ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir yüklenicinin kişisel GitHub hesabında açığa çıkan AWS GovCloud anahtarları ve hassas sistem bilgilerine müdahalesini detaylandırdı. Olay, Mayıs ayında KrebsOnSecurity tarafından duyurulmuştu. CISA, 9 Haziran'da yayımladığı güncellemeyle, 'Bu bilgiyi alır almaz, CIO Ofisi hızlı ve kapsamlı bir şekilde harekete geçerek bulut kaynaklarına ve kod depolarına yönelik riski azalttı' ifadesini kullandı.
CISA'nın iç müdahalesi 15 Mayıs'ta başladı ve kamuya açıklığın giderilmesi, daha fazla zararın önlenmesi, paylaşılan bilginin kapsamının anlaşılması, etkinin değerlendirilmesi ve düzeltici önlemlerin alınması adımlarını içerdi. Ajans, hiçbir müşteri veya görev verisinin açığa çıkmadığını ve sızdırılan kimlik bilgilerinin CISA ortamları dışında kullanılmadığını vurguladı.
Olay, bir üçüncü taraf yüklenicinin, CISA'nın altyapıyı kod olarak (Infrastructure as Code) yönetmek için kullandığı bir deponun kopyasını kendi GitHub hesabına yüklemesiyle gerçekleşti. Bu depo, CISA'nın bulut altyapısını otomatik oluşturmak için kullanılan kodları içeriyordu. Güvenlik araştırmacısı GitGuardian, bu sızıntıyı tespit ederek CISA'ya bildirdi.
Sistem Güvenliği
CISA, olaydan çıkarılan dersler arasında siber güvenlik ipuçlarının ve dış raporlamaların ciddiye alınması gerektiğini belirtti. Araştırmacıya ve raporlamaya yardımcı olan kişiye teşekkür eden ajans, sıfır güven (zero trust) ilkelerinin benimsenmesinin önemini vurguladı. Ayrıca, güçlü loglama yeteneklerinin kritik olduğu ve SOC'un olayı başarıyla soruşturmak için gerekli loglara sahip olduğu ifade edildi.
Detaylar ve Etkileri
İyileştirme alanları arasında kamuya açık kod depolarına erişim kontrollerinin sıkılaştırılması, açıkta kalan sırların daha güçlü izlenmesi ve GitHub ile bulut olay müdahale playbook'larının geliştirilmesi yer alıyor. CISA ayrıca, güvenlik araştırmacıları için raporlama kanallarını basitleştirmeyi planlıyor. Mevcut durumda, araştırmacı birden fazla kanaldan (e-posta, güvenlik açığı bildirim platformu, gazeteci) ulaşmak zorunda kalmıştı.
Son olarak CISA, geliştirici ortamlarındaki güvenlik korkuluklarını güçlendirmeyi ve kriptografik anahtar yönetimini iyileştirerek gelecekteki olaylarda daha hızlı kimlik bilgisi rotasyonu yapmayı hedefliyor. Ajans, 'Bir siber güvenlik olayının kuruluşunuzun başına gelip gelmeyeceği değil, ne zaman geleceği meselesidir' diyerek şeffaflığın ve açık paylaşımın önemini vurguladı.
Kaynak: infosecurity-magazine.com