Son zamanlarda ortaya çıkan ve yüz milyonlarca çalınan müşteri kaydını içeren büyük Snowflake ihlali, kuruluşların SaaS güvenliklerini proaktif bir şekilde yönetmeleri için sert bir uyarı niteliğindedir.
Bozucu SaaS trendinin olumsuz tarafı şüphesiz siber saldırı yüzeyinin genişlemesi ve tehdit aktörlerinin SaaS kimliklerini yoğun bir şekilde hedeflemesidir. Security Intelligence’a göre 2023’te güvenlik ihlallerinin %82’si bulutta depolanan verileri içeriyordu.
Araştırmalar, veri ihlallerinin en önemli nedeninin insan hatası olduğunu sürekli olarak ortaya koyuyor.
Snowflake veri ihlalinde şirket, tehdit kampanyasının hesapları tek faktörlü kimlik doğrulamasıyla güvence altına alınan kullanıcıları hedef aldığını söyledi. Bu, yanlış yapılandırılmış bir güvenlik ayarının neden olduğu bir tür insan hatasıdır: etkilenen şirketlerde çok faktörlü kimlik doğrulama (MFA) uygulamasının veya politikasının olmaması. Tehdit aktörleri, daha önce satın aldıkları veya kötü amaçlı yazılım kullanarak elde ettikleri kimlik bilgilerini kullandılar.
Snowflake vakası, işletmelerin pasif SaaS müşterileri rolünden, insan hatasını azaltmak için önleyici tedbirler almaya ve bir saldırı olması durumunda SaaS ortamındaki ihlalin zararını en aza indirmek için aktif tehdit tespit savunmalarına sahip olmaya geçme zorluğunu ortaya koyuyor.
Şu ana kadar bildiklerimize dayanarak Snowflake ihlalinden çıkarılacak iki önemli ders şunlardır:
1. Yanlış Yapılandırma Yönetimi Bir Zorunluluktur (Ancak Yeterli Değildir)
Yanlış yapılandırmalar, Snowflake vakasındaki MFA çöküşünde gördüğümüz gibi, SaaS güvenlik olaylarının ve veri ihlallerinin birincil nedenidir. İş açısından kritik uygulamaların her biri yüzlerce ayara sahiptir, bu da bir organizasyonun SaaS yığınının izlenmesi ve yönetilmesi gereken binlerce yapılandırmaya sahip olabileceği anlamına gelir. Bu, özellikle uygulama sahiplerinin ve yöneticilerinin çoğu BT dışında oturduğunda ve siber güvenlik uzmanlığına sahip olmadığında, yüksek düzeyde karmaşık otomasyon gerektiren bir görevdir.
Ortaya çıkan ve büyüyen bir teknoloji olan SaaS Güvenlik Durum Yönetimi (SSPM), son birkaç yılda SaaS uygulamaları için siber güvenliğin izlenmesini ve yönetimini otomatikleştirmek amacıyla özel olarak geliştirilmiştir.
Yanlış yapılandırmaları yönetmek SaaS güvenliğinin “101”i olsa da, yanlış yapılandırmalarla doğrudan ilgili olmayan başka önemli yönler de vardır. Kuruluşların SaaS yığınına bağlı insan olmayan kimlikleri izleme yeteneğine sahip olması gerekir. Ayrıca, hak yönetiminden harici kullanıcıların, hareketsiz kullanıcıların ve şirketten ayrıldıktan sonra sistemden çıkarılması gereken aktif kullanıcıların kategorilendirilmesine kadar insan kimliklerini yönetmeleri gerekir. Kullanıcı cihazları, özellikle uygulamalarına tehlikeye atılmış bir cihaz aracılığıyla giriş yapan ayrıcalıklı kullanıcılar için ek bir saldırı vektörüdür.
Bir SaaS ortamına SSPM’yi dahil etmek, ihlalleri önlemede büyük bir adımdır.
Gerçekten de, Cloud Security Alliance tarafından yakın zamanda yürütülen bir ankete göre, siber güvenlik topluluğunda, tüm sektörlerde SSPM’nin faydaları yaygın olarak kabul ediliyor. Anket, kuruluşların %65’inin şu anda bir SSPM çözümü kullandığını veya 18 ay içinde dağıtmayı planladığını buldu.
2. Tehdit Algılama Yetenekleri Bir Zorunluluktur
Tehdit algılama yetenekleri, bir kuruluşun SaaS güvenlik programı için ek bir kimlik koruma katmanı ekler. Tehdit aktörleri ilk savunmaları aştığında, kimlik güvenliğinin bir parçası olarak sağlam bir Kimlik Tehdit Algılama ve Yanıtlama (ITDR) sistemine sahip olmak büyük çaplı ihlalleri önleyebilir.
Snowflake’un 3 Haziran tarihli güncellemesinde, sorunun çeşitli IP adreslerinden gelen hedefli saldırılardan kaynaklandığı belirtildi.
Şirkete girdikten sonra anlamlı bir tehdit tespit yeteneğinden yoksundu ve bu da tehdit aktörlerinin 560 milyondan fazla müşteri kaydını sızdırmasına olanak sağladı.
SaaS merkezli bir ITDR mekanizması büyük olasılıkla güvenlik ekiplerini, atipik bir IP adresi üzerinden uygulamaya erişen bir hesap tarafından büyük miktarda verinin indirildiği konusunda uyarırdı.
ITDR, SaaS tehditlerini tespit etmek için çeşitli öğeleri bir araya getirir. SaaS yığınındaki olayları izler ve bir tehdidi gösteren davranışsal anormallikleri belirlemek için oturum açma bilgilerini, cihaz verilerini ve kullanıcı davranışını kullanır. Her anormallik bir tehlike göstergesi (IOC) olarak kabul edilir ve bu IOC’ler önceden tanımlanmış bir eşiğe ulaştığında, ITDR bir uyarı tetikler.
Bir ITDR sistemi ayrıca diğer taktikleri kullanarak karmaşık kimlik saldırılarını da tespit edebilir. Bunlar şunları içerir:
- Dışişleri Bakanlığı saldırıları: Bunlara, kullanıcıları çok faktörlü kimlik doğrulama etkileşimini yapmaya kandıran ortadaki saldırgan saldırıları da dahildir. Bir ITDR sistemi birden fazla başarısız MFA saldırısını tespit edebilir.
- Jeton hırsızlığı: GitHub gibi satıcıları etkileyen büyüyen bir insan olmayan kimlik saldırı vektörü olan token hırsızlığı, yetkisiz kişilerin kimlik doğrulamak ve sistemlere ve verilere erişimi yetkilendirmek için kullanılan güvenlik tokenlarına erişim sağlamasıyla meydana gelir.
- OAuth izni kimlik avı:Bir diğer bypass saldırısı ise hedeflenen kullanıcıların, verileri sızdırabilen kötü amaçlı bir uygulamaya izin vermelerinin istendiği OAuth izinli kimlik avıdır.
- Hesap gaspı tehlikeye atılmış kullanıcı cihazları aracılığıyla.
Sonuç: SaaS Güvenliği Paylaşılan Bir Sorumluluktur
Şimdi, Snowflake, Snowflake yöneticilerinin bir hesaptaki tüm kullanıcılar için MFA gerektirmesi seçeneğini içeren ürün için yeni özellikler üzerinde çalıştığını duyurdu. Bu hamle, yöneticilerin MFA güvenliğini zorunlu kılmasına olanak tanıyacak.
SaaS güvenliğine yönelik bu tür paylaşımlı sorumluluk sayesinde sağlayıcılar, ortamı güçlendirmek için SaaS uygulamaları içerisinde güçlü güvenlik yetenekleri sunarlar; ancak nihayetinde kuruluşların kendi politikalarına sahip olması ve kendi verilerini etkin bir şekilde koruması ve savunması gerekir.
Snowflake ihlali gibi büyük olaylar, etkili izleme ve güçlendirme araçlarının uygulanmasıyla önlenebilir. SaaS güvenliği için temel olan önlemenin ötesinde, SaaS uygulamalarına özel olarak uyarlanmış tehdit algılama ve yanıt yeteneklerine sahip olmak, Tehlike Göstergelerini (IoC’ler) belirleyebilir ve SaaS çevresinde saldırıyı durdurabilirdi.
SaaS’a özgü bir ITDR sisteminin, önleyici bir SaaS Güvenlik Durum Yönetimi (SSPM) çözümüyle birlikte eklenmesi, kuruluşların SaaS ekosistemlerindeki saldırı vektörlerini proaktif bir şekilde kapsamasını sağlar.
yazar hakkında
Hananel Livneh, Adaptive Shield’da Ürün Pazarlamasından Sorumlu Başkandır. Adaptive Shield’a, gömülü siber güvenlik şirketi olan Vdoo’dan katıldı ve burada Kıdemli Ürün Analisti olarak görev yaptı. Hananel, OUI’den onur derecesiyle MBA derecesi aldı ve Hebrew Üniversitesi’nden Ekonomi, Siyaset Bilimi ve Felsefe (PPE) alanında lisans derecesi aldı. Ah, ve dağ tırmanışını çok seviyor.
Hananel’e LinkedIn üzerinden ve şirketimizin web sitesi www.adaptive-shield.com adresinden ulaşabilirsiniz.