Google Cloud, tehdit aktörlerinin bulut depolama alanından veri sızdırmasına izin verebilecek bazı ilgili güvenlik kusurlarına sahip olabilir. (yeni sekmede açılır) fark edilmeden platform.
Bulgular, genellikle saldırıları belirlemek ve tehdit aktörlerinin neler başardığını anlamak için kullanılan Google Cloud Platform (GCP) günlüklerinin vasatın altında olduğunu ve arzulanan çok şey bıraktığını bulan siber güvenlik araştırmacısı Mitiga’nın izniyle geldi.
Araştırmacılar, mevcut durumlarında “herhangi bir etkili adli soruşturmaya” izin verecek düzeyde görünürlük sağlamadıklarını belirterek, GCP kullanan kuruluşların potansiyel veri sızdırma saldırılarına karşı “kör” oldukları sonucuna vardılar.
Saldırılara karşı kör
Ancak Google, bulguları bir güvenlik açığı olarak sınıflandırmadı, bu nedenle herhangi bir yama yayınlanmadı – ancak kullanıcıların mevcut yapılandırmalarının risk getirdiğinden korktuklarında uygulayabilecekleri hafifletmelerin bir listesini yayınladı.
Sonuç olarak, işletmeler olaylara etkili bir şekilde yanıt veremez ve bir saldırıda hangi verilerin çalındığını tam olarak belirlemenin bir yolu yoktur.
Saldırgan genellikle bir Kimlik ve Erişim Yönetimi (IAM) varlığı üzerinde kontrol sahibi olur, ona gerekli izinleri verir ve onu hassas verileri kopyalamak için kullanır. Araştırmacılar, GCP’nin verilen izinlerle ilgili gerekli şeffaflığı sağlamadığından, işletmelerin veri erişimini ve olası veri hırsızlığını izlemekte gerçekten zorlanacağını belirtti.
Google, müşterilerine depolama erişim günlüklerini açma olanağı sunsa da, bu özellik varsayılan olarak kapalıdır. Bu özelliği etkinleştirerek, kuruluşlar saldırıları tespit etme ve bunlara yanıt verme konusunda daha iyi olabilir, ancak özelliğin kullanılması ekstra maliyetli olabilir. Araştırmacılar, açık olsa bile sistemin “yetersiz” olduğunu ve “adli görünürlük boşlukları” yarattığını ekleyerek, sistemin “çok çeşitli potansiyel dosya erişimi ve okuma etkinliklerini tek bir olay türü altında” gruplandırmayı seçtiğini söyledi. Nesne Al.’”
Bu bir problemdir çünkü aynı olay bir dosyayı okumak, indirmek ve hatta sadece dosyanın meta verilerini okumak için kullanılır.
Mitiga’nın bulgularına yanıt veren Google, Mitiga’nın geri bildirimlerini takdir ettiğini ancak bunu bir güvenlik açığı olarak görmediğini söyledi. Bunun yerine şirket, VPC Hizmet Kontrollerinin, kuruluş kısıtlama başlıklarının ve depolama kaynaklarına kısıtlı erişimin kullanımını içeren hafifletme önerileri sağladı.