Son zamanlarda, geniş açık verilerle dolup taşan yanlış yapılandırılmış bulut depolama kovalarından bir dizi ev ismi sorumluydu – bir kez daha, görünüşte hiçbir fişi olmayan bir siber güvenlik sorununa ışık tutuyor.
Daha geçen hafta, güvenlik araştırmacısı Anurag Sen, bir Amazon sunucusunun Amazon Prime üyelerinin izleme alışkanlıklarına ilişkin verileri ifşa etti. Aynı dönemde, haber ve medya holdingi Thomson Reuters, yanlış yapılandırılmış üç sunucunun halka açık ElasticSearch veritabanları aracılığıyla 3 TB veriyi açığa çıkardığını kabul etti. sorunları ortaya çıkaran Cybernews’e göre.
Ekim ayının ortalarında Microsoft, adlar, e-posta adresleri, e-posta içeriği ve telefon numaraları gibi müşteri verilerini açığa çıkarabilecek yanlış yapılandırılmış bir bulut uç noktasını açık bıraktığını kabul etti.
Microsoft, “Sorun, Microsoft ekosisteminde kullanılmayan ve bir güvenlik açığının sonucu olmayan bir uç noktada kasıtsız bir yanlış yapılandırmadan kaynaklandı” dedi. yanlış yapılandırılmış sunucudaki ifadesi. “Bu tür yanlış yapılandırmayı daha da önlemek için süreçlerimizi iyileştirmek ve tüm Microsoft uç noktalarının güvenliğini araştırmak ve sağlamak için ek durum tespiti yapmak için çalışıyoruz.”
Ve gerçekten de, sızıntılara herhangi bir hatadan ziyade çeşitli yanlış yapılandırmalar neden oluyor – güvenli olmayan okuma ve yazma izinlerinden uygunsuz erişim listelerine ve yanlış yapılandırılmış politikalara kadar – hepsi tehdit aktörlerinin erişmesine, kopyalamasına ve muhtemelen hassas bilgileri değiştirmesine izin verebilir. Erişilebilir veri depolarından gelen veriler.
“Bu tür bir sızıntıyla ilgili temel endişe, yüksek etkidir ve bu nedenle tehdit aktörleri yanlış yapılandırılmış depolamanın peşinden giderler. [servers] ve kovalar,” diyor Microsoft sorununu keşfeden siber güvenlik firması SOCRadar’ın CISO’su Ensar Şeker. [the accessible data]paket … bir kiracı için çok büyük miktarda hassas veri içerebilir [or] çok sayıda kiracı.”
Yanlış yapılandırılmış depolamanın güvenlik etkisi yeni bir sorun değil. Sorun, popüler Açık Web Uygulamaları Güvenlik Projesi (OWASP) İlk 10 güvenlik listesinde yer alan ilk 10 güvenlik sorunu arasında düzenli olarak yer almaktadır. 2021 yılında Güvenlik Yanlış Yapılandırması 5 Numaralı Sırada Yer AldıVerizon Business tarafından yayınlanan yıllık “Veri İhlali Araştırmaları Raporu”, yanlış yapılandırılmış bulut depolamanın büyük etkisine de dikkat çekiyor: İnsan hataları, 2021’deki tüm ihlallerin %13’ünü oluşturuyordu ve raporda, yanlış yapılandırmaya dikkat çekildi. sonucu “ağır şekilde etkiledi”
Hileli Sunucular: Gizli Bir Bulut Güvenliği Sorunu
Venafi’ye göre, kuruluşların %81’i son 12 ayda bulut hizmetleriyle ilgili bir güvenlik olayı yaşadı ve neredeyse yarısı (%45) en az dört olay yaşadı. Venafi’de bulutta yerel çözümler kıdemli direktörü Sitaram Iyer, bulut tabanlı ve hibrit altyapının karmaşıklığındaki artışın ve bu altyapıya ilişkin görünürlük eksikliğinin olayların artmasına neden olduğunu söylüyor.
