Geçtiğimiz ay Ticketmaster’da ve Santander Bank’ta yaşanan büyük bir veri ihlali, şirketlerin üçüncü taraf bir bulut depolama hizmetindeki verilere erişimi uygun şekilde güvence altına alma konusundaki temel başarısızlığından kaynaklanmış olabilir.
Olaylar, hassas verileri bulutta depolayan kuruluşların, bu verilere erişimi korumak için neden çok faktörlü kimlik doğrulama (MFA), IP kısıtlamaları ve diğer mekanizmaları uygulaması gerektiğinin en son hatırlatıcısıdır. Bu, beklenen bir sonuç gibi görünebilir, ancak BT konusunda olgun şirketlerin bile dijital dönüşüm telaşında bulut güvenliğini gözden kaçırmaya devam ettiği açıktır.
Büyük İhlaller
İçinde düzenleyici dosyalama Ticketmaster’ın ebeveyni Live Nation Entertainment, hafta sonu bunun 20 Mayıs ihlalinin kurbanı üçüncü taraf bir bulut depolama sağlayıcısı tarafından barındırılan bir veritabanını içerir. Şirketin 31 Mayıs açıklaması raporların ardından geldi Geçen haftanın verileri ortaya çıktı Yaklaşık 550 milyon Ticketmaster müşterisine ait olan biletler, BreachForums sızıntı sitesiyle bağlantılı olduğuna inanılan bir kuruluş olan “ShinyHunters” tarafından Dark Web forumunda satışa sunuluyor. Ticketmaster, SEC dosyasında yer alan bilgiler dışında ihlale ilişkin herhangi bir ayrıntıyı kamuya açıklamadı.
Santander Bankası benzer bir ihlali açıkladı 14 Mayıs’ta. Bir açıklamada O sırada İspanyol bankacılık kurumu, birisinin, çalışan ve müşteri verilerini içeren, üçüncü taraf bir bulut hizmetleri sağlayıcısı tarafından barındırılan bir veritabanına yetkisiz erişim elde ettiğini söyledi. En çok etkilenenler arasında İspanya, Şili ve Uruguay’daki Santander Bank müşterileri vardı.
ShinyHunters, Santander hırsızlığını da üstlendi ve eriştiği veritabanının yaklaşık 30 milyon Santander müşterisine ilişkin verileri içerir, 28 milyon kredi kartı numarası, hesap bakiyeleri, İK çalışan listeleri ve diğer veriler. Tehdit aktörü verileri 2 milyon dolara satışa sundu.
Hem Ticketmaster hem de Santander, üçüncü taraf bulut hizmetinin kimliğini açıklamadı. Ancak çok sayıda güvenlik analisti, sağlayıcının MasterCard, Honeywell, Disney, Albertsons, JetBlue gibi şirketleri ve diğer büyük markaları müşterisi olarak kabul eden bir bulut depolama sağlayıcısı olan Snowflake olduğunu belirledi.
Koruma Başarısızlığı mı?
Snowflake itiraf etti Son haftalarda bazı müşteri hesaplarını hedef alan kötü niyetli faaliyetler yaşandığını ancak şu ana kadar hangi müşterilerin etkilendiğini tespit edemediğini söyledi. Şirket, Mandiant ve CrowdStrike’ın yardımıyla yürüttüğü bir soruşturmanın, faaliyetin herhangi bir “güvenlik açığı, yanlış yapılandırma veya Snowflake platformunun ihlali” ile bağlantılı olduğunu gösteren hiçbir kanıt göstermediğini söyledi.
Snowflake, bunun yerine saldırıların “tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik daha geniş hedefli bir kampanyanın” parçası gibi göründüğünü söyledi. Bulut depolama satıcısı, “Bu kampanyanın bir parçası olarak, tehdit aktörleri daha önce satın alınan veya kötü amaçlı bilgi hırsızlığı yoluyla elde edilen kimlik bilgilerinden yararlandı” ve bunları müşteri hesaplarına erişmek için kullandı.
