Modern Çalışma ve Güvenlik Sorunları
Günümüzde modern çalışma ortamları, tek bir uygulamada değil, bir dizi e-posta, dosya, sohbet ve bunlar arasındaki verileri taşımaya yarayan bağlayıcılar içinde yaşamaktadır. Bu durum, Google Workspace ekipleri için Salesloft/Drift olayının ciddi bir şekilde hissedilmesine sebep oldu. Hiç kimse “Google’ı hacklemedi.” Saldırganlar güvenilir bir entegrasyonu istismar ederek istedikleri verilere ulaşmayı başardı.
Ağustos ayının başlarında, Salesforce kayıtlarına erişim sağlayan aynı tehdit aktörü, Drift Email tokenlerini çalarak belirli Google Workspace posta kutularına erişim sağlamayı başardı. Google, bu durumu 9 Ağustos’ta doğrulayarak tokenleri iptal etti ve entegrasyonu devre dışı bıraktı. Bu olay, yetkilendirilmiş erişimin nasıl mevcut güvenlik önlemlerini aşabileceğini açık bir şekilde gösterdi.
Uygulama Grafiği Saldırı Yüzeyi Olunca
Son birkaç yıldır kimlik doğrulama süreçlerini sıkılaştırıyor, çok faktörlü kimlik doğrulama güvenliğini artırıyor ve eski protokolleri iptal ediyorsanız, bu durum adil hissettirmeyebilir. Tüm bunları yapmanıza rağmen, yine de tamamen meşru bir token aracılığıyla kaybedebilirsiniz. Rahatsız edici bir gerçek ise saldırı yüzeyinin artık uygulama grafiği – OAuth yetkilendirmeleri ve API izinlerinin ağından oluştuğu gerçeğidir.
Güvenlik hikayesi, artık bir giriş isteğinin tetiklenip tetiklenmediğiyle ilgili değil. Entegrasyonun içeri girdiği anda neler yapmaya yetkili olduğuyla ilgilidir.
Salesloft/Drift Olayında Müşterilerin Hissettikleri
Olayın açıklanmasından sonraki günlerde, müşterilerle görüştük. Hava panik değil; ölçülü bir değerlendirmeydi. Tehdit araştırma ekibimiz, ihlalle ilgili göstergeleri (IOC) taramak için bir dizi tespit aracı geliştirdi. Ekipler, Drift’in bağlantılarını haritalandırdı, erişimleri azalttı ve anahtarları değiştirdi.
Material kullanıldığında, saldırganın bekleme süresi büyük ölçüde önemsiz hale gelir. Material’in Hesap Ele Geçirme Dayanıklılığı, hassas posta kutası verilerini saklayan verileri korur. Bu nedenle, token posta kutusuna erişim sağlasa da, en hassas verilere erişmek için hala insan müdahalesi gerekmektedir.
Bu, ihlal varsayımına dayalı bir zihniyetin pratikte uygulanmasıdır; birinin nihayetinde geçerli bir erişim elde edeceğini kabul edin ve hedefin varsayılan olarak okunamaz olmasını sağlayın.
Bu Bir Seferlik Olay Değil
Salesloft/Drift, daha geniş bir kalıba oturuyor. Son dönemlerde meydana gelen Salesforce ihlallerinin arkasındaki gruplar, uç noktalardaki açıkları hedef almıyor; tokenleri ve meşru erişimleri takip ediyor ve bunun sağladığı örtüden faydalanıyor.
Oyun kitabı basit ve ölçeklenebilir: geçerli tokenleri kullan, yüksek hacimli sorgular yap ve verileri alarak çekip git. Aynı dönemde, saldırganların bulut sırlarını bulmak için veri ihracı yapıldığına dair raporlar vardı.
Geçen yılın Snowflake dalgası, benzer hikaye ile farklı logolar sundu. Kimlik bilgileri ve tokenler endüstriyel çapta veri hırsızlığına dönüştü ve ardından aynı temizlik süreci başladı: e-posta ve dosyalardaki sırları avlamak, anahtarları döndürmek, tokenleri sıfırlamak ve uygulama erişimini yeniden temel almak.
Bu tür saldırılar yakında ortadan kalkmayacak. Farklı platformları etkileyecek olsa da, benzer dersler sunacak. Bulut ofisinin etrafında güvenliği sağlamak artık yeterli değil – ve dürüst olmak gerekirse, bir süredir yeterli değil. Bulut çalışma alanınızdaki e-postalar, dosyalar ve hesaplara giden pek çok yol var. Yaklaşımımız, tüm bulut ofisi ortamı boyunca sağlam tespit ve yanıtlama yeteneklerini içerecek şekilde evrim geçirmelidir.
Modern Bulut Çalışma Alanı Dayanıklılığı Neyi Gerektirir?
Peki, bu gerçeklikte Google Workspace için dayanıklı güvenlik nasıl görünmelidir? Vurgu değişimi ile başlar. Hala dış tehditleri önlüyoruz, ancak yalnızca önlem alma üzerine işimizi kurmaktan vazgeçiyoruz. İçeride kalma ve dayanıklılık için tasarım yapıyoruz.
Pratikte, Workspace’i kritik bir altyapı olarak ele almak anlamına gelir – kendi sinyalleri, arıza modları ve patlama yarıçapı olan bir ortam olarak ve bunu üç katmanda korumak: entegrasyonlar, kimlikler ve içerikler.
Entegrasyonlarda görünürlük ve kontrolün sağlanması gerekiyor. Gmail, Drive, Takvim ve Admin API’lerine erişimi olan her üçüncü parti uygulamayı envanterliyorsunuz. Gereksiz olanları kaldırıyorsunuz. Kalanların kapsamını sıkılaştırıyorsunuz. Yeni yüksek riskli yetkilendirmeleri, yeni yönetici hesaplarıymış gibi izliyorsunuz çünkü aslında öyle.
Drift gibi bir olay olduğunda, önce toplu olarak iptal etme ve döndürme işlemlerini yapıyorsunuz, daha sonra araştırıyorsunuz. Loglarınızda mükemmel bir kanıt bulmayı bekliyorsanız, zaten geç kaldınız. 9 Ağustos’taki platform yanıtı hızlıydı; iç yanıtınız da aynı şekilde olmalıdır.
Material Güvenliği ile Entegrasyon
Material, Google Workspace için tam olarak bu işletim gerçekliği için tasarlanmıştır; e-posta ve bulut ofis güvenliğine modern bir yaklaşım ile kurulmuştur. Hatta elinde geçerli tokenlerle bile Workspace’i daha zor istismar edilebilecek hale getiriyoruz.
En önemli içerikleri, mesaj düzeyinde çok faktörlü kimlik doğrulama, zamanında erişim ve riskli Drive paylaşımı üzerinde kolay kontrol ile koruyoruz. Böylece, tehlikeli bir entegrasyon en hassas mesajlarınıza ve dosyalarınıza açılan kapı olamaz.
Gmail, Drive ve Admin API’lerindeki gürültülü sinyalleri normalize ediyor ve bunları ekibinizin hızlı bir şekilde harekete geçebileceği eylemlere dönüştürüyoruz. OAuth yönetimini ise birinci sınıf bir yüzey olarak ele alıyoruz. Tehlikeli kapsamlar barındıran uygulamaları görür, bayat olanları otomatik olarak iptal eder ve bir sonraki satıcı token sorununu açıkladığında geniş bir şekilde yanıt verebilirsiniz.
