ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Mayıs 2024'te bir yüklenicinin kişisel GitHub hesabında yanlışlıkla yayınlanan dahili AWS GovCloud anahtarları ve hassas sistem bilgilerine yönelik müdahalesini ayrıntılı olarak açıkladı. Olay, güvenlik araştırmacısı GitGuardian tarafından tespit edildikten sonra KrebsOnSecurity tarafından duyurulmuştu. CISA, bu sızıntının müşteri veya görev verilerini etkilemediğini ancak kurum içi güvenlik süreçlerinde önemli iyileştirmeler yapılması gerektiğini ortaya koyduğunu belirtti.
CISA'nın Olay Müdahale Ofisi (OCIO), 15 Mayıs'ta başlatılan müdahale kapsamında sızıntıyı anında kamuya kapatarak, daha fazla zararı önlemek için kapsamlı adımlar attı. Olayın incelenmesi sonucunda, sızdırılan kimlik bilgilerinin CISA ortamı dışında kullanılmadığı ve hiçbir hassas verinin ifşa edilmediği tespit edildi. Ancak, yüklenicinin, CISA'nın altyapı kodunu (Infrastructure as Code) içeren bir depoyu kişisel hesabına kopyalaması, bulut kaynaklarının otomatik oluşturulması amacıyla yapılmıştı.
CISA, olaydan çıkarılan dersler arasında sıfır güven (zero trust) prensiplerinin benimsenmesinin kritik olduğunu vurguladı. Özellikle, kamuya açık kod depolarına erişimin daha sıkı kontrol edilmesi, ifşa olmuş sırların (secrets) daha güçlü izlenmesi ve GitHub ile bulut olay müdahale senaryolarının geliştirilmesi gerektiği belirtildi. Ayrıca, güvenlik araştırmacıları için raporlama kanallarının basitleştirilmesi planlanıyor; zira bu olayda araştırmacı, birden fazla kanalı kullanmak zorunda kalmıştı.
Detaylar ve Etkileri
CISA, güçlü loglama yeteneklerinin önemine de dikkat çekti. Ajansın Güvenlik Operasyon Merkezi (SOC), olayı başarıyla soruşturmak için gerekli loglara sahipti ve sürekli iyileştirme, güçlü bir güvenlik programının temel unsuru olarak görülüyor. Ayrıca, geliştirici ortamlarında güvenlik bariyerlerinin güçlendirilmesi ve kriptografik anahtar yönetiminin iyileştirilmesi, gelecekteki olaylarda daha hızlı kimlik bilgisi döndürme (credential rotation) sağlayacak.
CISA, olayın ardından yaptığı açıklamada, 'Bir siber güvenlik olayının kurumunuza olup olmayacağı değil, ne zaman olacağı meselesidir. Bu konuları açıkça ele almak, güveni güçlendirmek ve şeffaflığı teşvik etmek için önemlidir' ifadelerini kullandı. Ajans, bu tür şeffaflığın yalnızca kendi güvenlik duruşunu değil, diğer kuruluşların da öğrenmesine olanak tanıyacağını belirtti.
CISA'nın LinkedIn kanalında yayınlanan güncelleme, bir yorumcu tarafından ajansın hem güçlü yönlerini hem de eksikliklerini belgeleme istekliliği nedeniyle övüldü. Olay, kurum içi güvenlik farkındalığının artırılması ve üçüncü taraf yüklenicilerin erişim kontrollerinin sıkılaştırılması gerektiğini bir kez daha gösterdi.
Kaynak: infosecurity-magazine.com