Okta güvenlik sorumlusu (CSO) David Bradbury, son olayların kurumsal ortamlardaki hizmet olarak yazılım (SaaS) uygulamalarının kimlik avına karşı dayanıklı MFA’ya ve erişimi sınırlayan ağ IP kısıtlamalarına sahip olmasını sağlamanın önemini vurguladığını söylüyor yalnızca güvenilir konumlardan. “Ancak MFA ve gelen IP kısıtlamaları tek başına yeterli değil” diye ekliyor.
Saldırganlar kimlik doğrulama sonrasına giderek daha fazla odaklanıyor MFA’yı tamamen atlayan saldırılar, diyor. Bradbury, kullanıcı kimlik bilgilerini çalamayan bir saldırganın, kimlik doğrulama kanıtını çalmaya yöneleceğini, bu nedenle oturum belirteci bağlama gibi güvenlik mekanizmalarının SaaS uygulamaları için hayati önem taşıdığını söylüyor.
Şu ana kadar mevcut olan bilgilere göre Snowflake platformu üzerinden gerçekleşen veri sızıntıları, bulut sağlayıcısının herhangi bir hatasının sonucu gibi görünmüyor. Swimlane’in CISO’su Michael Lyborg, bunun daha ziyade kurban kuruluşların bulut güvenliği ve yapılandırma temellerini takip etmedeki başarısızlığından kaynaklandığını söylüyor.
Bulut Güvenliği Paylaşılan Sorumluluk Modeli
En güncel koşullar altında bulut paylaşılan sorumluluk modelleri, Bulut satıcısı ve müşteri genellikle kimlik ve erişim yönetimi (IAM) ve MFA’nın uygulanmasına ilişkin sorumluluğu paylaşır. Ancak Lyborg, verilere yönelik riskleri azaltmak için sonuçta sağlayıcının en iyi uygulamalarını, yapılandırmasını ve uygulama yönergelerini takip etmenin müşterilere bağlı olduğunu söylüyor.
“Sağlayıcıların MFA’yı ve en az ayrıcalığı uygulaması gerektiğine inanıyorum ve varsayılan olarak sıfır güven Müşterilere dijital dönüşüm yolculuklarında yardımcı olmak” diyor. “Yapılandırma temel çizgisini aşmak için bir istisna yapılırsa, diğer telafi edici kontrollerin de bir gereklilik olması gerekir.”
Ancak Keeper Security’nin güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, bulut sağlayıcılarının her durumda zorunlu MFA ve diğer varsayılan güvenli uygulamaları uygulamasını beklemenin mantıksız olduğunu söylüyor.
“Her kuruluşun kendine özgü güvenlik gereksinimleri ve tercihleri vardır ve tek tip güvenlik önlemleri, müşterilerin bulut hizmetlerinden beklediği esnekliği ve özelleştirmeyi sınırlayabilir” diyor. “Ek olarak, bazı müşteriler halihazırda güçlü güvenlik protokollerine sahip olabilir veya kendi özel ihtiyaçlarına göre uyarlanmış kendi güvenlik önlemlerini uygulamayı tercih edebilir.”
Öyle bile olsa, Ticketmaster ve Santander ihlalleri, kuruluşların kendi güvenlik önlemlerine güvenmenin potansiyel risklerinin farkında olması ve zayıf veya eksik kimlik doğrulama mekanizmalarının bilgisayar korsanlarının yetkisiz erişim elde etmesi için birincil hedefler olduğu gerçeğini kabul etmesi gerektiğini gösteriyor.
Tiquet, “Bulutun benimsenmesi artmaya devam ettikçe ve daha fazla kuruluş operasyonlarını buluta aktardıkça, hem bulut sağlayıcılarının hem de müşterilerin güvenliğe öncelik vermesi ve siber tehditlere karşı koruma sağlamak için sağlam önlemler uygulaması zorunlu hale geliyor” diyor.