Mart ayının son haftasında, üç büyük teknoloji şirketi – Microsoft, Okta ve HubSpot – önemli veri ihlalleri bildirdi. LAPSUS$ olarak da bilinen DEV-0537, ilk ikisini gerçekleştirdi. Bu son derece sofistike grup, büyük başarı için son teknoloji saldırı vektörlerini kullanır. Bu arada, HubSpot ihlalinin arkasındaki grup açıklanmadı. Bu blog, kamuya açıklanmış bilgilere dayalı olarak üç ihlali gözden geçirecek ve bu tür saldırıların kuruluşunuza karşı başarılı olma riskini en aza indirmek için en iyi uygulamaları önerecektir.
HubSpot – Çalışan Erişimi
21 Mart 2022’de, HubSpot ihlali bildirdi Bu, 18 Mart’ta gerçekleşti. Kötü niyetli kişiler, çalışanın müşteri desteği için kullandığı bir HubSpot çalışan hesabını ele geçirdi. Bu, kötü niyetli aktörlerin, çalışanın birkaç HubSpot hesabına erişimini kullanarak iletişim verilerine erişmesine ve dışa aktarmasına izin verdi.
Bu ihlalle ilgili çok az bilgi ile bir saldırıya karşı savunma yapmak zordur, ancak HubSpot içindeki önemli bir yapılandırma yardımcı olabilir. Bu, HubSpot’un hesap ayarındaki “HubSpot Çalışan Erişimi” denetimidir (aşağıdaki şekilde gösterilmiştir). Müşteriler, özel bir yardıma ihtiyaç duymadıkça bu ayarı her zaman devre dışı bırakmalı ve ardından servis çağrısını tamamladıktan hemen sonra kapatmalıdır.
Benzer bir ayar diğer SaaS uygulamalarında görünür ve orada da devre dışı bırakılmalıdır. Çalışan erişimi tipik olarak, düzenli olarak gözden geçirilmesi gereken Denetim Günlüklerine kaydedilir.
Okta – Ayrıcalıklı Kullanıcı için Cihaz Güvenliği Eksikliği
Okta, müşteri desteğinin bir kısmını Sitel Grubuna taşeronluk yapmaktadır. 21 Ocak’ta bir Okta güvenlik ekibi üyesi, Sitel Grubu çalışan hesabına yeni bir konumdan yeni bir MFA faktörünün eklendiğine dair bir uyarı aldı.
Bir araştırma, bir Sitel destek mühendisinin bilgisayarının bir uzak masaüstü protokolü kullanılarak ele geçirildiğini ortaya çıkardı. Bu bilinen güvenlik açığı, özel olarak ihtiyaç duyulmadığı durumlar dışında normalde devre dışı bırakılır – bu, Okta araştırmacılarının saldırı için zaman aralığını 16-21 Ocak 2022 arasındaki beş günlük bir pencereye daraltmasına yardımcı oldu.
Mühendislerin sistemlerinde sahip oldukları sınırlı erişim desteği nedeniyle, Okta müşterileri üzerindeki etkisi minimum düzeydeydi. Destek mühendislerinin kullanıcı oluşturma veya silme veya müşteri veritabanlarını indirme erişimi yoktur. Müşteri verilerine erişimleri de oldukça sınırlıdır.
22 Mart’ta daha çok LAPSUS$ olarak bilinen DEV-0537, çevrimiçi olarak ekran görüntüleri paylaştı. Yanıt olarak, Okta bir bildiri yayınladı “Müşterilerimizin alması gereken herhangi bir düzeltici işlem yok” diyerek Ertesi gün şirket Soruşturmanın ayrıntılarını paylaştıayrıntılı bir yanıt zaman çizelgesi dahil.
Bu ihlal, verdiği zararla sınırlı olsa da, üç önemli güvenlik dersi sunuyor.
- Cihazdan SaaS’a Güvenlik – bir ihlale karşı koruma söz konusu olduğunda bir SaaS ortamının güvenliğini sağlamak yeterli değildir. Yüksek ayrıcalıklı kullanıcılar tarafından kullanılan cihazların güvenliğinin sağlanması büyük önem taşımaktadır. Kuruluşlar, yüksek ayrıcalıklı kullanıcılar listesini gözden geçirmeli ve cihazlarının güvenli olduğundan emin olmalıdır. Bu, Okta’nın karşılaştığı saldırı vektörü yoluyla bir ihlalin hasarını sınırlayabilir.
- MFA – Okta güvenliğinin ihlali keşfetmesine izin veren MFA’nın eklenmesiydi. SSO yeterince ileri gitmez ve SaaS güvenliğini ciddiye alan kuruluşların MFA güvenlik önlemlerini de içermesi gerekir.
- Olay izleme – Güvenlik personeli olay izleme günlüğünde beklenmedik bir değişiklik gördüğünde Okta ihlali keşfedildi. MFA’daki değişiklikler, parola sıfırlama, şüpheli oturum açmalar ve daha fazlası gibi olayları gözden geçirmek, SaaS güvenliği için kritik öneme sahiptir ve günlük olarak gerçekleştirilmelidir.
