Ocak ayının başlarında, geliştirme hattı hizmet sağlayıcısı CircleCI, kullanıcıları bir güvenlik ihlali konusunda uyardı ve şirketleri platformda depolanan veya platform tarafından yönetilen parolaları, SSH anahtarlarını ve diğer sırları derhal değiştirmeye çağırdı.
DevOps hizmetine yapılan saldırı, şirketin ihlalin kapsamını belirleme, saldırganların yazılım projelerini değiştirme yeteneğini sınırlama ve hangi geliştirme sırlarının ele geçirildiğini belirleme çabasına girmesine neden oldu. Aradan geçen günlerde şirket, kimlik doğrulama belirteçlerini değiştirdi, yapılandırma değişkenlerini değiştirdi, anahtarların geçerliliğini yitirmesi için diğer sağlayıcılarla birlikte çalıştı ve olayı araştırmaya devam etti.
Şirket, “Bu noktada, sistemlerimizde etkin olan yetkisiz aktörlerin bulunmadığından eminiz; ancak, büyük bir ihtiyat gereği, tüm müşterilerimizin de verilerinizi korumak için belirli önleyici tedbirler almasını sağlamak istiyoruz” dedi. Geçen hafta bir danışma belgesinde belirtilen.
CircleCI uzlaşması, saldırganların temel kurumsal hizmetlere giderek daha fazla odaklandığının altını çizen en son olaydır. Okta ve LastPass gibi kimlik hizmetleri, geçtiğimiz yıl sistemlerinde güvenlik açıklarını ifşa ederken, Slack ve GitHub gibi geliştirici odaklı hizmetler de kaynak kodlarına ve altyapılarına yönelik başarılı saldırılara yanıt vermek için hızlandı.
Bulut güvenlik firması F5’te seçkin bir mühendis ve evangelist olan Lori MacVittie, temel kurumsal araçlara yapılan saldırı bolluğunun, şirketlerin bu tür sağlayıcıların gelecekte düzenli hedefler haline gelmesini beklemesi gerektiği gerçeğini vurguladığını söylüyor.
“Geliştirme derlemesinden test etmeye ve devreye almaya kadar her şeyi otomatikleştirmek için hizmetlere ve yazılımlara daha fazla güvendiğimiz için, bu hizmetler çekici bir saldırı yüzeyi haline geliyor” diyor. “Onları saldırganların odaklanacağı uygulamalar olarak düşünmüyoruz ama öyleler.”
Siber Saldırı Altında Kimlik ve Geliştirici Hizmetleri
Saldırganlar son zamanlarda iki ana hizmet kategorisine odaklandı: kimlik ve erişim yönetimi sistemleri ile geliştirici ve uygulama altyapısı. Her iki hizmet türü de kurumsal altyapının kritik yönlerinin temelini oluşturur.
Bir tespit ve yanıt firması olan NetWitness’ın saha CTO’su Ben Smith, kimliğin bir organizasyonun her bölümünü birbirine bağlayan ve aynı zamanda bu organizasyonu ortaklara ve müşterilere bağlayan yapıştırıcı olduğunu söylüyor.
“Hangi ürünü, hangi platformu kullandığınız önemli değil… Rakipler, kimlik doğrulama konusunda uzmanlaşmış bir kuruluştan daha iyi olan tek şeyin, diğer müşteriler için kimlik doğrulama konusunda uzmanlaşmış bir kuruluş olduğunu anladılar” diyor.
Bu arada geliştirici hizmetleri ve araçları, sıklıkla saldırıya uğrayan başka bir kurumsal hizmet haline geldi. Eylül ayında, bir tehdit aktörü Rockstar Games’teki geliştiriciler için Slack kanalına erişim sağladı; örneğin yaklaşan Grand Theft Auto 6 oyunundan videolar, ekran görüntüleri ve kod indirdi. Ve 9 Ocak’ta, Slack keşfettiğini söyledi “Sınırlı sayıda Slack çalışan belirteci çalındı ve harici olarak barındırılan GitHub depomuza erişim sağlamak için kötüye kullanıldı.”
NetWitness’tan Smith, kimlik ve geliştirici hizmetleri genellikle uygulama hizmetlerinden işlemlere ve kaynak koduna kadar çok çeşitli kurumsal varlıklara erişim sağladığından, bu hizmetlerden ödün vermenin şirketin geri kalanı için bir iskelet anahtarı olabileceğini söylüyor.
“Düşük asılı meyveleri temsil eden çok çok çekici hedeflerdir” diyor. “Bunlar klasik tedarik zinciri saldırıları – bir tesisat saldırısı, çünkü tesisat günlük olarak görülebilen bir şey değil.”
Siber Savunma için Sırları Akıllıca Yönetin ve Oyun Kitapları Oluşturun
Bishop Fox’ta yönetici kıdemli danışman olan Ben Lincoln, kuruluşların en kötüsüne hazırlanmaları ve bu tür geniş kapsamlı, etkili olayların etkisini önlemenin basit bir yolu olmadığını kabul etmeleri gerektiğini söylüyor.
“Buna karşı korunmanın yolları var, ancak bunların bazı ek yükleri var” diyor. “Böylece, geliştiricilerin gerekli oldukları ortaya çıkana kadar bunları uygulamakta isteksiz olduklarını görebiliyorum.”
Savunma taktikleri arasında Lincoln, sırların kapsamlı bir şekilde yönetilmesini önerir. Şirketler “bir düğmeye basabilmeli” ve gerekli tüm parola, anahtarlar ve hassas yapılandırma dosyalarını döndürebilmelidir, diyor.
“Teşhiri sınırlamanız gerekiyor, ancak bir ihlal varsa, umarız tüm bu kimlik bilgilerini hemen döndürmek için bir düğmeye basarsınız” diyor. “Şirketler önceden kapsamlı bir planlama yapmalı ve en kötü şey olursa gitmeye hazır bir sürece sahip olmalıdır.”
Kuruluşlar ayrıca saldırganlar için tuzaklar kurabilir. Çeşitli bal küpü benzeri stratejiler, güvenlik ekiplerinin saldırganların kendi ağlarında veya bir hizmette olabileceğine dair yüksek doğrulukta bir uyarı almasına olanak tanır. Kimlik bilgisi kanaryaları adı verilen sahte hesaplar ve kimlik bilgileri oluşturmak, tehdit aktörlerinin hassas varlıklara erişimi olduğunu tespit etmeye yardımcı olabilir.
Ancak MacVittie’ye göre şirketlerin saldırı yüzey alanlarını (yalnızca makineler, yazılımlar ve hizmetler değil, aynı zamanda operasyonlar) da azaltmak için diğer tüm yollardan sıfır güven ilkelerini uygulamaları gerekiyor.
“Geleneksel olarak, operasyonlar büyük bir hendeğin arkasında gizli ve güvenliydi. [in the enterprise]bu nedenle şirketler onlara pek aldırış etmedi” diyor. “Günümüzde uygulamaların ve dijital hizmetlerin yapılandırılma biçimi, operasyonlar çok sayıda uygulamadan uygulamaya, makineden uygulamaya kimlik içeriyor ve saldırganlar, bu kimliklerin değerli olduğunu anlamak için.”