2023 MOVEit hack’i gibi bir siber saldırı küresel haber manşetlerine çıktığında, dikkatler genellikle etkilenen kuruluşların adlarına veya etkilenen kişi sayısına odaklanıyor. Bu durum anlaşılabilir olsa da, MOVEit gibi bir saldırıda ne olduğunu doğru bir şekilde analiz etmek, benzer olayların kuruluşlara çarpmasını önlemek için somut siber güvenlik adımları geliştirmek açısından faydalıdır.
Bu makale Moveit hilesine genel bir bakış sunuyor ve işletmeniz için bazı önemli, uygulanabilir çıkarımlar yapmayı amaçlıyor.
MOVEit Hack’i neydi?
6 Haziran 2023’te, Rusya’ya bağlı kötü şöhretli fidye yazılımı grubu Clop, Progress Software’in MOVEit aktarım aracını hedef alan bir saldırının sorumluluğunu üstlendi.
Bu kurumsal dosya paylaşım çözümünün Amerika Birleşik Devletleri’nde geniş bir müşteri tabanı vardır. Kuruluşlar güvenli dosya aktarımları için MOVEit’i kullanıyor; aslında Dropbox gibi popüler dosya paylaşım araçlarının daha çekici, profesyonel bir versiyonudur.
Mayıs 2023’te Clop’taki siber suçlular, MOVEit’te önceden bilinmeyen bir güvenlik açığını ortaya çıkardı ve bu güvenlik açığından yararlanmaya başladılar. MOVEit’teki güvenlik açığı, Clop bilgisayar korsanlarının BT ortamlarına erişmesine ve hassas verileri çalmasına olanak tanıdığında 130’a kadar kuruluş aşağı yönlü etkilerden zarar gördü.
MOVEit saldırısı, Clop gibi grupların başlangıçta ün kazandığı klasik fidye yazılımı saldırılarıyla aynı değildi. Sistemlerin .clop fidye yazılımı dosyalarını yükleyen tehdit aktörleri tarafından kilitlendiğine ve erişilemez hale getirildiğine dair çok az kanıt vardı.
Bunun yerine, günümüzün bilgisayar korsanlarının verilere verdiği değeri daha da iyi bir şekilde örnekleyen saldırıda, yaklaşık 16 milyon kişiye ait kişisel bilgilerin ele geçirildiği ve sistemlerden sızdırıldığı görüldü.
Clop korsanlarının bu verileri kullanmasının veya bundan kâr elde etmesinin birçok yolu vardır. Bunlardan en bariz olanı, fidye yazılımı çetelerinin son yıllarda yöneldiği gasp taktiğidir.
Bilgisayar korsanları, sistemleri kilitlemek ve fidye talep etmek yerine hassas verileri çalıyor ve şirketlerin ödeme yapmaması durumunda bunları çevrimiçi yayınlamakla tehdit ediyor. Ayrıca verileri, diğer siber suçluların dolandırıcılık ve dolandırıcılık yapmak için kullanabileceği karanlık web pazarlarında da satabilirler.
Saldırı Nasıl Gerçekleşti?
MOVEit saldırısının daha ayrıntılı bir incelemesi, taktikler ve nedenler hakkında bazı ek yararlı bilgileri ortaya çıkarır. Birincisi, bu, şirketlerin karşı karşıya olduğu artan yazılım tedarik zinciri güvenliği risklerinin açık bir örneğiydi.
Pek çok işletme, kendi hizmetleri veya uygulamaları için tedarik zincirinin unsurları olarak yararlı yazılım ve kod sağlama konusunda üçüncü taraflara güvenir, ancak bu güven aynı zamanda yazılım tedarik zincirindeki güvenlik açıkları yoluyla ağlarındaki verilere ve diğer kaynaklara potansiyel erişim anlamına da gelir.
Göz önünde bulundurulması gereken bir diğer önemli husus da Clop’un MOVEit yazılımında kullandığı güvenlik açığının sıfır gün olmasıdır. Siber çeteler bu güvenlik açıklarına çok değer veriyor çünkü satıcının bunları düzeltmek için zamanı (sıfır gün) olmadı.
MOVEit sonrasında ortaya çıkan dijital adli analiz, bilgisayar korsanlarının MOVEit’teki sıfır gün kusurunu ne kadar erişim elde edebileceklerini görmek için gizlice test ettikleri 2021 yılına kadar bildiklerini gösteriyor.
Güvenlik açığı SQL enjeksiyonuyla ilgiliydi; uygulamalara ortak bir giriş noktası. Bu tür yazılım kodu zayıflıkları, veri manipülasyonuna veya veritabanı erişimine olanak tanır. MOVEit hack’i, SQL enjeksiyon hatasını manuel olarak test etmekten, çok sayıda kuruluşun bununla otomatik bir şekilde yararlanmasına kadar ilerledi.
