişebilir.
- Rol tabanlı erişim kontrollerini kullanma (RBAC), erişilen verilerin bağlamıyla birlikte verileri okuma, yazma ve değiştirme izinlerini yönetmek için hem kişiler hem de insan olmayan kimlikler için kullanıcı rollerini tanımlamaktır.
- Eski verileri belirleme ve ortadan kaldırma. Güvenlik ekipleri kurumsal ortamdaki tüm veriler hakkında bilgi sahibi olduklarından emin olmalıdır. Çoğunlukla unutulmuş veya kaybolmuş eski veriler veya “hayalet” veriler mevcut olup risk yüzeyini artırır ancak kuruluşa hiçbir fayda sağlamaz. Kuruluşlar, bu bilgileri bulup kaldırarak, iş sonuçlarını olumsuz etkilemeden genel risk yüzeyini azaltabilir.
- Verileri sağlamlaştırma Bu önemlidir, ancak yalnızca verileri şifrelemek, tokenize etmek, maskelemek ve anonimleştirmek için tüm hassas verilerin tanımlanmasıyla mümkündür. Bu, saldırganların erişim kazanmayı başarmaları halinde verileri kullanmasını çok daha zorlaştırır.
- Verileri sınıflandırma ve haritalama Kapsamlı ve sürekli olarak güvenlik ekiplerinin bir ihlal meydana gelmesi durumunda verilerin konumunu, türünü ve iş bağlamını hızlı bir şekilde tanımlamasına olanak tanır, böylece hızlı bir şekilde yanıt verilmesini ve ihlalin etkisinin azaltılmasını kolaylaştırır.
- Fikri mülkiyetin belirlenmesi ve korunması. Çoğu kuruluş, temel fikri mülkiyet haklarının parçası olan veri kategorilerinin olduğunun farkında değildir. Bu, alıcı teknolojisi, yatırım stratejileri veya başka bir şeyle ilgili bilgi olabilir. Her ne olursa olsun, bu IP işletme için önemlidir ve kötü niyetli bir saldırgandan veya bir yapay zeka modeli veya sohbet robotu tarafından yanlışlıkla kullanılmasından kaynaklanıp kaynaklanmadığına bakılmaksızın tanımlanmalı ve korunmalıdır.
Güven Sınırlarıyla Genel Riski En Aza İndirin
Modern kuruluşların, işletmenin verileri kullanma biçimini gereksiz yere kısıtlamadan, çeşitli ortamlardaki çok büyük ve giderek artan miktardaki verileri yönetmesi ve güvence altına alması gerekir. Verileri etkili bir şekilde korumak için kuruluşların güven sınırları gibi otomatik ve uyarlanabilir kontrollere ihtiyacı vardır. Güven sınırı, riski yönetmek amacıyla verilerin hassasiyeti veya sınıflandırma düzeyine dayalı olarak veri veya sistem erişimini ve kontrolünü gruplandırmak ve yönetmek için mantıksal çerçeveler oluşturma kavramıdır. Güvenlik ekipleri, hassas verilere yalnızca meşru ihtiyacı olanların erişmesini sağlayacak şekilde erişimi kontrol edebilse de, günümüzün veri hacmi, bir güven sınırının sağlayabileceği veri bağlamı ve ihtiyaçlarına dayalı otomasyon ve akıllı ayarlamalar olmadan bunların yönetilmesini neredeyse imkansız hale getiriyor. . Statik kurallar ve insan müdahalesi, modern işletmelerin verileri kullandığı ölçek ve hıza ayak uyduramaz.
Ticketmaster’ın ihlali benzersiz olmaktan çok uzak. Aslında Snowflake’in müşterilerini hedef alan son hackleme kampanyasından Snowflake’in yaklaşık 165 müşteri hesabının etkilendiği tahmin ediliyor. Bu, dünya çapındaki kuruluşlar için bir uyandırma çağrısı görevi görmelidir: veri güvenliğine öncelik vermenin zamanı geldi. Bu, veri ambarının veya teknoloji satıcısının sorumluluğunda değildir; doğru kişilerin, doğru verilere, doğru zamanda, doğru erişime sahip olmasını sağlamak her kuruluşun sorumluluğundadır.
Yazar Hakkında
Kapil, Pazarlamadan Sorumlu Başkan Yardımcısı olarak Veri Güvenliği alanında lider olan Bedrock Security’de Pazarlama Ekibine liderlik etmektedir. 20 yılı aşkın süredir Siber Güvenlik Pazarlama Yöneticisi olarak Kapil, CrowdStrike, Zscaler, VMware ve VeriSign dahil olmak üzere yeni kurulan şirketlerde ve büyük siber güvenlik markalarında ürün, pazarlama, satış ve strateji ekipleri oluşturmuş ve yönetmiştir.
Bedrock ekibine katılmadan önce Kapil, 2020 yılında CrowdStrike tarafından satın alınan Preempt Security’nin pazarlamasını yönetti. Daha sonra CrowdStrike’da kimlik koruması, bulut, gözlemlenebilirlik ve sıfır güven ürünleri pazarlamasına liderlik etti.
Kapil, Ann Arbor’daki Michigan Üniversitesi’nden Bilgisayar Mühendisliği alanında lisans derecesine sahiptir ve tanınmış bir konuşmacıdır ve yapay zeka, PKI, mobil ticaret, biyometri ve diğer güvenlik konularında kitapların yazarıdır.
Kapil’e LinkedIn’den veya Bedrock’un www.bedrock.security web sitesinden ulaşılabilir.