Ticketmaster-Snowflake İhlalinden Dersler


Ticketmaster-Kar Tanesi İhlali

Geçtiğimiz hafta, kötü şöhretli hacker çetesi ShinyHunters’ın 560 milyon Ticketmaster kullanıcısından 1,3 terabaytlık veriyi yağmaladığı iddiası dünya çapında şok dalgaları yarattı. Fiyat etiketi 500.000 ABD doları olan bu devasa ihlal, canlı etkinlik şirketinin müşterilerinin büyük bir bölümünün kişisel bilgilerini açığa çıkarabilir ve bir endişe ve öfke fırtınasını ateşleyebilir.

Büyük bir veri ihlali

Gerçekleri gözden geçirelim. Live Nation, SEC’e yapılan 8-K başvurusuyla ihlali resmi olarak doğruladı. 20 Mayıs’ta yayımlanan belgeye göre şirket, başta Ticketmaster yan kuruluşu olmak üzere “Şirket verilerini içeren üçüncü taraf bulut veritabanı ortamında yetkisiz faaliyet tespit etti”. Dosyalamada Live Nation’ın bir soruşturma başlattığı ve kolluk kuvvetleriyle işbirliği yaptığı iddia ediliyor. Şu ana kadar şirket, ihlalin ticari operasyonları üzerinde önemli bir etkisi olacağına inanmıyor.

Aynı hacker grubunun Santander’e ait olduğu iddia edilen verileri de sunması dikkat çekici. İddialara göre çalınan veriler, milyonlarca Santander personeli ve müşterisine ait gizli bilgiler içeriyor. Banka, “üçüncü taraf bir sağlayıcı tarafından barındırılan bir veritabanına” erişildiğini doğruladı; bu durum Şili, İspanya ve Uruguay’daki müşterilerin yanı sıra tüm mevcut ve bazı eski Santander çalışanlarının veri sızıntılarına yol açtı.

Bulut bağlantısı

Bu iki ihlali birbirine bağlayan şey, kullanıcıları arasında hem Santander hem de Live Nation/Ticketmaster’ın da yer aldığı bulut veri şirketi Snowflake’tir. Ticketmaster, çalınan veritabanının Snowflake tarafından barındırıldığını doğruladı.

Snowflake, CISA ile birlikte “bulut veri platformundaki müşteri hesaplarını hedef alan siber tehdit faaliyetlerinde son zamanlarda artış olduğunu” belirten bir uyarı yayınladı. Snowflake, kullanıcılara veritabanı günlüklerini olağandışı etkinliklere karşı sorgulamaları ve yetkisiz kullanıcı erişimini önlemek için daha fazla analiz yapmaları yönünde bir öneri yayınladı.

Ayrı bir bildiride Snowflake CISO’su Brad Jones, Snowflake sisteminin kendisinin ihlal edilmediğini açıkça belirtti. Jones’a göre “bu, tek faktörlü kimlik doğrulamayla kullanıcılara yönelik hedefli bir kampanya gibi görünüyor” ve tehdit aktörleri daha önce çeşitli yöntemlerle elde edilen kimlik bilgilerinden yararlandı.

Snowflake ayrıca tüm müşteriler için tüm hesaplarda çok faktörlü kimlik doğrulamanın (MFA) zorunlu kılınması, bulut ortamına yalnızca önceden ayarlanmış güvenilir konumlardan erişime izin verecek ağ politikası kurallarının ayarlanması ve Snowflake kimlik bilgilerinin sıfırlanması ve döndürülmesi gibi bazı öneriler de sıraladı.

Siber güvenliği basitleştirme

Siber güvenliği romantikleştirme eğilimindeyiz ve bu, BT alanında inanılmaz derecede zor ve karmaşık bir disiplindir. Ancak tüm siber güvenlik zorlukları eşit derecede zor değildir. Snowflake’in sunduğu rehberlik gerçekten şu noktaya vurgu yapıyor: MFA bir zorunluluktur. Kimlik bilgisi doldurma da dahil olmak üzere çeşitli siber saldırılara karşı inanılmaz derecede etkili bir araçtır.

Bulut güvenlik şirketi Mitiga tarafından yapılan araştırma, Snowflake olaylarının, bir tehdit aktörünün çalınan müşteri kimlik bilgilerini kullanarak Snowflake veritabanlarını kullanan kuruluşları hedef aldığı bir kampanyanın parçası olduğunu iddia ediyor. Yayınlanan araştırmaya göre “tehdit aktörü öncelikle iki faktörlü kimlik doğrulaması olmayan ortamlardan yararlandı” ve saldırılar genellikle ticari VPN IP’lerinden kaynaklanıyordu.