Gerçek saldırı, MOVEit’e dosya aktarım çözümünü kullanan kuruluşlardan veri indirmeyi kolaylaştıran bir arka kapı yüklemek için SQL güvenlik açığından yararlanılarak çalıştı. Clop çetesi üyeleri daha sonra, müşteriler veya çalışanlar hakkında çalınan kişisel bilgilerin internette yayınlanmasını önlemek istiyorlarsa şirketlerin ödeme yapması için 14 Haziran’a kadar bir son tarih belirledi.
MOVEit Saldırısının Etkileri
Özel verileri tehlikeye atılan milyonlarca insanın yanı sıra, çoğu etkilenen kuruluşların çalışanlarıydı, bu tedarik zinciri olayından etkilenen bazı şirketlere bakmak, modern gelişmiş siber saldırı kampanyalarının geniş kapsamlı etkileri hakkında çok şey söylüyor.
Zelli’ler
Düzinelerce büyük şirket tarafından kullanılan popüler bir maaş bordrosu sağlayıcısı olan Zellis’in MOVEit kusuru yoluyla ihlal edilmesi, bu tedarik zinciri olayının Zellis’in bazı müşterilerine yayılması anlamına geliyordu. Bu, yazılım tedarik zinciri ihlallerinin kademeli etkisini göstermektedir.
BBC
Birleşik Krallık’ın devlet yayıncısının kurbanlardan biri olduğu ortaya çıktığında, dünya medyası MOVEit hack’ini hemen dikkate aldı. Görünüşe göre BBC, Zellis’in ihlalden etkilenmesi nedeniyle zarar gören kuruluşlardan biriydi. Eczane şirketi Boots ve British Airways uçağı da darbe aldı.
Norton Yaşam Kilidi
Kimlik hırsızlığına karşı koruma çözümü ve antivirüs araçlarıyla tanınan Norton’un bu saldırı nedeniyle veri kaybı yaşaması biraz ironikti. Daha sonra çalışanların verilerinin iç sistemlerden çalındığına dair açıklamalar ortaya çıktı.
Gelecekteki Benzer Olayları Önlemeye Yönelik İpuçları
Tedarik zincirinizin haritasını çıkarın
Yazılım tedarik zincirinin haritasını çıkararak yazılımınızın nereden geldiğini, hangi bileşenlerin kullanıldığını ve tedarikçilerin kim olduğunu daha iyi anlayabilirsiniz. Bu, fiziksel tedarik zincirine benzer bir kavramdır; açık kaynaklı projelere ve üçüncü taraf kitaplıklara, çerçevelere ve uygulamalara güvenmenin ortak özelliği, kapsamlı şeffaflık ve görünürlük gerektirir. Bu, zincirdeki saldırganların yararlanabileceği potansiyel zayıf noktaları (örneğin, birkaç güncelleme içeren açık kaynaklı projeler) belirlemenize ve anlamanıza olanak tanır.
Üçüncü taraf risk yönetimini güçlendirin
Üçüncü taraf risk yönetimi (TPRM) stratejinizdeki stratejik bir iyileştirme, ağınızı tedarik zinciri saldırılarına karşı koruma konusunda fayda sağlar. İşletmenizin işleyişine kod veya uygulama katkısı sağlayan taraflardan taleplerinizi güçlendirmeyi düşünün. Açık kaynaklı projeler üzerinde daha fazla özen gösterin, satıcılardan siber güvenlik çerçevelerine uymalarını isteyin ve belki de üçüncü taraf bir yazılım satıcısının ağ ortamınıza erişmesini kabul etmeden önce en azından yıllık bir sızma testinin kanıtını görmeyi talep edin.
Sıfır güvene doğru ilerleyin
Sıfır Güven mimarisi, bir ağın güvenli çevresi içinde çalışan hiçbir kullanıcıya, sisteme veya hizmete otomatik olarak güvenilmemesini zorunlu kılan bir güvenlik modelidir. Bunun yerine, kimlik doğrulamanın bağlam ve risk faktörlerine göre sürekli olarak doğrulanması gerekir. Sıfır güvenin çeşitli ilkeleri, tedarik zinciri saldırılarına karşı dayanıklılığı güçlendirir:
- Sıfır Güven mimarileri varsayılan olarak en az ayrıcalıklı erişimi uygular. Bir bilgisayar korsanı, savunmasız üçüncü taraf kodu veya uygulamaları aracılığıyla ortamınıza erişmeyi başarırsa, en az ayrıcalıklı erişim modeli yapabileceklerini sınırlar.
