Geçen hafta, kötü şöhretli hacker çetesi ShinyHunters’ın 560 milyon Ticketmaster kullanıcısından 1,3 terabaytlık veriyi yağmaladığı iddiası dünya çapında şok dalgaları yarattı. Fiyat etiketi 500.000 ABD doları olan bu devasa ihlal, canlı etkinlik şirketinin müşterilerinin büyük bir bölümünün kişisel bilgilerini açığa çıkarabilir ve bir endişe ve öfke fırtınasını ateşleyebilir.
Büyük bir veri ihlali
Gerçekleri gözden geçirelim. Live Nation, SEC’e yapılan 8-K başvurusuyla ihlali resmi olarak doğruladı. Göre belge 20 Mayıs’ta yayımlanan raporda şirket, öncelikle Ticketmaster yan kuruluşundan gelen “Şirket verilerini içeren üçüncü taraf bulut veritabanı ortamında yetkisiz faaliyet tespit etti”. Başvuruda Live Nation’ın bir soruşturma başlattığı ve kolluk kuvvetleriyle işbirliği yaptığı iddia ediliyor. Şu ana kadar şirket, ihlalin ticari operasyonları üzerinde önemli bir etkisi olacağına inanmıyor.
Aynı hacker grubunun Santander’e ait olduğu iddia edilen verileri de sunması dikkat çekici. İddialara göre çalınan veriler, milyonlarca Santander personeli ve müşterisine ait gizli bilgiler içeriyor. Banka, “üçüncü taraf bir sağlayıcı tarafından barındırılan bir veritabanına” erişildiğini doğruladı; bu durum Şili, İspanya ve Uruguay’daki müşterilerin yanı sıra tüm mevcut ve bazı eski Santander çalışanlarının veri sızıntılarına yol açtı.
Bulut bağlantısı
Bu iki ihlali birbirine bağlayan şey, kullanıcıları arasında hem Santander hem de Live Nation/Ticketmaster’ın da yer aldığı bulut veri şirketi Snowflake’tir. Ticketmaster, çalınan veritabanının Snowflake tarafından barındırıldığını doğruladı.
Snowflake CISA ile bir uyarı yayınladıBu, “bulut veri platformundaki müşteri hesaplarını hedef alan siber tehdit aktivitesinde son zamanlarda bir artış” olduğunu gösteriyor. Snowflake, kullanıcılara veritabanı günlüklerini olağandışı etkinliklere karşı sorgulamaları ve yetkisiz kullanıcı erişimini önlemek için daha fazla analiz yapmaları yönünde bir öneri yayınladı.
Ayrı bir bildiride Snowflake CISO’su Brad Jones, Snowflake sisteminin kendisinin ihlal edilmediğini açıkça belirtti. Jones’a göre “bu, tek faktörlü kimlik doğrulamayla kullanıcılara yönelik hedefli bir kampanya gibi görünüyor” ve tehdit aktörleri daha önce çeşitli yöntemlerle elde edilen kimlik bilgilerinden yararlandı.
Snowflake ayrıca tüm müşteriler için tüm hesaplarda çok faktörlü kimlik doğrulamanın (MFA) zorunlu kılınması, bulut ortamına yalnızca önceden ayarlanmış güvenilir konumlardan erişime izin verecek ağ politikası kurallarının ayarlanması ve Snowflake kimlik bilgilerinin sıfırlanması ve döndürülmesi gibi bazı öneriler de sıraladı.
Siber güvenliği basitleştirme
Siber güvenliği romantikleştirme eğilimindeyiz ve bu, BT alanında inanılmaz derecede zor ve karmaşık bir disiplindir. Ancak tüm siber güvenlik zorlukları eşit derecede zor değildir. Snowflake’in sunduğu rehberlik gerçekten şu noktaya vurgu yapıyor: MFA bir zorunluluktur. Aşağıdakiler de dahil olmak üzere çeşitli siber saldırılara karşı inanılmaz derecede etkili bir araçtır: kimlik bilgileri doldurma.
Bulut güvenlik şirketi Mitiga tarafından yapılan araştırma Snowflake olaylarının, bir tehdit aktörünün çalınan müşteri kimlik bilgilerini kullanarak Snowflake veritabanlarını kullanan kuruluşları hedef aldığı bir kampanyanın parçası olduğunu iddia ediyor. Yayınlanan araştırmaya göre “tehdit aktörü öncelikle iki faktörlü kimlik doğrulaması olmayan ortamlardan yararlandı” ve saldırılar genellikle ticari VPN IP’lerinden kaynaklanıyordu.
