Kurumsal bulut kullanıcıları için rahatsız edici bir gelişmede, federal yetkililer, dünyanın önde gelen bulut altyapı sağlayıcılarından biri olan Oracle’ı içeren büyük bir veri ihlalini araştırıyor. Bilgisayar korsanlarının, kullanıcı adları, passeyler ve şifreli şifreler de dahil olmak üzere hassas müşteri giriş bilgileri çaldığını, Oracle Systems’a yetkisiz erişim elde ettikleri bildirildi. Bir Bloomberg raporuna göre, bu Oracle’ın sadece bir ay içinde ikinci siber güvenlik açıklaması, bulut platformlarının güvenliği ve işletmelerin yanıt olarak ne yapması gerektiği konusunda ciddi endişeler yaratıyor.
Olay, FBI ve siber güvenlik firması Crowdstrike tarafından ortaklaşa araştırılıyor. İlk bulgular, saldırganın Oracle’dan gasp ödeme talep etmiş olabileceğini ve büyük teknoloji devlerine karşı fidye yazılımı tarzı taktikler kullanarak siber suçluların artan eğilimini vurguladığını gösteriyor.
Peki bu ihlal Oracle’ın bulut müşterileri için ve potansiyel olarak üçüncü taraf bulut hizmetlerine dayanan herhangi bir işletme için ne anlama geliyor?
Birincisi, en büyük bulut sağlayıcılarının bile ihlallere karşı bağışık olmadığı sert bir hatırlatma. Ve kimlik bilgileri tehlikeye atıldığında, serpinti, özellikle bu kimlik bilgileri yeniden kullanılırsa veya kritik iş operasyonlarına bağlanırsa, sistemler arasında basamak olabilir. Bulut müşterilerinin güvenlik duruşlarını yeniden ziyaret etmeleri ve güçlendirmeleri için acil ihtiyacın altını çiziyor.
Kloule’nin siber güvenlik uzmanı ve CEO’su Akash Mahajan, şirketlerin Oracle ihlalinden etkilendiklerine veya proaktif olarak benzer tehditlere karşı korunmak istediklerine inanmaları durumunda yapmaları gereken beş acil eylemi özetliyor.
1. Tüm sistemlerde şifreyi sıfırlar
Kuruluşunuz Oracle Hizmetleri kullanıyorsa, kimlik bilgilerinin tehlikeye atılabileceğini varsayar. Bu hesaplarla ilişkili tüm şifreleri hemen sıfırlayın. Güçlü şifre politikaları – minimum 16 karakter, karmaşık kombinasyonlar ve sistemler arasında kesinlikle yeniden kullanım yok. Personelin güvenli kimlik bilgileri oluşturmasına ve depolamasına yardımcı olmak için şifre yöneticilerini dağıtmayı düşünün.
2. Çok faktörlü kimlik doğrulama (MFA) uygulayın
Saldırganlar kimlik bilgilerini çalmış olsa bile, MFA kritik bir savunma hattı olarak hareket edebilir. MFA’yı tüm sistemlerde, özellikle bulut hizmetleri, yönetim hesapları ve uzaktan erişim portallarında etkinleştirin. Mahajan, müdahaleye karşı daha savunmasız olan SMS üzerinden uygulama tabanlı kimlik doğrulayıcılar veya donanım jetonlarının kullanılmasını önerir.
3. Şüpheli etkinlik için erişim günlüklerini denetleyin
Kırmızı bayraklar için günlüklerinizi tarayın – alışılmadık oturum açma süreleri, tanıdık olmayan IP adreslerinden giriş veya beklenmedik veri dışa aktarma. Oracle’a bağlı sistemlere ve benzer kimlik bilgilerini paylaşan hesaplara odaklanın. Saldırganlar için ana hedefler olan ayrıcalıklı hesaplara çok dikkat edin.
4. Üçüncü taraf entegrasyonları gözden geçirin ve kısıtlayın
Oracle ortamınız, ister API’lar, OAuth Jetonları veya Hizmet Hesapları aracılığıyla diğer sistemlerle bağlantı kurarsa, bu kimlik bilgileri de ortaya çıkabilir. Tüm üçüncü taraf bağlantılarını denetleyin ve potansiyel olarak tehlikeye atılan jetonları iptal edin veya döndürün. Erişimi sınırlamak ve gelecekteki ihlallerin patlama yarıçapını azaltmak için en az ayrıcalık ilkesini uygulayın.
5. Geliştirilmiş izleme ve tehdit algılamasını uygulayın
Bu tek ve bir senaryo değil. Brute kuvvet saldırılarını, kimlik bilgisi doldurma veya diğer uzlaşma belirtilerini tespit etmek için sistemler ayarlayın. Bilinen tehlikeye atılan kimlik bilgilerini kullanarak giriş denemeleri için uyarıları yapılandırın. Belirli sayıda başarısız denemeden sonra hesapları kilitleyin ve anomalileri tespit etmek için davranış tabanlı izlemeyi uygulamayı düşünün.
Devam eden sonuçlarla bir ihlal
Mahajan, “Bu ihlal, özellikle birden fazla sistemde kimlik bilgisi yeniden kullanımı potansiyeli nedeniyle ilgilidir” diye uyarıyor. Kuruluşlara sadece derhal koruyucu adımlar atmakla kalmayıp, aynı zamanda tam bir güvenlik değerlendirmesi yapmalarını, siber sigorta sağlayıcılarına katılmalarını ve ayrıcalıklı erişim yönetimi (PAM) çözümleri gibi araçları keşfetmelerini tavsiye eder.
Ayrıca hatırlamaya değer: Saldırganlar her zaman hemen vurmazlar. Çalıntı kimlik bilgileri kullanılmadan önce haftalar veya aylar boyunca uykuda kalabilir. Bu nedenle, güçlü izleme, olay müdahale planlaması ve düzenli güvenlik denetimleri ile arkaya geçen uzun vadeli uyanıklık esastır.
Oracle Breach ile ilgili soruşturma geliştikçe, bir şey açıktır: Buluta güven, güçlü, proaktif bir güvenlik stratejisi eşlik etmelidir.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!