CISA'nın AWS GovCloud Sızıntısına Müdahalesi: Kamuya Açık Depoda Bulunan Kritik Kimlik Bilgileri Yazılım

CISA'nın AWS GovCloud Sızıntısına Müdahalesi: Kamuya Açık Depoda Bulunan Kritik Kimlik Bilgileri

CISA, bir yüklenicinin kişisel GitHub deposunda sızdırılan AWS GovCloud anahtarlarına anında müdahale ederek kritik sistemleri korudu.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), iç sistemlerine ait AWS GovCloud anahtarlarının ve diğer hassas bilgilerin kamuya açık bir depoda bulunmasının ardından yürüttüğü olay müdahalesini detaylandırdı. Olay, güvenlik araştırmacısı GitGuardian'ın, yüksek ayrıcalıklı birçok AWS GovCloud hesabının ve çok sayıda iç CISA sisteminin kimlik bilgilerini ifşa eden bir GitHub deposu tespit etmesiyle gün yüzüne çıktı. Söz konusu depo, CISA'nın resmi GitHub hesabına ait değil, bir yüklenicinin kişisel reposuydu.

CISA, 9 Haziran'da yayımladığı güncellemede, 'Bu bilgiyi alır almaz, CISA Baş Bilgi Sorumlusu Ofisi (OCIO) bulut kaynaklarımıza ve kod depolarımıza yönelik maruziyeti azaltmak için hızlı ve kapsamlı bir eylem başlattı' ifadelerini kullandı. Ajansın iç olay müdahalesi 15 Mayıs'ta başladı ve kamuya açık maruziyeti ortadan kaldırma, daha fazla zararı önleme, paylaşılan bilgilerin kapsamını anlama, etkiyi değerlendirme ve düzeltici eylemleri uygulama adımlarını içerdi.

CISA, müşteri veya görev verilerinin ifşa edilmediğini ve sızdırılan kimlik bilgilerinin CISA ortamları dışında kullanılmadığını vurguladı. Olayda, üçüncü taraf bir kişi, bulut altyapısını otomatik olarak oluşturmak amacıyla CISA'ya ait bir derleme ve dağıtım deposunun kopyalarını kişisel GitHub hesabına yüklemişti. Bu depo, CISA'nın Altyapı Olarak Kod (Infrastructure as Code) ve derleme kodlarını içeriyordu.

Uzmanların Görüşleri

Siber güvenlik ajansı, olaydan çıkarılan dersler kapsamında siber güvenlik ipuçlarının ve dış raporlamaların ciddiye alınmasının hayati olduğunu belirtti. CISA, güvenlik araştırmacısına ve haberi ileten muhabire iş birliği için teşekkür etti. Ayrıca, sistemleri ve geliştirme ortamlarını korumak için sıfır güven (zero trust) ilkelerinin benimsenmesinin gerekliliğine dikkat çekti.

Nasıl Önlem Alınmalı?

Güçlü günlük kaydı (logging) yeteneklerinin önemi vurgulanırken, CISA Güvenlik Operasyon Merkezi'nin (SOC) olayı başarıyla soruşturmak için gerekli günlüklere sahip olduğu ve sürekli iyileştirmenin güçlü bir güvenlik programının ana unsuru olduğu ifade edildi. Olay, kamuya açık depolara erişim kontrollerinin sıkılaştırılması, ifşa olan sırların daha güçlü izlenmesi ve kapsamlı GitHub ile bulut olay müdahale playbook'larının geliştirilmesi gibi iyileştirme alanlarına dikkat çekti.

Sonuç ve Değerlendirme

CISA ayrıca, güvenlik araştırmacılarının raporlama kanallarını basitleştirmeyi planlıyor. Bu olayda, bu kanallar 'iyi tanımlanmamıştı' ve araştırmacı, yükleniciye e-posta gönderme, CISA'nın güvenlik açığı bildirim platformunu kullanma ve sonunda bir muhabire ulaşma gibi birden fazla kanaldan iletişim kurmaya çalışmak zorunda kalmıştı. Son olarak CISA, geliştirici ortamlarındaki güvenlik korkuluklarını güçlendirmeyi ve gelecekteki olaylarda daha hızlı anahtar döndürme (credential rotation) için kriptografik anahtar yönetimini iyileştirmeyi planlıyor.

CISA, 'Kuruluşunuzun bir siber güvenlik olayı yaşayıp yaşamayacağı değil, ne zaman yaşayacağı meselesidir. Bu konuları açıkça ele almak, güveni güçlendirmek ve şeffaflığı teşvik etmek için daha geniş siber güvenlik topluluğu açısından önemlidir. Bu tür bir şeffaflık, yalnızca CISA'nın değil, diğer kuruluşların da güvenlik duruşunu iyileştirecek öğrenme fırsatları yaratır' dedi. Ajans ayrıca güncellemeyi LinkedIn kanalında yayımladı ve bir yorumcu, ajansın müdahalesindeki hem güçlü yönleri hem de boşlukları belgeleme isteğini övdü.

Kaynak: infosecurity-magazine.com

Paylaş: