ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçtiğimiz günlerde yayımladığı bir raporda, bir yüklenicinin kişisel GitHub hesabına yanlışlıkla yüklediği hassas kimlik bilgilerinin sızmasına yol açan güvenlik açıklarını ayrıntılı olarak açıkladı. Rapora göre, CISA adına çalışan bir taşeron firma çalışanı, bulut altyapısını otomatik olarak oluşturmak için CISA'ya ait bir derleme ve dağıtım deposunu kendi GitHub hesabına kopyaladı. Bu işlem sırasında, yönetici ve derleme kimlik bilgilerinin yanı sıra Amazon Web Services (AWS) gibi hizmetlere ait özel erişim anahtarlarını da içeren altyapı-kod verilerini de yanlışlıkla yükledi. Olay, bağımsız güvenlik gazetecisi Brian Krebs'in Mayıs ayı ortasında yaptığı haberle ortaya çıktı ve Kongre üyelerinin CISA'dan açıklama talep etmesiyle büyük bir inceleme dalgası başlattı.
CISA, sızıntıyı Krebs'in haberi üzerine öğrendiğini ve derhal 'hızlı ve kapsamlı bir müdahale' başlattığını belirtti. Ajans, yüklenicinin GitHub deposunu kapatarak ve erişimini engelleyerek olaya müdahale etti. Log dosyalarını analiz eden CISA, sızdırılan kimlik bilgilerinin yetkisiz kullanımının olmadığını ve 'müşteri veya görev verilerinin açığa çıkmadığını' tespit etti. Bununla birlikte, ajans yalnızca sızdırılan şifreleri değil, yüklenicinin erişimi olan tüm geliştirme ortamlarındaki şifreleri güncelledi. Ayrıca sızdırılan bulut erişim anahtarlarını da yeniledi, ancak bu sürecin 'CISA sistemlerinin karmaşıklığı ve federal ile endüstri ortaklarıyla olan bağlantıları nedeniyle beklenenden uzun sürdüğünü' itiraf etti.
CISA'nın raporu, olayın ajansın iyi yaptığı ve iyileştirmesi gereken alanları nasıl ortaya çıkardığını detaylandırıyor. Kapsamlı loglama sayesinde CISA, kimlik bilgilerinin kötüye kullanılma olasılığını ekarte edebildi, ancak her kuruluşun loglama kapsamını ve karmaşıklığını sürekli iyileştirmesi gerektiğini vurguladı. Ajans, 'bu doğrultuda, olay müdahalesi sırasında stratejik olarak daha fazla loglama fırsatı belirledik ve bu eklemeleri uygulayarak görünürlüğü artırdık' dedi. AWS güvenlik anahtarları gibi bulut erişim 'sırlarının' ifşa olması, CISA'nın özellikle göz ardı ettiği bir konuydu ve ajans bu başarısızlığını kabul etti: 'Hiçbir depo sır içermemelidir, ancak sırlar CISA'nın özel depolarına girdi. CISA tüm sırları döndürdü ve geliştirici sırlarının yönetimini iyileştirmek ve gelecekte ifşa olan sırları daha iyi izlemek için bir eylem planı oluşturdu.'
CISA, yıllardır kuruluşları farklı türdeki olaylara müdahale için oyun kitapları oluşturmaya teşvik ediyor. Ancak bu uyarılara rağmen, CISA'nın kendisinin GitHub üzerinden bir bulut güvenlik sızıntısı için bir oyun kitabı yoktu. Bu nedenle ajans, 'olayın ilk aşamalarında bir tane oluşturmak zorunda kaldığını' belirtti. Ayrıca, CISA yetkilileri sürekli olarak siber olayları bildirmenin ne kadar kolay olduğunu vurgulasa da, GitHub sızıntısının kamuya ifşa edilmesi – güvenlik araştırmacısının ajansla nasıl iletişime geçeceğini bulamayıp basına gitmesi nedeniyle – CISA'nın kendi teknolojisini içeren olayları bildirmek için net kanallar oluşturmadaki başarısızlığını gözler önüne serdi. Ajans, 'belirsizliği azaltmak için bildirim kanallarını araştırmacıların kullanımına daha kolay ve hızlı hale getirecek şekilde iyileştiriyoruz' dedi.
CISA, GitHub sızıntısına yanıtını detaylandırırken, diğer kuruluşların da benzer durumlarla karşılaştıklarında aynı şekilde açık sözlü olmalarını umduğunu belirtti. Ajans, 'bu bir 'eğer' değil, 'ne zaman' meselesidir. Daha geniş siber güvenlik topluluğu için bu konuları açıkça ele almak, güveni güçlendirmek ve şeffaflığı teşvik etmek açısından önemlidir' ifadelerini kullandı.
Bu olay, kuruluşların GitHub gibi kamuya açık kod depolarını kullanırken dikkatli olmaları gerektiğini bir kez daha hatırlatıyor. Özellikle hassas kimlik bilgilerinin ve erişim anahtarlarının asla kod depolarına eklenmemesi, sır yönetimi araçlarının kullanılması ve düzenli olarak sır taraması yapılması kritik öneme sahip. Ayrıca, kuruluşların olay müdahale planlarını güncellemeleri ve farklı senaryolar için oyun kitapları oluşturmaları gerekiyor. CISA'nın yaşadığı bu deneyim, siber güvenlikte şeffaflığın ve sürekli iyileştirmenin önemini bir kez daha ortaya koyuyor.
Kaynak: cybersecuritydive.com