Politikalar ancak uygulanması ve icrası kadar etkilidir. Kurumsal tek oturum açma (SSO) ve MFA gibi teknolojiler mevcut olabilir ancak tüm ortamlarda ve kullanıcılarda gerçek anlamda uygulanmayabilir. Kullanıcıların herhangi bir kurumsal kaynağa ulaşmak için SSO dışında kullanıcı adı/şifre kullanarak kimlik doğrulaması yapma ihtimali olmamalıdır. Aynı şey MFA için de geçerlidir: Kendi kendine kayıt yerine, bulut ve üçüncü taraf hizmetleri de dahil olmak üzere tüm sistemlerdeki ve tüm ortamlardaki tüm kullanıcılar için zorunlu olmalıdır.
Tam kontrol sizde mi?
Bulut yok; yalnızca başka birinin bilgisayarı, eskilerin söylediği gibi. Siz (ve kuruluşunuz) bu bilgisayarın kaynaklarına çok fazla erişimden yararlanırken, sonuçta bu erişim hiçbir zaman tamamlanmaz; bu, bulut bilişimin doğasında olan bir sınırlamadır. Çok kiracılı bulut teknolojileri, tek bir müşterinin o “bilgisayarda” yapabileceklerini sınırlayarak ölçek ekonomisi elde eder ve bu bazen güvenliği uygulama yeteneğini de içerir.
Bunun bir örneği otomatik şifre rotasyonudur. One Identity Safeguard gibi modern ayrıcalıklı erişim yönetimi araçları, kullanımdan sonra şifreleri devre dışı bırakabilir. Bu, onları etkili bir şekilde tek kullanımlık hale getiriyor ve çevreyi kimlik bilgisi doldurma saldırılarına karşı ve aynı zamanda LastPass saldırısında kullanılan tuş kaydediciler gibi daha karmaşık tehditlere karşı da koruyor. Ancak bu özelliği sağlayan API’nin mevcut olması gerekmektedir. Snowflake, kullanıcı şifrelerini güncellemek için bir arayüz sağlıyor; dolayısıyla onu kullanmak ve şifreleri kullanıma dayalı veya zamana dayalı bir şekilde değiştirmek müşteriye düşüyordu.
İş açısından kritik verilerin nerede barındırılacağını seçerken platformun bu API’leri aracılığıyla sunduğundan emin olun. ayrıcalıklı kimlik yönetimi yeni ortamı kurumsal güvenlik şemsiyeniz altına almanızı sağlar. MFA, SSO, parola rotasyonu ve merkezi günlük kaydı, bu tehdit ortamında temel gereksinimler olmalıdır çünkü bu özellikler müşterinin verileri kendi tarafında korumasına olanak tanır.
İnsan olmayan kimlik
Modern teknolojinin benzersiz bir yönü, insan dışı kimlik. Örneğin, veritabanındaki bazı görevleri gerçekleştirmek için RPA (robotik süreç otomasyonu) araçlarına ve ayrıca hizmet hesaplarına güvenilir. Anlık bildirimler veya TOTP belirteçleri gibi bant dışı mekanizmalar hizmet hesabı kullanım durumları için uygun olmadığından, bu kimlikleri korumak ilginç bir zorluktur.
İnsan dışı hesaplar, genellikle görevlerini gerçekleştirmek için çok güçlü izinlere sahip olduklarından saldırganlar için değerli hedeflerdir. Kimlik bilgilerini korumak güvenlik ekipleri için her zaman bir öncelik olmalıdır. Snowflake, çözümü çalıştırmak için çok sayıda hizmet hesabı kullanıyor ve bir dizi blog yazısı geliştirdi Bu hesapların ve kimlik bilgilerinin nasıl korunacağı hakkında.
Her şey maliyetle ilgili
Siber suçluların son derece basit bir mantığı var: Toplu saldırıları otomatikleştirerek kârı en üst düzeye çıkarın ve basit ama etkili yöntemlerle büyük kurban havuzlarını hedef alın. Kimlik bilgisi doldurma saldırıları, Snowflake kiracılarına karşı kullanılan saldırı türü gibi, en ucuz saldırı yöntemlerinden biridir; e-posta spam’inin 2024’teki eşdeğeridir. Ve düşük maliyetine paralel olarak neredeyse %100 etkisiz olmalıdır. En az iki büyük kuruluşun önemli miktarda kritik veriyi kaybetmesi, küresel siber güvenliğin mevcut durumuyla ilgili kasvetli bir tablo çiziyor.
Çözüm
SSO, MFA ve şifre rotasyonu gibi basit kontrollerin uygulanmasıyla büyük ölçekli saldırıların maliyeti fahiş hale gelir. Bu, hedefli saldırıların başarılı olmayacağı veya kar amacı gütmeyen gelişmiş kalıcı tehditlerin (APT’ler) saldırılarının tamamen caydırılacağı anlamına gelmese de, bu saldırı vektörüne yönelik toplu saldırıları olanaksız hale getirerek herkesi biraz daha güvenli hale getiriyor.