Görmek Cloudflare’nin Ocak 2022 Okta uzlaşmasıyla ilgili soruşturması böyle bir ihlale iyi bir yanıt örneği için.
Adaptive Shield’in nasıl uç nokta duruş yönetimi ve SaaS konfigürasyon kontrolü sağladığını öğrenin
Microsoft – Tüm ayrıcalıklı kullanıcılar için MFA
22 Mart’ta Microsoft Güvenlik paylaşılan bilgi DEV-0537’nin elinde uğradığı bir saldırıyla ilgili. Microsoft’un güvenliği ihlal edilmiş tek bir hesabı vardı ve bu da kaynak kodun çalınmasına ve yayınlanmasına neden oldu.
Microsoft, kullanıcılarına LAPSUS$ saldırısının bilgilerinin hiçbirini tehlikeye atmadığına dair güvence verdi ve ayrıca çalınan kod nedeniyle ürünlerinin hiçbirinde risk bulunmadığını belirtti.
Microsoft, LAPSUS$’ın kimlik bilgilerini paylaşmak için telekom, büyük yazılım geliştiriciler, çağrı merkezleri ve diğer sektörlerdeki çalışanları aktif olarak işe aldığı konusunda okuyucuları uyarmasına rağmen, ihlalin nasıl gerçekleştirildiğini özel olarak paylaşmadı.
Şirket, platformları bu saldırılara karşı güvence altına almak için de bu önerileri sundu.
- MFA uygulamasını güçlendirin – MFA boşlukları önemli bir saldırı vektörüdür. Kuruluşlar, Kimlik Doğrulayıcı veya FIDO belirteçleri gibi, SMS ve e-postayı mümkün olduğunca sınırlayan MFA seçeneklerine ihtiyaç duymalıdır.
- Sağlıklı ve güvenilir uç noktalar gerektir – Kuruluşlar, cihaz güvenliğini sürekli olarak değerlendirmelidir. Düşük güvenlik açığı risk puanına sahip güvenli cihaz yapılandırmalarını zorunlu kılarak SaaS platformlarına erişen cihazların güvenlik politikalarına uymasını sağlayın.
- VPN’ler için modern kimlik doğrulama seçeneklerinden yararlanın – VPN kimlik doğrulaması, OAuth veya SAML gibi modern kimlik doğrulama seçeneklerinden yararlanmalıdır.
- Bulut güvenlik duruşunuzu güçlendirin ve izleyin – Kuruluşlar, en azından, kullanıcılar ve oturum riski yapılandırmaları için koşullu erişim ayarlamalı, MFA gerektirmeli ve yüksek riskli oturum açmaları engellemelidir.
Microsoft’un önerilerinin tam listesi için bkz. Bugün nasılsın? Not.
Son düşünceler
SaaS platformlarının güvenliğini sağlamak büyük bir zorluktur ve bu hafta görüldüğü gibi, küresel işletmelerin bile güvenliklerinin üstünde kalması gerekiyor. Kötü niyetli aktörler saldırı yöntemlerini geliştirmeye ve iyileştirmeye devam ediyor, bu da kuruluşları sürekli tetikte olmaya ve SaaS güvenliğine öncelik vermeye zorluyor.
Güçlü parolalar ve SSO çözümleri artık tek başına yeterli değil. Şirketler, güçlü MFA, IP izin listeleri ve gereksiz destek mühendisi erişimini engelleme gibi gelişmiş güvenlik önlemlerine ihtiyaç duyar. SaaS Güvenlik Duruş Yönetimi (SSPM) gibi otomatik bir çözüm, güvenlik ekiplerinin bu sorunların üstesinden gelmesine yardımcı olabilir.
SaaS’ta cihaz güvenliğinin önemi, bu saldırılardan bir başka çıkarımdır. Ayrıcalıklı bir kullanıcı, güvenliği ihlal edilmiş bir cihazdan bir SaaS uygulamasına eriştiğinde, tamamen güvenli bir SaaS platformunun güvenliği bile tehlikeye girebilir. Tam, uçtan uca koruma için cihaz güvenlik duruşunu SaaS güvenlik duruşuyla birleştiren bir güvenlik çözümünden yararlanın.
SaaS çözümlerini güvence altına almanın zorluğu karmaşıktır ve manuel olarak tamamlanması külfetli olmanın da ötesindedir. Adaptive Shield gibi SSPM çözümleri şunları sağlayabilir: konfigürasyon kontrolü, uç nokta duruş yönetimi ve 3. taraf uygulama kontrolü ile otomatikleştirilmiş SaaS güvenlik duruş yönetimi.
Not — Bu makale, Adaptive Shield Kıdemli Ürün Analisti Hananel Livneh tarafından yazıldı ve katkıda bulunuldu.