- Sıfır Güven modelinin önemli bir parçası ağınızı daha küçük, yalıtılmış bölümlere (mikro bölümlere) bölmektir. Bir bilgisayar korsanı, savunmasız bir yazılım bileşeninden yararlanırsa, muhtemelen yalnızca söz konusu ağ mikro segmentine erişime sahip olacaktır.
- Sıfır Güven mimarileri, kimliklerin ve izinlerin sürekli doğrulanmasını gerektirir. Uygulamaların genellikle ihtiyaç duyulmayan kaynaklara erişme girişimleri gibi olağandışı davranışlar, alarmları ve otomatik koruyucu yanıtları tetikleyebilir. Bu, bir yazılım tedarik zinciri ihlalinin patlama yarıçapını içerebilir.
Hiçbir sistem yazılım tedarik zinciri saldırılarını tamamen engellemese de sıfır güven mimarisinin uygulanması, saldırganın erişimini ve yeteneklerini sınırlayarak ihlallerin potansiyel etkisini büyük ölçüde azaltır.
Kalem testi uygulamaları
Sıfır gün açığından yararlanarak 100’den fazla şirkete saldırılmasının ardından, MOVEIt’in kodunda istismar için başka potansiyel yollar açan farklı, ilgisiz zayıflıklara dair daha fazla kanıt ortaya çıktı.
Belki de MOVEit’in BT ve geliştirme ekiplerinin bu olayı önlemede gözden kaçırdığı en önemli şey, kodun kapsamlı kalem testinin değeriydi. Yetenekli etik bilgisayar korsanları, bir kalem testi etkileşiminde, Clop’un tespit edip istismar ettiği SQL enjeksiyon zayıflıklarının tam türünü araştırıp araştırıyor.
Sürekli Sızma Testini Tercih Edin
Ara sıra veya seyrek olarak yapılan sızma testleri, ağınızı veya uygulamalarınızı MOVEit saldırısı gibi olaylara karşı korumak için yeterli olmayacaktır.
DevOps gibi modern geliştirme uygulamaları, uygulamalara düzenli olarak yeni özellikler eklenmesini gerektirir ve bu da güvenlik zafiyetlerine neden olabilir. Siber suçlular, web uygulamalarına sızmanın yeni yollarını bulmak için sürekli olarak web uygulamalarını araştırıyor.
Kuruluşlar geleneksel olarak kalem testini belirli bir zamanda yapılan bir uygulama olarak gerçekleştirir.
Sorun, hem web uygulamalarında hem de tehdit ortamındaki değişim hızının bu testlerin sonuçlarını hızla eskitiyor olmasıdır. Ayrıca kuruluşlar, pen testini sürekli olarak yaptıkları bir şeyden ziyade, işaretlenmesi gereken bir uyumluluk kutusu olarak ele alma eğilimindedir.
Hizmet olarak penetrasyon testi (PTaaS), şirketleri modası geçmiş test modelinden gerçek zamanlı otomatik tarama ve daha düzenli manuel test kombinasyonuna doğru kaydırıyor.
Outpost24’ün SWAT’ı, SaaS portalı aracılığıyla sunulan yenilikçi bir PTaaS çözümüdür. SWAT ile, yeni yazılım açıklarını sıfır hatalı pozitif sonuçla daha hızlı tespit etmek ve düzeltmek için internete bakan web uygulamalarının sürekli izlenmesine sahip olursunuz.
Bu sürekli otomatik testin yanı sıra SWAT, herhangi bir özelleştirilmiş sıklıkta veya diğer ihtiyaçlara dayalı olarak manuel test yapmak için sizi yüksek vasıflı ve deneyimli kalem test uzmanlarından oluşan bir ekiple de donatır.
Çok Yönlü Bir Yaklaşım
MOVEit saldırısı gibi gelişmiş saldırılarla mücadele etmek, çok yönlü bir yaklaşımı ve siber güvenlik stratejinizin belirli öğelerini yeniden düşünme ihtiyacını gerektirir.
Sıfır güvene doğru ilerleyin, tedarik zincirinizde daha fazla görünürlük elde etmeye çalışın ve kod açıklarını geleneksel manuel yaklaşımlardan daha hızlı yakalayan sürekli kalem testini tercih edin.
Outpost24’ün SWAT PTaaS platformu, temel koddan üçüncü taraf kitaplıklara ve API kusurlarına kadar modern bir web uygulaması ekosistemindeki tüm potansiyel zayıflıkları bulmanıza yardımcı olur.
Burada daha fazla bilgi edinin.
Outpost24 sponsorluğunda ve yazılmıştır