Politikalar ancak uygulanması ve icrası kadar etkilidir. Kurumsal tek oturum açma (SSO) ve MFA gibi teknolojiler mevcut olabilir ancak tüm ortamlarda ve kullanıcılarda gerçek anlamda uygulanmayabilir. Kullanıcıların herhangi bir kurumsal kaynağa ulaşmak için SSO dışında kullanıcı adı/şifre kullanarak kimlik doğrulaması yapma ihtimali olmamalıdır. Aynı şey MFA için de geçerlidir: Kendi kendine kayıt yerine, bulut ve üçüncü taraf hizmetleri de dahil olmak üzere tüm sistemler ve tüm ortamlardaki tüm kullanıcılar için zorunlu olmalıdır.

Tam kontrol sizde mi?

Bulut yok; yalnızca başka birinin bilgisayarı, eskilerin söylediği gibi. Siz (ve kuruluşunuz) bu bilgisayarın kaynaklarına çok fazla erişimden yararlanırken, sonuçta bu erişim hiçbir zaman tamamlanmaz; bu, bulut bilişimin doğasında olan bir sınırlamadır. Çok kiracılı bulut teknolojileri, tek bir müşterinin o “bilgisayarda” yapabileceklerini sınırlayarak ölçek ekonomisi elde eder ve bu bazen güvenliği uygulama yeteneğini de içerir.

Bunun bir örneği otomatik şifre rotasyonudur. One Identity Safeguard gibi modern ayrıcalıklı erişim yönetimi araçları, kullanımdan sonra şifreleri devre dışı bırakabilir. Bu, onları etkili bir şekilde tek kullanımlık hale getirir ve çevreyi kimlik bilgisi doldurma saldırılarına karşı ve aynı zamanda LastPass hackinde kullanılan tuş kaydediciler gibi daha karmaşık tehditlere karşı da korur. Ancak bu özelliği sağlayan API’nin mevcut olması gerekmektedir. Snowflake, kullanıcı şifrelerini güncellemek için bir arayüz sağlıyor; bu nedenle onu kullanmak ve şifreleri kullanıma dayalı veya zamana dayalı bir şekilde değiştirmek müşterinin sorumluluğundaydı.

İş açısından kritik verilerin nerede barındırılacağını seçerken platformun bu API’leri ayrıcalıklı kimlik yönetimi aracılığıyla sunduğundan ve yeni ortamı kurumsal güvenlik şemsiyeniz altına almanıza olanak tanıdığından emin olun. MFA, SSO, parola rotasyonu ve merkezi günlük kaydı, bu tehdit ortamında temel gereksinimler olmalıdır çünkü bu özellikler müşterinin verileri kendi tarafında korumasına olanak tanır.

İnsan olmayan kimlik

Modern teknolojinin benzersiz bir yönü, insan olmayan kimliktir. Örneğin, veritabanındaki bazı görevleri gerçekleştirmek için RPA (robotik süreç otomasyonu) araçlarına ve ayrıca hizmet hesaplarına güvenilir. Anlık bildirimler veya TOTP belirteçleri gibi bant dışı mekanizmalar hizmet hesabı kullanım durumları için uygun olmadığından bu kimlikleri korumak ilginç bir zorluktur.

İnsan dışı hesaplar, genellikle görevlerini gerçekleştirmek için çok güçlü izinlere sahip olduklarından saldırganlar için değerli hedeflerdir. Kimlik bilgilerini korumak güvenlik ekipleri için her zaman bir öncelik olmalıdır. Snowflake, çözümü çalıştırmak için çok sayıda hizmet hesabı kullanıyor ve bu hesapların ve kimlik bilgilerinin nasıl korunacağına dair bir dizi blog yazısı geliştirdi.

Her şey maliyetle ilgili

Siber suçluların son derece basit bir mantığı var: Toplu saldırıları otomatikleştirerek kârı en üst düzeye çıkarın ve basit ama etkili yöntemlerle büyük kurban havuzlarını hedef alın. Kimlik bilgisi doldurma saldırıları, Snowflake kiracılarına karşı kullanılan saldırı türü gibi, en ucuz saldırı yöntemlerinden biridir; e-posta spam’inin 2024’teki eşdeğeridir. Ve düşük maliyetine paralel olarak neredeyse %100 etkisiz olmalıdır. En az iki büyük kuruluşun önemli miktarda kritik veriyi kaybetmesi, küresel siber güvenliğin mevcut durumuyla ilgili kasvetli bir tablo çiziyor.

Çözüm

SSO, MFA ve şifre rotasyonu gibi basit kontrollerin uygulanmasıyla büyük ölçekli saldırıların maliyeti fahiş hale gelir. Bu, hedefli saldırıların başarılı olmayacağı veya kar amacı gütmeyen gelişmiş kalıcı tehditlerin (APT’ler) saldırılarının tamamen caydırılacağı anlamına gelmese de, bu saldırı vektörüne yönelik toplu saldırıları olanaksız hale getirerek herkesi biraz daha güvenli hale getiriyor.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link