ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Mayıs ayında bir güvenlik araştırmacısı tarafından keşfedilen AWS GovCloud anahtar sızıntısına müdahale sürecini kamuoyuyla paylaştı. Olay, bir yüklenicinin kişisel GitHub deposuna yanlışlıkla yüklediği CISA'ya ait yüksek ayrıcalıklı AWS GovCloud kimlik bilgilerini içeriyordu. CISA, 9 Haziran'da yayımladığı güncellemeyle, sızıntının hemen ardından harekete geçtiklerini ve bulut kaynaklarına yönelik riski en aza indirdiklerini belirtti.
KrebsOnSecurity'nin Mayıs ayında bildirdiği olayda, GitGuardian'dan bir güvenlik araştırmacısı, kamuya açık bir GitHub deposunda CISA'nın AWS GovCloud hesaplarına ve iç sistemlere ait kimlik bilgilerini tespit etti. Depo, CISA'nın resmi GitHub hesabı değil, bir yükleniciye ait kişisel bir depoydu. CISA, bu bilgiyi alır almaz Bilgi Teknolojileri Ofisi'nin (OCIO) hızlıca müdahale ettiğini ve bulut kaynakları ile kod depolarını koruma altına aldığını açıkladı.
CISA'nın iç olay müdahalesi 15 Mayıs'ta başladı. Müdahale ekibi, kamuya açık erişimi engelleme, daha fazla zararı önleme, paylaşılan bilgilerin kapsamını anlama, etkiyi değerlendirme ve düzeltici önlemler uygulama adımlarını attı. Ajans, müşteri veya görev verilerinin etkilenmediğini ve sızdırılan kimlik bilgilerinin CISA ortamı dışında kullanılmadığını vurguladı. Sızıntıya neden olan üçüncü taraf, bir CISA derleme ve dağıtım deposunu kendi GitHub hesabına kopyalamıştı.
CISA, olaydan çıkarılan dersleri paylaşarak siber güvenlik ipuçları ve dış raporlamaların ciddiye alınması gerektiğini belirtti. Güvenlik araştırmacısına ve haberi ileten kişiye teşekkür eden ajans, sıfır güven (zero trust) ilkelerinin benimsenmesinin önemini vurguladı. Ayrıca, güçlü günlük kaydı (logging) yeteneklerinin kritik olduğunu ve sürekli iyileştirmenin güçlü bir güvenlik programının anahtarı olduğunu ifade etti.
Uzmanların Görüşleri
Olay, kamuya açık kod depolarına erişim kontrollerinin sıkılaştırılması, sızan sırların daha iyi izlenmesi ve kapsamlı GitHub ile bulut olay müdahale planlarının geliştirilmesi gibi iyileştirme alanlarına dikkat çekti. CISA, güvenlik araştırmacılarının raporlama kanallarını basitleştirmeyi planlıyor. Bu olayda, araştırmacı birden fazla kanaldan (e-posta, güvenlik açığı bildirim platformu, haberci) iletişim kurmak zorunda kalmıştı.
Ajans ayrıca, geliştirici ortamlarındaki güvenlik önlemlerini güçlendirmeyi ve kriptografik anahtar yönetimini iyileştirmeyi hedefliyor. CISA, "Bir siber güvenlik olayının kuruluşunuzun başına gelip gelmeyeceği değil, ne zaman geleceği meselesidir" diyerek şeffaflığın önemini vurguladı. Olayın, hem CISA'nın hem de diğer kuruluşların güvenlik duruşunu güçlendirmek için bir öğrenme fırsatı sunduğunu belirtti.
CISA'nın LinkedIn kanalında paylaştığı güncelleme, bir yorumcu tarafından ajansın hem güçlü yanlarını hem de zayıflıklarını belgeleme isteği nedeniyle takdir edildi. Bu olay, kuruluşların siber güvenlik olaylarına hazırlıklı olması ve hızlı müdahale ile sürekli iyileştirme kültürünü benimsemesi gerektiğini bir kez daha gösterdi.
Kaynak: infosecurity-magazine.com