.jpg)
TABD İç Güvenlik Bakanlığı (DHS), Microsoft Azure bulut altyapısına yönelik büyük bir saldırıyı ele alma konusunda yoğun bir incelemeyle karşı karşıya olduğundan, geçen hafta bulut bilgi işlem ortamlarına yönelik siber saldırı tehdidine ilişkin bir soruşturma başlattı.
11 Ağustos’ta DHS, geçtiğimiz bir buçuk yıl içinde araştırma yapan ortak bir kamu-özel alt grubu olan Siber Güvenlik İnceleme Kurulu (CSRB) için bir sonraki projeyi duyurdu. Log4j güvenlik açığıve Lapsus$ grubu (sonuçları 10 Ağustos’ta yayınlandı). DHS bir duyuruda, bu üçüncü girişimin “geçerli CSP’leri ve müşterilerini etkileyen bulut tabanlı kimlik ve kimlik doğrulama altyapısıyla ilgili sorunlara” odaklanacağını söyledi.
Bazı uzmanlar, taşımanın bugün bulut güvenlik hizmetlerinde bozulanları onarmak için iyi bir başlangıç olduğunu düşünüyor.
CSRB incelemesi, Microsoft’un Azure bulut hizmetinin yakın zamanda ihlaliyle tetiklendi. Microsoft’un Storm-0558 olarak izlediği bir Çinli APT tarafından başarıyla yargılandı. Kampanya düzinelerce kamu sektörü kurumunu tehlikeye attıyanı sıra birçok özel şirket ve hasarın tam kapsamı henüz net değil. DHS”Temmuz ayında olayın öğrenilmesinin hemen ardından bu olayın Kurul’un bir sonraki incelemesine uygun bir konu olup olmayacağını düşünmeye başladı.”
Inversion6 CISO’su Craig Burland, “Son Microsoft olayı bu tür doğrudan eyleme kapı açtı ve DHS hemen devreye girdi,” diye açıklıyor. “Birçoğu muhtemelen hükümetin yeni bir düzenleme alanına adım atmasına karşı çıkacak olsa da, hem büyük hem de küçük kuruluşlar, tüm bulut istemcilerine sunulan varsayılan korumaları yükseltmek için ortak sorumluluktaki bir değişiklikten fayda sağlayacaktır.”
Bulutta Paylaşılan Sorumluluğu Yeniden Dengeleme
Allegro Solutions CEO’su Karen Walsh’ın belirttiği gibi, inceleme, ABD Ulusal Siber Güvenlik Stratejisi Hedef 2.4, “ABD Temelli Altyapının Suistimalini Önleme”, Amerikan kuruluşlarını hedef alan tehdit aktörlerini bozmayı ve tasfiye etmeyi amaçlayan bir girişim.
Bu daha geniş girişimin ötesinde, daha derin, daha yapısal bir mesele var.
Son aylarda, Microsoft gibi en gelişmiş sağlayıcılardan bile bulut altyapısında tekrarlanan ciddi güvenlik açıkları ortaya çıktı. AWS, belirteçleri sızdırdı, yeni özelliklerinin güvenliği ihlal edildi ve tehdit aktörleri, hassas iş verilerini çalmak ve devam eden saldırılar gerçekleştirmek için AWS’den düzenli olarak yararlandı. Google Cloud, çalınan jetonların yanı sıra veritabanı hizmeti ve belirli içerik türleri ile kendi sorunlarını yaşadı ve son zamanlarda kendi ihlallerinden muzdarip oldu.
Açıkça bulut risk altındadır, ancak bulut sağlayıcıları kendi sistemlerini yönettiği için son kullanıcılar genellikle bunu duymaz. Müşterilerin yama yapmasına gerek kalmadan açıklama modeli de değişir. Örneğin, bulut güvenlik açıklarına geleneksel CVE’ler atanmaz.
Bulut ortamlarının güvenliğini sağlamada kimin hangi sorumlulukları üstleneceği ve satıcı ile müşteri arasında nasıl iletişim kurulacağı konusundaki netlik eksikliği, gerçek dünyadaki siber saldırılarda ciddi sonuçlar doğurmaya başladı.
Sıcak Koltukta Microsoft
Bazıları, Microsoft Azure’u paylaşılan sorumluluk modelinin başarısız olduğu yerlerin bir örneği olarak görüyor çünkü bu yalnızca devletle uyumlu düşmanca bir APT’nin Azure Active Directory’yi (AD) ihlal ederek hükümeti ve milyonlarca Microsoft 365 uygulamasını etkilemesi değildi. Daha büyük suçun, Microsoft’un açıklama ve inceleme sürecini ele alma biçimi olduğunu söylüyorlar.
Symmetry Systems veri güvenliği baş evanjelisti Claude Mandy, “Birçok müşteri ve yatırımcı için, güvenlik nedenleriyle Microsoft’u bir kez daha haberlerde görmek hayal kırıklığı yarattı” diyor. İhlalin ilk olarak ifşa edilmesinin üzerinden bir aydan fazla bir süre geçtikten sonra, “ihlalin nasıl meydana geldiğine ve potansiyel etkisine ilişkin ayrıntılar hala belirsiz ve Microsoft tarafından kesinlik sağlanmadı. Bunun yerine, endişeler ve değerlendirmeler yalnızca dışarıdan siber güvenlik araştırmacıları tarafından dile getiriliyor. … Sektör olarak daha fazla şeffaflık talep ediyoruz.”
Mandy, özellikle Microsoft’un yakın zamana kadar ek ücret olarak güvenlik günlüğü tutmadı 365 müşteri için. Microsoft, “şirketlerin daha fazla ödeme yapmadıkça temel güvenlik özelliklerine sahip olmalarını kısıtlıyordu” diyerek müşterilerinin üzerine bir yük koyuyordu. Microsoft o zamandan beri bu politikayı tersine çevirdi.
Bu duygu, 3 Ağustos’ta ayrıntıları yayınlayan Tenable’daki güvenlik araştırmacıları tarafından desteklendi. tamamen ayrı bir Azure güvenlik açığı kiracılar arası uygulamalara ve kimlik doğrulama sırları da dahil olmak üzere hassas verilere belirli yetkisiz erişimin sağlanması. Tenable CEO’su Amit Yoran, “Size bunun ne kadar kötü olduğu hakkında bir fikir vermek için ekibimiz bir bankanın kimlik doğrulama sırlarını çok hızlı bir şekilde keşfetti.” bir LinkedIn gönderisinde yazdı.
Dark Reading’e yapılan bir açıklamada Microsoft, sorunun Haziran ayında müşterilerin çoğu için hafifletildiğini ve o zamandan beri tamamen çözüldüğünü iddia etti.
Ancak Tenable araştırmacıları, “Microsoft, etkilenen hizmeti kullanan tüm yeni uygulamalar için bu güvenlik açığını düzeltti, ancak bu düzeltmeden önce geliştirilen ve dağıtılan mevcut uygulamalar hala etkileniyor ve savunmasız durumda.”
Bir Microsoft sözcüsü şu açıklamayı yaptı:
“Ürün sorunlarını sorumlu bir şekilde ifşa etmek için güvenlik topluluğuyla işbirliğini takdir ediyoruz. Kapsamlı bir araştırmayı, etkilenen ürünlerin tüm sürümleri için güncelleme geliştirmeyi ve diğer işletim sistemleri ve uygulamalar arasında uyumluluk testini içeren kapsamlı bir süreç izliyoruz. Son olarak, bir güvenlik güncellemesi geliştiriyoruz. minimum müşteri kesintisi ile maksimum müşteri koruması sağlarken, zamanındalık ve kalite arasında hassas bir dengedir.”
DHS Paylaşılan Sorumluluğu Düzeltebilir mi?
Walsh ve diğerleri, hükümetin eyleminin bu tür hikayelerin merkezindeki güvenlik ve iletişim arızaları arasında köprü oluşturmaya yardımcı olacağını umuyor.
“CSRB bu incelemeye daha derin bir şekilde dahil oldukça, bulut hizmeti sağlayıcıları muhtemelen Paylaşılan Sorumluluk Modeli kapsamında daha fazla yük taşıyacaktır. Ulusal Siber Güvenlik Stratejisinden önemli bir geçiş, sorumluluğu daha fazla kaynağa sahip kuruluşlara kaydırmaktadır. Bu durumda, sağlayıcılar müşterilerinden daha fazla kaynak” diyor.
Burland, daha fazla güvenlik yükünü müşterilerden satıcılara kaydırma ihtiyacını karşılıyor. “Bugün, CSP’ler paylaşılan sorumluluk modelinde gücün çoğunu elinde tutuyor, esasen kendi varlıklarını korurken daha az yetenekli, daha az bilgili müşterilerin de aynısını yapmasını bekliyor” diye yakınıyor.
“CSRB’nin bulguları, ortak sorumluluk modelinde acil değişikliklere yol açarsa, bu bir başarı olacak ve yönetimin stratejik hedeflerini ilerletecektir. Bulgular, yeni düzenlemelerin ufukta olabileceğine dair tohumları ekerse, yine de başarılı olacaktır.” ,” diyor. “Her iki durumda da inceleme, tahtada başka bir satranç taşını ilerletecek ve hükümeti siber güvenlik tehditlerine karşı ortak bir savunma talep edecek ve sağlayacak şekilde konumlandıracak.”