Avustralyalı bir telekomünikasyon sağlayıcısı olan Optus, bir veri ihlalinin en son yüksek profilli kurbanı oldu – iddia edilen saldırganın milyonlarca müşteri kaydını geri satın almak için ödeme talep etmesi ve halihazırda 10.000’ini çevrimiçi olarak halka açık hale getirmesi. En son gelişmelerde, saldırgan artık tehditleri iptal etti ve onları bir veri ihlali web sitesinden sildi. Ancak, ilk etapta isimler, doğum tarihleri, ehliyet numaraları, adresler, telefon numaraları, Medicare numaraları ve pasaport numaraları dahil olmak üzere bu müşteri kayıtlarına birisinin erişebildiği gerçeğini değiştirmez ve birçok Optus müşterisini duygulandırır. hassas.
Ama bu nasıl oldu?
Kimliği doğrulanmamış bir uygulama programlama arabiriminin (API) suçlu olduğu anlaşılıyor.
Armis CISO’su Curtis Simpson şunları söyledi: “API’ler, modern uygulamaya ve işlediği verilere giriş noktasıdır. API’lerle ilişkili riskler, yapılandırma tabanlı güvenlik açıklarından, platformları, ağları, kullanıcıları ve verileri tehlikeye atmak için kullanılabilecek mantık tabanlı güvenlik açıklarına kadar çeşitlilik gösterir. Geleneksel uç güvenliği ve uygulama güvenliği testi yetenekleri, iş operasyonlarımızın yanı sıra dönüşüme devam eden bulut ortamlarımız genelinde bu tür açıklardan yararlanmaya karşı düzeltme veya korumayı belirlemez veya kolaylaştırmaz. Gerçek zamanlı mantık tabanlı korumalar, API maruz kalma analizi, önceliklendirme ve geliştirme yığınları aracılığıyla iyileştirme, modern web hizmetlerini korumak için benimsenmesi gereken yetenek örnekleridir.”
Devam etti: “Dijital işler API’ler üzerinden yapılır. Güvenlik programlarımız ve teknolojilerimiz, işletmelerimizin yaşadığı ve faaliyet gösterdiği yerlerde gelişmeye devam etmelidir.”
Salt Security’de çözüm mimarı olan Adam Fisher, olayla ilgili blogunda daha ayrıntılı bilgi verdi:
“İnsan hatası, ihlallerde neredeyse her zaman bir rol oynar, ancak bu sadece bireylerin daha dikkatli olmasıyla ilgili bir durum değildir. API’ler, yalnızca geliştirme değil, bir kuruluş içindeki tüm alanlara dokunur. Tipik olarak, birden çok ekip API’ler arasında sahipliği paylaşır. Genellikle yanlış iletişim (veya eksik iletişim) sorunlara yol açabilir. Örneğin, altyapı ekipleri, geliştirme ekibinin zaten kimlik doğrulama gereksinimlerini yönettiğini varsayabilir. API’nin zaten bir güvenlik incelemesinden geçtiğine inanabilirler, ancak aslında geçmemiştir.
“Ne yazık ki, yanlış iletişim oldukça yaygın. Dahası, Optus örneğinde, ağ ekibinin istemeden İnternet’te kolayca kullanılabilecek bir test ağını kullanıma sunduğu görülüyor.”
UKRI’nin Tasarıma Göre Dijital Güvenlik yarışmasının direktörü ve Manchester Üniversitesi’nde bilgisayar mimarileri profesörü olan Profesör John Goodacre şunları ekledi:
“Siber saldırganlar, dijital bir sistemdeki yapılandırmadaki veya güvenlik açığındaki tek bir hatanın potansiyel olarak verileri çelikleştirmek veya işleyişini bozmak için kullanılabileceği, rastgele bir dünyada çalışıyor. İnternet bağlantısı, bunun hiç kimsenin hiçbir yerde güvenli olmadığı herhangi bir yerden kaynaklanabileceği anlamına gelir. Hata yapmanın insani olduğunu kabul etmek, herkesin, her yerde saldırılara maruz kalabileceği anlamına gelir. Güvenlik açıklarından yararlanılmasını engellemek için çalışan sistemlere tasarım gereği engellerin yerleştirilmesi gerekir. İnterneti sağlayan ISP ve telekom, saldırıların kaynaklandığı yerden gelen trafikteki eğilimleri görebilir, ancak tek bir bilgisayar korsanının isteği uzak bir sistemde açık bir kapı bulursa, bunu ayrı ayrı ayırt etmek için yapabileceği çok az teknoloji vardır.”
Salt Security’den Fisher, API güvenliğini kendi disiplini olarak gören kuruluşlarda, özellikle bu hareketin temelini oluşturan sayısallaştırma ve API’lerin artmasıyla değer olduğunu öne sürdü. ISP’lere ve telekom operatörlerine şunları tavsiye etti:
- Riskleri bilin – OWASP API Security Top 10’da tanımlanan tehditlerle başlayarak
- İşlevler arası bir yaklaşım sağlayın – API güvenliği, kuruluş genelinde çapraz işlevsel olarak iletilmeli ve desteklenmelidir
- API’leri sürekli olarak izleyin – eksiksiz bir API envanterine sahip olmanın yanı sıra, telekomünikasyon şirketleri ve ISP’ler, ortamlarındaki API’leri davranıştaki sapmalara karşı sürekli olarak izlemelidir.
“Potansiyel API tehditlerini belirlemek için kuruluşlar, API’lerin ortamlarında normal olarak nasıl çalıştığını anlamalıdır. Bu içgörüye sahip olmak, telekomünikasyon şirketlerinin kötü bir aktör kritik kullanıcı verilerine erişmeden önce tehdit yanıtını hızlı bir şekilde belirlemesini ve hızlandırmasını sağlayacaktır… veya daha kötüsü, ”diye bitirdi Fisher.