Mart ayının son haftasında, üç büyük teknoloji şirketi – Microsoft, Okta ve HubSpot – önemli veri ihlalleri bildirdi. LAPSUS$ olarak da bilinen DEV-0537, ilk ikisini gerçekleştirdi. Bu son derece sofistike grup, büyük başarı için son teknoloji saldırı vektörlerini kullanır. Bu arada, HubSpot ihlalinin arkasındaki grup açıklanmadı. Bu blog, kamuya açıklanmış bilgilere dayalı olarak üç ihlali gözden geçirecek ve bu tür saldırıların kuruluşunuza karşı başarılı olma riskini en aza indirmek için en iyi uygulamaları önerecektir.
21 Mart 2022’de, HubSpot ihlali bildirdi Bu, 18 Mart’ta gerçekleşti. Kötü niyetli kişiler, çalışanın müşteri desteği için kullandığı bir HubSpot çalışan hesabını ele geçirdi. Bu, kötü niyetli aktörlerin, çalışanın birkaç HubSpot hesabına erişimini kullanarak iletişim verilerine erişmesine ve dışa aktarmasına izin verdi.
Bu ihlalle ilgili çok az bilgi ile bir saldırıya karşı savunma yapmak zordur, ancak HubSpot içindeki önemli bir yapılandırma yardımcı olabilir. Bu, HubSpot’un hesap ayarındaki “HubSpot Çalışan Erişimi” denetimidir (aşağıdaki şekilde gösterilmiştir). Müşteriler, özel bir yardıma ihtiyaç duymadıkça bu ayarı her zaman devre dışı bırakmalı ve ardından servis çağrısını tamamladıktan hemen sonra kapatmalıdır.
Benzer bir ayar diğer SaaS uygulamalarında görünür ve orada da devre dışı bırakılmalıdır. Çalışan erişimi tipik olarak, düzenli olarak gözden geçirilmesi gereken Denetim Günlüklerine kaydedilir.
Bir SSPM’nin kuruluşunuzu SaaS yanlış yapılandırmalarından korumaya nasıl yardımcı olabileceğini öğrenin
Okta, müşteri desteğinin bir kısmını Sitel Grubuna taşeronluk yapmaktadır. 21 Ocak’ta bir Okta güvenlik ekibi üyesi, Sitel Grubu çalışan hesabına yeni bir konumdan yeni bir MFA faktörünün eklendiğine dair bir uyarı aldı.
Bir araştırma, bir Sitel destek mühendisinin bilgisayarının bir uzak masaüstü protokolü kullanılarak ele geçirildiğini ortaya çıkardı. Bu bilinen güvenlik açığı, özel olarak ihtiyaç duyulmadığı durumlar dışında normalde devre dışı bırakılır – bu, Okta araştırmacılarının saldırı için zaman aralığını 16-21 Ocak 2022 arasındaki beş günlük bir pencereye daraltmasına yardımcı oldu.
Mühendislerin sistemlerinde sahip oldukları sınırlı erişim desteği nedeniyle, Okta müşterileri üzerindeki etkisi minimum düzeydeydi. Destek mühendislerinin kullanıcı oluşturma veya silme veya müşteri veritabanlarını indirme erişimi yoktur. Müşteri verilerine erişimleri de oldukça sınırlıdır.
22 Mart’ta daha çok LAPSUS$ olarak bilinen DEV-0537, çevrimiçi olarak ekran görüntüleri paylaştı. Yanıt olarak, Okta bir bildiri yayınladı “Müşterilerimizin alması gereken herhangi bir düzeltici işlem yok” diyerek Ertesi gün şirket Soruşturmanın ayrıntılarını paylaştıayrıntılı bir yanıt zaman çizelgesi dahil.
Bu ihlal, verdiği zararla sınırlı olsa da, üç önemli güvenlik dersi sunuyor.
Görmek Cloudflare’nin Ocak 2022 Okta uzlaşmasıyla ilgili soruşturması böyle bir ihlale iyi bir yanıt örneği için.
Adaptive Shield’in nasıl uç nokta duruş yönetimi ve SaaS konfigürasyon kontrolü sağladığını öğrenin
22 Mart’ta Microsoft Güvenlik paylaşılan bilgi DEV-0537’nin elinde uğradığı bir saldırıyla ilgili. Microsoft’un güvenliği ihlal edilmiş tek bir hesabı vardı ve bu da kaynak kodun çalınmasına ve yayınlanmasına neden oldu.
Microsoft, kullanıcılarına LAPSUS$ saldırısının bilgilerinin hiçbirini tehlikeye atmadığına dair güvence verdi ve ayrıca çalınan kod nedeniyle ürünlerinin hiçbirinde risk bulunmadığını belirtti.
Microsoft, LAPSUS$’ın kimlik bilgilerini paylaşmak için telekom, büyük yazılım geliştiriciler, çağrı merkezleri ve diğer sektörlerdeki çalışanları aktif olarak işe aldığı konusunda okuyucuları uyarmasına rağmen, ihlalin nasıl gerçekleştirildiğini özel olarak paylaşmadı.
Şirket, platformları bu saldırılara karşı güvence altına almak için de bu önerileri sundu.
Microsoft’un önerilerinin tam listesi için bkz. Bugün nasılsın? Not.
SaaS platformlarının güvenliğini sağlamak büyük bir zorluktur ve bu hafta görüldüğü gibi, küresel işletmelerin bile güvenliklerinin üstünde kalması gerekiyor. Kötü niyetli aktörler saldırı yöntemlerini geliştirmeye ve iyileştirmeye devam ediyor, bu da kuruluşları sürekli tetikte olmaya ve SaaS güvenliğine öncelik vermeye zorluyor.
Güçlü parolalar ve SSO çözümleri artık tek başına yeterli değil. Şirketler, güçlü MFA, IP izin listeleri ve gereksiz destek mühendisi erişimini engelleme gibi gelişmiş güvenlik önlemlerine ihtiyaç duyar. SaaS Güvenlik Duruş Yönetimi (SSPM) gibi otomatik bir çözüm, güvenlik ekiplerinin bu sorunların üstesinden gelmesine yardımcı olabilir.
SaaS’ta cihaz güvenliğinin önemi, bu saldırılardan bir başka çıkarımdır. Ayrıcalıklı bir kullanıcı, güvenliği ihlal edilmiş bir cihazdan bir SaaS uygulamasına eriştiğinde, tamamen güvenli bir SaaS platformunun güvenliği bile tehlikeye girebilir. Tam, uçtan uca koruma için cihaz güvenlik duruşunu SaaS güvenlik duruşuyla birleştiren bir güvenlik çözümünden yararlanın.
SaaS çözümlerini güvence altına almanın zorluğu karmaşıktır ve manuel olarak tamamlanması külfetli olmanın da ötesindedir. Adaptive Shield gibi SSPM çözümleri şunları sağlayabilir: konfigürasyon kontrolü, uç nokta duruş yönetimi ve 3. taraf uygulama kontrolü ile otomatikleştirilmiş SaaS güvenlik duruş yönetimi.
Not — Bu makale, Adaptive Shield Kıdemli Ürün Analisti Hananel Livneh tarafından yazıldı ve katkıda bulunuldu.