Bu haftanın başında ServiceNow destek sitesinde duyuruldu platformdaki yanlış yapılandırmaların hassas verilere “istenmeyen erişime” yol açabileceği. ServiceNow kullanan kuruluşlar için bu güvenlik açığı, hassas kurumsal verilerden büyük miktarda veri sızıntısına yol açabilecek kritik bir sorundur. ServiceNow o zamandan beri bu sorunu çözmek için adımlar attı.
Bu makale sorunu tam olarak analiz ediyor, bu kritik uygulama yanlış yapılandırmasının neden işletmeler için ciddi sonuçlara yol açabileceğini ve ServiceNow düzeltmesi olmasa şirketlerin atacağı iyileştirme adımlarını açıklıyor. (Ancak düzeltmenin kuruluşun risklerini kapattığını tekrar kontrol etmeniz önerilir.)
Kısaca
ServiceNow, BT hizmet yönetimini, BT operasyon yönetimini ve müşteri hizmetleri için BT iş yönetiminin yanı sıra İK, güvenlik operasyonları ve çok çeşitli ek alanları otomatikleştirmek için kullanılan bulut tabanlı bir platformdur. Bu SaaS uygulaması, altyapı yapısı, geliştirme platformu olarak genişletilebilirliği ve kuruluş genelinde gizli ve özel verilere erişim nedeniyle iş açısından kritik öneme sahip en önemli uygulamalardan biri olarak kabul edilmektedir.
Basit Liste, tablolarda depolanan verileri çeken ve bunları kontrol panellerinde kullanan bir arayüz widget’ıdır. Basit Liste için varsayılan yapılandırma, tablolardaki verilere kimliği doğrulanmamış kullanıcılar tarafından uzaktan erişilmesine olanak tanır. Bu tablolar, BT bildirimlerinin içeriği, dahili sınıflandırılmış bilgi tabanları, çalışan ayrıntıları ve daha fazlası dahil olmak üzere hassas verileri içerir.
Bu yanlış yapılandırmalar aslında 2015 yılında Erişim Kontrol Listelerinin kullanıma sunulmasından bu yana mevcut. Sonuç olarak bugüne kadar herhangi bir olay rapor edilmedi. Ancak veri sızıntısı araştırmasının yakın zamanda yayımlandığı göz önüne alındığında, bunun çözümsüz bırakılması, şirketlerin her zamankinden daha fazla açığa çıkmasına neden olabilir.
Bu açığa çıkma yalnızca bir varsayılan yapılandırmanın sonucuydu; erişim kontrolü, veri sızıntısı, kötü amaçlı yazılımlara karşı koruma ve daha fazlasını kapsayan, güvenliği sağlanması ve bakımı yapılması gereken yüzlerce yapılandırma vardır. Adaptive Shield gibi bir SSPM (SaaS Güvenlik Duruşu Yönetimi çözümü) kullanan kuruluşlar, riskli yanlış yapılandırmaları daha kolay tespit edebilir ve bunların uyumlu olup olmadığını görebilir (aşağıdaki resim 1’e bakın).
ServiceNow Yanlış Yapılandırmalarının İçinde
Bu sorunun ServiceNow kodundaki bir güvenlik açığından değil, platformda bulunan bir yapılandırmadan kaynaklandığını tekrar vurgulamak önemlidir.
Bu sorun, kayıtları kolayca okunabilir tablolara yerleştiren Basit Liste adı verilen ServiceNow Erişim Denetim Listesi (ACL) widget’ındaki güvenlik denetimlerinden kaynaklanmaktadır. Bu tablolar, birden çok kaynaktan gelen bilgileri düzenler ve varsayılan olarak Genel Erişim ayarına sahip yapılandırmalara sahiptir.
Bu tablolar ServiceNow’un temelini oluşturduğundan sorun, düzeltilebilecek tek bir ayarda yer almıyordu. Kullanıcı arayüzü widget’ının kullanımıyla birlikte uygulama içindeki birden fazla konumda ve tüm kiracılarda düzeltilmesi gerekiyordu. Sorunu daha da karmaşık hale getiren şey, tek bir ayarın değiştirilmesinin Basit Liste tablolarına bağlı mevcut iş akışlarını bozarak mevcut süreçlerde ciddi kesintilere neden olabilmesiydi.
Düzeltme Adımları
ServiceNow tarafından bilgi bankası makalesinde yayınlandı – Genel Bilgi | Potansiyel Genel Liste Widget’ının Yanlış YapılandırmasıMaruz kalma değerlendirmesi ve iyileştirme önlemleri şunları içerir:
- Tamamen boş olan veya alternatif olarak “Genel” rolünü içeren Erişim Kontrol Listelerini (ACL’ler) inceleyin
- Genel widget’ları inceleyin ve kullanım durumlarıyla uyumlu olmadığı durumlarda “Genel” bayrağını false olarak ayarlayın
- IP Adresi Erişim Kontrolü veya Uyarlanabilir Kimlik Doğrulama gibi ServiceNow tarafından sunulan yerleşik kontrolleri kullanarak daha sıkı erişim kontrolü önlemleri kullanmayı düşünün
- ServiceNow’u yüklemeyi düşünün Açık Roller Eklentisi. ServiceNow, eklentinin harici kullanıcıların dahili verilere erişmesini engellediğini ve bu eklentiyi kullanan örneklerin bu sorundan etkilenmediğini belirtiyor (eklenti, her ACL’nin en az bir rol gereksinimi beyan etmesini sağlar)
Önerilen bu iyileştirme adımları, kuruluş genelinde en üst düzeyde güvenliği sağlamak için iki kez kontrol edilmeye değer olduğundan, saldırıya maruz kalan kuruluşlar için (düzeltme sonrasında bile) hâlâ kullanılabilir.
ServiceNow Güvenliğinizi otomatikleştirme hakkında daha fazla bilgi edinin
ServiceNow için Veri Sızıntısını Önlemeyi Otomatikleştirin
Adaptive Shield gibi bir SaaS Güvenlik Duruş Yönetimi (SSPM) çözümü kullanan kuruluşlar, ServiceNow’un ve diğer herhangi bir SaaS uygulamasının yapılandırmalarına ilişkin görünürlük kazanabilir ve tüm yapılandırma sorunlarını çözebilir.
 |
| Resim 1: Uyumluluk çerçevesine sahip Uyarlanabilir Kalkan kontrol paneli: ServiceNow KB1553688 – Genel Liste Widget’ının Yanlış Yapılandırması |
SSPM’ler, yüksek riskli yapılandırmalar olduğunda güvenlik ekiplerini uyararak ayarlarını yapmalarına ve her türlü veri sızıntısını önlemelerine olanak tanır. Bu şekilde şirketler, SSPM ile şirketlerinin saldırı yüzeyini, risk düzeyini ve güvenlik durumunu daha iyi anlayabilirler.
