Bulut ihlalleri kaçınılmazdır.
İçinde yaşadığımız gerçek bu. Son birkaç yıl, güvenlik kuruluşları ne kadar devreye girerse koysun, ihlallerin gerçekleştiğini gösterdi. Tek bir hatanın veya güvenlik açığının bir uzlaşmaya yol açabileceği kuruluşların artan karmaşıklığı, saldırganların artan motivasyonu, karmaşıklığı ve adanmışlığı ile birleştiğinde, ihlallerin kalıcı olduğu anlamına gelir. Aynı zamanda örgütler, buluta geçişsaldırganların bulut ortamlarına yönelik saldırılarını hızla artırmak için odağı değiştirmesini sağlar.
Bu şu anlama gelirken bulut ihlalleri kaçınılmazdır, bu onlar hakkında hiçbir şey yapamayacağımız anlamına gelmez. Kuruluşlar, bulut saldırılarını daha iyi anlayarak bunlara daha iyi hazırlanabilir. Ardından, umarız, saldırıları kontrol altına alabilir ve daha hızlı yanıt verebilir, etkilerini azaltabilir ve bir krizi önleyebilirler.
Bu iki bölümden oluşan dizi, günümüzün tehdit ortamında kuruluşların bulut saldırılarına yanıt vermelerinin pratik yollarını ortaya çıkaran, araştıran ve içgörüleri paylaşan gerçek dünya saldırılarını keşfedecek.
SaaS Marketplace Hack, Büyük İhlallere Yol Açıyor
Son birkaç yılda, hizmet olarak yazılım (SaaS) platformları, geleneksel kurumsal uygulamaların yerini alarak kuruluşların bunları benimsemesini ve yönetmesini kolaylaştırıyor. Değerin bir parçası Bu tür platformlar, hızlı bir şekilde entegre olma ve genişleme yeteneği sağlar., daha fazla işlevsellik için kullanıcıların sürekli artan taleplerini destekler. Platformlarını daha da geliştiren SaaS satıcıları, üçüncü taraf sağlayıcıların kullanıcıları için işlevsellik ve entegrasyon eklemesine olanak tanıyan bir pazar yeri yaratıyor. Bununla birlikte, bu pazar yerleri, aşağıdaki senaryoda görülebileceği gibi, önemli bir üçüncü taraf riski doğurabilir.
Bir şirket GitHub tarafından potansiyel bir risk konusunda bilgilendirildikten sonra, GitHub herhangi bir özel yetkisiz erişim göstergesi sağlamadı. Bunun yerine GitHub yalnızca genel bir bildirim sağladı: DeepSourceşirketin daha önce pazarda kullandığı uygulamalardan biri, ihlal edildi, kuruluşun etkilenip etkilenmediğini anlamayı zorlaştırıyor. Şirket tarafından GitHub günlüklerinin ilk incelemesi, DeepSource tarafından koduna herhangi bir erişim göremediği için yardımcı olmadı.
Bunun nedeni oldukça basitti – ve kaç SaaS pazaryerinin faaliyet gösterdiğinin merkezinde yer alıyor. İhlalden birkaç ay önce, şirketin geliştiricilerinden biri DeepSource uygulamasını denedi, burada geliştirici DeepSource’a kullanıcı adı altındaki koda erişim izni verdi. Saldırganlar, tüm kod deposunu indirmek için DeepSource’un erişimini kullandıklarında, günlüklerde görünen şey, meşru bir kullanıcı adı altında bir çekme isteğiydi. Kötü amaçlı olduğunun tek göstergesi, sonunda bilinen diğer saldırılara bağlanan düzensiz bir IP adresinin tanımlanmasıydı.
Bu noktada, tüm kod deposunun çalındığı ve ihlali kontrol altına almak ve kurtarmak için eksiksiz bir yanıta ihtiyaç olduğu ortaya çıktı. Çoğu kod sızıntısı vakasında olduğu gibi, acil endişe koddaki sırlara (şifreler/anahtarlar) erişimdi. Kodda sabit kodlanmış sırlara sahip olmak genellikle kötü bir uygulama olsa da, birçok kişi tarafından hala yaygın bir uygulamadır – ve bu durum farklı değildi. Koddaki ilgili sırları belirleyerek, saldırganların sonraki adımları – beklendiği gibi, bazı bilgilere erişmeye başladı. Amazon Web Servisleri (AWS) altyapısı – tahmin edildi. Şirket, bunları hızlı bir şekilde belirleyerek ilgili tüm kaynaklara erişimi engelleyebildi, ihlali kontrol altına aldı ve daha fazla hasar veremeden önce toparlandı.
Sanal Makine Şablonuna Enjekte Edilen Cryptominer
Ya biri yapabilseydi mayın kripto para birimi başkasının pahasına? Bu fikir, bugün gördüğümüz birçok kripto madenciliği saldırısının kalbinde yer almaktadır. saldırganlar bulut kaynaklarını ele geçiriyorardından saldırıya uğramış kuruluş bunun için bulut hesaplama faturalarını öderken kripto para toplayan kripto madencileri çalıştırın.
Yakın tarihli bir olayda, bir şirket 18’de bilinmeyen dosyalar tespit etmişti. AWS EC2 bulutta çalıştırdıkları makineler. Dosyalara bakıldığında, devam eden sürecin kurbanı oldukları ortaya çıktı. TeamTNT Watchdog kripto madenciliği kampanyası Başlangıçta saldırganların bu kadar çok EC2 örneğine nasıl bulaştığı belli değildi, ancak soruşturma ilerledikçe, saldırganların tek tek makineleri hedef almak yerine Amazon Makine Görüntüsünü hedeflediği ortaya çıktı (BEN MİYİM) her makineyi oluşturmak için kullanılan şablon. Orijinal görüntünün oluşturulması sırasında, bir hizmetin yanlış yapılandırıldığı ve uzaktan erişime izin verildiği kısa bir süre oldu. TeamTNT, ağı taramak, tanımlamak ve madencileri hemen oraya yerleştirmek için otomatik araçlar kullandı ve ardından oluşturulan her yeni makineye kopyalandı.
Bu, başka bir yaygın saldırı modelini vurgular: Amazon pazarı aracılığıyla halka açık AMI’lere kripto madencileri yerleştirmek.
Bu vakaların gösterdiği gibi, bulut saldırıları kalıcıdır. Gözlemlemeye alışık olduğumuzdan farklılar, bu yüzden onların gelişine daha iyi hazırlanmanın zamanı geldi. Bulut fidye yazılımlarına ve bundan nasıl kaçınılacağına değineceğimiz ikinci bölüm için bizi izlemeye devam edin.
Bu makalenin ikinci bölümü, 1 Eylül Perşembe, 10 Doğu’da planlanıyor.
