ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yayımladığı bir raporla, bir yüklenicinin kamuya açık GitHub kod deposuna yanlışlıkla özel bulut erişim anahtarları ve diğer hassas kimlik bilgilerini yüklemesi sonucu meydana gelen sızıntının ayrıntılarını paylaştı. Olay, CISA'nın güvenlik kontrollerindeki zafiyetleri gözler önüne serdi. Raporda, yüklenicinin kişisel GitHub hesabına CISA'nın yapı ve dağıtım deposunun kopyalarını yüklediği ve bu sırada yönetici ve derleme kimlik bilgileri ile Amazon Web Services (AWS) gibi hizmetlere ait özel erişim anahtarlarını da içeren altyapı-kod verilerini sızdırdığı belirtildi.
Bağımsız güvenlik gazetecisi Brian Krebs'in Mayıs ortasında ilk kez duyurduğu sızıntı, devlet yüklenicisi Nightwing'e atfedildi ve kongre üyelerinin CISA'dan açıklama talep etmesiyle büyük bir inceleme süreci başlattı. CISA'nın olay sonrası rapor yayımlaması, ajansın sistemlerinin güvenli olduğuna dair kongre, endüstri ortakları ve kamuoyuna güvence verme ve gerekli iyileştirmeleri uygulama çabası olarak değerlendirildi. Krebs'in haberi yayımlamadan önce yorum talebiyle CISA'ya ulaşmasıyla sızıntıdan haberdar olan ajans, derhal yüklenicinin GitHub deposunu devre dışı bıraktı ve sistemlerine erişimini iptal etti.
CISA, log dosyalarını analiz ederek sızdırılan kimlik bilgilerinin yetkisiz kullanımının olmadığını ve müşteri veya görev verilerinin ifşa olmadığını tespit etti. Ajans, yüklenicinin erişimi olan tüm geliştirme ortamlarındaki şifreleri (sadece sızdırılanlar değil) güncelledi. Sızdırılan bulut erişim anahtarları da yenilendi ancak bu sürecin, 'CISA'nın sistemlerinin karmaşıklığı ve federal-endüstri ortaklarıyla olan bağlantıları nedeniyle beklenenden uzun sürdüğü' itiraf edildi. Ayrıca kod depoları için izin verme ve engelleme listeleri güncellendi ve personelin kamuya açık depolara veri yüklemesi engellendi.
Önemli Gelişmeler
Raporun büyük bir kısmı, olayın CISA'nın neleri iyi yaptığını ve neleri geliştirmesi gerektiğini nasıl ortaya çıkardığına ayrılmış. Kapsamlı loglar, CISA'nın kimlik bilgisi kötüye kullanımı ve izinsiz giriş ihtimalini elemesine olanak sağladı, ancak ajans her kuruluşun log kapsamını ve karmaşıklığını sürekli iyileştirmesi gerektiğini vurguladı. 'Bu amaçla, CISA olay müdahalesi sırasında stratejik olarak ek log fırsatları belirledi ve görünürlüğü artırmak için bu eklemeleri uygulamaya koydu.'
Gelecekte Ne Bekleniyor?
AWS güvenlik anahtarları gibi bulut erişim 'sırlarının' ifşası, CISA açısından özellikle dikkat çekici bir ihmal olarak değerlendirildi ve ajans bu konudaki başarısızlığını kabul etti. 'Hiçbir depo sır içermemelidir, ancak sırlar CISA'nın özel depolarına girdi. CISA tüm sırları döndürdü ve geliştirici sır yönetimini iyileştirmek ve gelecekte ifşa olan sırları daha iyi izlemek için bir eylem planı oluşturdu.'
CISA yıllardır kuruluşları farklı olay türlerine yanıt vermek için oyun kitapları oluşturmaya teşvik ediyor. Ancak bu teşviklere rağmen, CISA'nın kendisinin GitHub üzerinden bir bulut güvenlik sızıntısı için bir oyun kitabı yoktu. Bu nedenle ajans, 'olayın ilk aşamalarında bir tane oluşturmak zorunda kaldı.' Ayrıca, CISA sürekli olarak siber olay bildirmenin ne kadar kolay olduğunu vurgulasa da, GitHub sızıntısının kamuya açıklanması - sızıntıyı keşfeden güvenlik araştırmacısının ajansla nasıl iletişime geçeceğini bilememesi ve basına gitmesi nedeniyle - CISA'nın kendi teknolojisini içeren olayları bildirmek için net kanallar oluşturmadaki başarısızlığını ortaya koydu. 'Belirsizliği azaltmak için CISA, bildirim kanallarını araştırmacıların kullanımı için daha kolay ve hızlı hale getirmek üzere iyileştiriyor.'
CISA, GitHub sızıntısına yanıtını detaylandırarak, diğer kuruluşların da benzer durumlarda aynı şekilde açık sözlü olmasını umduğunu belirtti. 'Bir siber güvenlik olayının kuruluşunuzun başına gelip gelmeyeceği değil, ne zaman geleceği meselesidir. Bu konuları açıkça ele almak, güveni güçlendirmek ve şeffaflığı teşvik etmek için daha geniş siber güvenlik topluluğu için önemlidir.' CISA'nın bu olaydan çıkardığı dersler, yalnızca kendi güvenlik duruşunu değil, aynı zamanda tüm kamu ve özel sektör kuruluşlarının siber güvenlik olaylarına hazırlıklı olma ve şeffaf bir şekilde yanıt verme gerekliliğini vurguluyor.
Kaynak: cybersecuritydive.com