“Evet, yanlış yapılandırılmış bulut depolama, veri sızıntılarının başlıca nedenlerinden biridir – bunun bir trend olduğuna inanıyorum” diyor. “Bu eğilimdeki artış, çoğunlukla erişim kontrolleriyle ilgili yanlış yapılandırmadan kaynaklanmaktadır: Bulut depolamaya yalnızca yetkili kullanıcıların erişimine izin verilmesi gerekirken, yapılandırmadaki basit bir hata genellikle [any] erişim elde etmek için kimliği doğrulanmış kullanıcılar.”
Yine de, genellikle yanlış yapılandırma orijinal günah değildir – bunun yerine, bir çalışan veya geliştirici, bilgi teknolojisi departmanı tarafından bilinmeyen ve dolayısıyla şirket tarafından yönetilmeyen bir “gölge” sunucu, bir kap veya depolama paketi dağıtacaktır. Bir bulut veri güvenliği platformu olan Laminar’ın CEO’su ve kurucu ortağı Amit Shaked, klonlanmış veritabanları test ortamlarında, yönetilmeyen yedeklemelerde ve veri analizi boru hatlarında depolanan “gölge” verilerinin ana tehdit olduğunu söylüyor.
“Bilinmediği için, maruz kalma için ekstra risk altında, bu da onu düşmanlar için popüler bir hedef haline getiriyor” diyor.
Daha İyi DevOps Otomasyonu Yardımcı Olabilir
Şirketler, bir veri deposunun veya depolama paketinin ne zaman genel internete maruz kaldığını tespit etmek için bulut varlıklarını düzenli olarak izlemelidir. Ayrıca, yazılım tedarik zinciri için bir güvenlik hizmetleri üreticisi olan Snyk’in verilerine göre, bulut depolamayı dağıtırken, kod olarak altyapı (IaC) yapılandırma dosyalarının kullanılması yalnızca dağıtımları otomatikleştirmekle kalmaz, aynı zamanda hataların ortadan kaldırılmasına da yardımcı olur.
Firmaya göre, IaC’yi benimsemek, bulut yanlış yapılandırmalarını %70 oranında azaltır.
Manoj, “IaC kullanılmadığında veya çalışma zamanı yanlış yapılandırmaları, bir ortamı oluşturmak ve yönetmek için kullanılan IaC şablonlarına bağlanamadığında, aynı güvenlik açığının düzeltmeden sonra tekrar tekrar ortaya çıkması yaygın bir durumdur.” Snyk’in baş ürün sorumlusu Nair, Dark Reading’e gönderilen bir açıklamada söyledi.
Sorunun bir kısmı, bulut sağlayıcıları ve ticari müşteriler arasındaki sorumlulukların bölünmesi olmaya devam ediyor. Bulut varlıklarını yapılandırma sorumluluğu müşteriye ait olsa da, Venafi’den Iyer, bulut hizmetinin bir bulut varlığını doğru şekilde yapılandırmayı mümkün olduğunca kolaylaştırması gerektiğini söylüyor.
“Verilerin her yönü için en az ayrıcalık ilkesi benimsenmelidir” diyor. “Gerektiğinde verilere erişim, onu belirli bir kullanıcı veya hizmet hesabına bağlayan uygun kontroller ve yetkilendirme politikaları ile sağlanmalı ve erişim ve bildirimlerin uygun şekilde günlüğe kaydedilmesi uygulanmalıdır.”
Dark Reading’e gönderilen bir açıklamada, bir Amazon sözcüsü Prime Video vakası hakkında şunları söyledi: “Bir Prime Video analiz sunucusunda bir dağıtım hatası oluştu. Bu sorun çözüldü ve hiçbir hesap bilgisi (oturum açma veya ödeme ayrıntıları dahil) açığa çıkmadı. “