CISA Raporu: GitHub Sızıntısına Yol Açan Güvenlik Açıkları ve Alınan Dersler Siber Güvenlik

CISA Raporu: GitHub Sızıntısına Yol Açan Güvenlik Açıkları ve Alınan Dersler

CISA, bir yüklenicinin GitHub'a yüklediği hassas kimlik bilgilerinin sızmasına yol açan güvenlik açıklarını ve kurumun bu olaydan çıkardığı dersleri p

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçtiğimiz Mayıs ayında bir yüklenicinin kişisel GitHub hesabı üzerinden gerçekleşen hassas veri sızıntısının ayrıntılarını içeren bir rapor yayımladı. Raporda, zayıf güvenlik kontrollerinin, bir yüklenicinin CISA'nın bulut altyapısını yönetmek için kullandığı bir depoyu kendi GitHub hesabına kopyalamasına ve bu sırada yönetici kimlik bilgileri, derleme şifreleri ve Amazon Web Services (AWS) gibi hizmetlere ait özel erişim anahtarlarını da yüklemesine neden olduğu belirtildi. Olay, bağımsız güvenlik gazetecisi Brian Krebs'in Mayıs ortasında konuyu kamuoyuna duyurmasıyla ortaya çıktı ve Kongre üyelerinin CISA'dan açıklama talep etmesiyle büyüdü.

CISA'nın yayımladığı olay sonrası raporu, kurumun sistemlerinin güvenli olduğuna dair kamuoyunu, endüstri ortaklarını ve Kongre üyelerini ikna etme çabası olarak değerlendirildi. Raporda, sızıntının fark edilmesinin ardından derhal harekete geçildiği, yüklenicinin GitHub deposunun kapatıldığı ve CISA sistemlerine erişiminin engellendiği ifade edildi. Log dosyalarının analizi sonucunda, sızdırılan kimlik bilgilerinin yetkisiz hiçbir kullanımının tespit edilmediği ve müşteri veya görev verilerinin etkilenmediği vurgulandı.

CISA, sızıntının ardından yalnızca sızdırılan şifreleri değil, yüklenicinin erişiminin olduğu tüm geliştirme ortamlarındaki şifreleri güncelledi. Ayrıca sızdırılan bulut erişim anahtarlarını da yeniledi. Ancak kurum, bu işlemin 'beklenenden uzun sürdüğünü' ve bunun nedeninin 'CISA sistemlerinin karmaşıklığı ile federal ve endüstri ortaklarıyla olan bağlantılar' olduğunu belirtti. Gelecekteki sızıntıları önlemek amacıyla kod depoları için izin verme ve reddetme listeleri güncellendi ve personelin kamuya açık depolara veri yüklemesi engellendi.

Detaylar ve Etkileri

Raporun büyük bir kısmı, olayın CISA'nın iyi yaptığı ve geliştirmesi gereken alanları nasıl ortaya çıkardığına ayrılmış. Kapsamlı log kayıtları sayesinde kimlik bilgilerinin kötüye kullanılmadığının belirlenebildiği, ancak her kuruluşun log kapsamını ve karmaşıklığını sürekli iyileştirmesi gerektiği vurgulandı. CISA, olay müdahalesi sırasında stratejik olarak yeni log fırsatları belirlediğini ve bu eklemeleri uygulayarak görünürlüğü artırdığını ifade etti.

Uzmanların Görüşleri

Bulut erişim 'sırlarının' (AWS güvenlik anahtarları gibi) ifşa olması, CISA'nın göz ardı ettiği önemli bir güvenlik açığını yansıtıyor. 'Hiçbir depo sır içermemelidir, ancak sırlar CISA'nın özel depolarına girmiştir' diyen ajans, tüm sırları döndürdüğünü ve geliştirici sırlarının yönetimini iyileştirmek ile gelecekte ifşa olan sırları daha iyi izlemek için bir eylem planı oluşturduğunu belirtti.

CISA, yıllardır kuruluşları farklı olay türlerine yanıt vermek için oyun kitapları oluşturmaya teşvik ediyor. Ancak bu uyarılara rağmen, CISA'nın kendisinin GitHub üzerinden bir bulut güvenlik sızıntısı için bir oyun kitabı yoktu. Bu nedenle ajans, 'olayın ilk aşamalarında bir tane oluşturmak zorunda kaldığını' ifade etti. Ayrıca CISA yetkilileri sürekli olarak siber olay bildirmenin ne kadar kolay olduğunu vurgulasa da, GitHub sızıntısının kamuya açıklanması (güvenlik araştırmacısının ajansa nasıl ulaşacağını bilememesi nedeniyle basına gitmesiyle gerçekleşti), CISA'nın kendi teknolojisini içeren olayları bildirmek için net kanallar oluşturmadaki başarısızlığını gözler önüne serdi. 'Belirsizliği azaltmak için CISA, bildirim kanallarını araştırmacıların kullanımı daha kolay ve hızlı hale getirecek şekilde iyileştiriyor' denildi.

CISA, GitHub sızıntısına verdiği yanıtı detaylandırarak, diğer kuruluşların da benzer durumlarda aynı derecede açık sözlü olmasını umduğunu belirtti. 'Bir siber güvenlik olayının kuruluşunuzun başına gelip gelmeyeceği değil, ne zaman geleceği meselesidir' diyen ajans, 'Güveni güçlendirmek ve şeffaflığı teşvik etmek için bu konuları açıkça ele almamız, daha geniş siber güvenlik topluluğu için önemlidir' ifadelerini kullandı.

Kaynak: cybersecuritydive.com

Paylaş: