Bir analize göre, Google Cloud Platform (GCP) gibi büyük bulut platformları, uzlaşma sonrası müdahale sırasında güvenlik ihlallerinin tespitini ve adli analizleri kolaylaştırabilecek olay verilerini yeterince günlüğe kaydetmiyor.
Bulut güvenliği firması Mitiga, 1 Mart’ta yayınlanan bir danışma belgesinde, Google Cloud Platform’un müşterilerin depolama erişim günlüklerini etkinleştirmesine izin verdiğini, ancak meşru bir kullanıcının kimliğini başarılı bir şekilde tehlikeye atan bir saldırganla karşı karşıya kalındığında, günlüklerin yeterli ayrıntı sağlayamadığını ve adli görünürlük oluşturduğunu belirtti. boşluklar.
Danışmanlık belgesine göre, güvenlik sorunları arasında, sızmayla ilgili kritik eylemler için özel günlük bilgilerinin oluşturulamaması, verilerdeki değişiklikler hakkında ayrıntılı bilgilerin toplanamaması ve ne olduğuna dair bir resim verecek genel bir görünürlük eksikliği yer alıyor.
Mitiga’da bir olay müdahale araştırmacısı ve danışma belgesinin yazarı Veronica Marinov, örneğin, çeşitli olayların tek bir erişim türü altında (bir dosyayı okumak veya veri indirmek gibi) dahil edilmesinin analistleri gerçekte ne olduğu konusunda belirsiz bıraktığını söylüyor. .
“Google Cloud depolama günlük kaydında ayrıntılı günlük olayları eksik” diyor. “Paket nesneleri ile etkileşim söz konusu olduğunda, nesneyi indirme, içeriğini görüntüleme ve yalnızca söz konusu nesnenin meta verilerine bakma arasında gerçekten bir ayrım yapamazsınız.”
Şirketler altyapılarını ve operasyonlarını buluta taşırken saldırganlar da onları takip etti. Örneğin şirket, bu hafta başlarında yayınlanan bir rapora göre, hassas verileri başarılı bir şekilde çalmak için bir bulut ortamı içinde yanal olarak hareket eden, yalnızca katı izinlerle durdurulmak üzere fırsatçı bir saldırganla karşı karşıya kaldı.
İçinde en son yıllık “Küresel Tehdit Raporu”Siber güvenlik hizmetleri şirketi CrowdStrike, bulut istismar olaylarının 2022’de bir önceki yıla göre %95 arttığını, şirketin “çeşitli taktikler, teknikler ve prosedürler” kullananlar olarak tanımladığı bulut bilincine sahip tehdit aktörlerinin ( TTP’ler) bulut ortamlarından yararlanmak için” — neredeyse üç katına çıktı. CrowdStrike istihbarat başkanı Adam Meyers, bulut odaklı saldırılardaki artışın, şirketlerin görünürlüğe odaklanması ve bulut ortamlarında yapılan değişiklikleri gerçekten anlaması gerektiği anlamına geldiğini söylüyor.
“Yıllardır bulut tehditleri endişe vericiydi, ancak oldukça düşük teknolojiydi ve genellikle bir kripto madencinin konuşlandırılmasıyla sonuçlandı” diyor. “Bulut artık açıkça tehdit aktörlerinin görüş alanında.”
Günlükler Daha Fazla Ayrıntı Gerektirir
Bir güvenlik ihlali sırasında ne olduğunu anlamanın anahtarı, bulut hizmetlerinde olayların ayrıntılı olarak günlüğe kaydedilmesi yoluyla yeterli görünürlüğe sahip olmaktır. Adli tıp müfettişleri, ne olduğunu, hangi verilerin risk altında olabileceğini ve hangi tehdit aktörlerinin başardığını belirlemek için günlüklere güvenir. Danışma belgesinde belirtilen Mitiga.
Saldırganlar genellikle bulut hizmetlerinden ödün vermenin bir parçası olarak günlüğe kaydetmeyi kapatsa da, bilgili bir saldırgan da bunu atlayabilir ve Google Cloud Platform günlük dosyalarında çok az ayrıntının açığa çıkmasına neden olan bir saldırı zinciri oluşturabilir, dedi Mitiga.
Mitiga, danışma belgesinde “Maalesef GCP, depolama günlüklerinde herhangi bir etkili adli soruşturmaya izin vermek için gereken görünürlük düzeyini sağlamıyor ve bu da kuruluşları potansiyel veri hırsızlığı saldırılarına karşı kör ediyor.” “Hangi verilerin çalındığını veya çalınıp çalınmadığını doğru bir şekilde değerlendirme şansları olmadığı için bu, kuruluşların olaylara verimli bir şekilde yanıt vermesini engelliyor.”
Google Cloud, platformunun güvenliğini etkilemek için görünürlük eksikliğini dikkate almadığını vurgularken sorunları kabul etti. Şirket, veri sızması riskinin olmadığını, sorunun bir güvenlik açığı olmadığını ve müşteri verilerinin güvende olduğunu ileri sürmüştür (tüm iddialar Mitiga tarafından da yapılmıştır). Ancak Google Cloud, adli tıp açığını daha fazla araştırmayı planlıyor.
Şirket, Dark Reading’e gönderdiği bir bildiride, “Adli günlükleri iyileştirmek müşterilerimiz tarafından gündeme getirilen bir sorun olmasa da, müşterilerin depolama alanlarına ilişkin içgörülerini iyileştirmenin yollarını sürekli olarak değerlendiriyoruz” dedi. “Blogda vurgulanan adli tıp boşluğu, incelediğimiz alanlardan biri.”
Google Cloud’un önerileri arasında, erişimi sınırlamak ve ek günlük etkinlikleri oluşturmak için VPC Hizmet Kontrollerini ve kuruluş kısıtlama başlıklarını açıp yapılandırmak yer alır.
Sadece Google Değil
Ayrıntılı günlüklere erişme yeteneği, bulut sağlayıcıları ve müşteriler arasındaki paylaşılan sorumluluk kompaktının bir parçasıdır. Buluttaki altyapılarının sorumluluğunu üstlenmek için kuruluşların faaliyete ilişkin ayrıntılı içgörüye sahip olması gerekir. Marinov, danışma belgesinde özellikle GCP’den bahsedilirken, diğer bulut sağlayıcılarının da benzer sorunları olduğunu söylüyor, isim vermiyor.
“Diğer bulut sağlayıcılarında, yalnızca günlükleri görerek gerçekten ne olduğunu anlayamadığımız durumlar gördük” diyor. “Bu tür belirli boşluklar konusunda satıcılarla iletişim halindeyiz. Yalnızca sorumlu ifşa sürecimizi tamamladıktan sonra ayrıntıları medyayla paylaşabiliyoruz.”
Örneğin, Amazon’un Basit Depolama Hizmeti (S3) bölümleri doğru düzeyde ayrıntı topluyor, danışma belgesinde şu ifadelere yer verildi: “Bu eksikliğin bulut hizmetlerine özgü olmadığını ve daha ayrıntılı bilgi sağlayarak kolayca giderilebileceğini belirtmek önemlidir. Olay türlerinin her birini kendi olay günlüğü adıyla ayıran AWS S3 erişim günlüklerinde bir örnek görülebilir.”
Mitiga, AWS’nin diğer hizmetlerinin şirketin adli tıp bilgilerindeki boşlukları araştırdığı hizmetler arasında olup olmadığını söylemedi.