Kurumsal Bulut Güvenliği Varsayımlarını Değiştiren İhlal
2022'deki LastPass ihlali, öncelikle şifre yöneticileri hakkında bir hikaye değildir. Bu, kurumların en hassas verileriyle bulut tedarikçilerine güvenmesi ve bu güvenin ihlal edilmesi durumunda ne olacağını anlatan bir hikayedir — dikkatsizlikle değil, dışarıdan görünmeyen uygulama zayıflıkları nedeniyle.
LastPass sıfır bilgi mimarisini pazarladı. Mimarisi pratikte sıfır bilgi değildi. 25 milyon kullanıcı şifrelenmiş kasalarının dışarıya sızdırıldığını gördü. İhlal ilk olarak Ağustos 2022'de açıklandı ve kapsam genişledikçe 2022 sonuna kadar birden fazla kez güncellendi.
Sağlık, finans ve hukuki hizmetler gibi veri ifşasının düzenleyici sorumluluk yarattığı sektörlerde — LastPass ihlali, uzaktan izlenmesi gereken izole bir olay değildi. Bu, sistemik bir sorunun önizlemesiydi.
Önemli Uygulama Detayları
İhlal sonrası analiz, iki kritik uygulama zayıflığını ortaya çıkardı:
İterasyon sayısı eksikliği: LastPass anahtar türetimi için PBKDF2 kullandı. Yeni hesaplar için 100,100 iterasyon kullandılar — bu, endüstri önerisi olan 600,000'in altındaydı. Eski hesaplar için (bazı durumlarda 2018 öncesi) iterasyon sayısı 1 iterasyon kadar düşüktü. Daha düşük iterasyon sayıları, şifrelenmiş kasalar üzerinde kaba kuvvet saldırılarını hesaplama açısından mümkün kılar. Kasalara erişen saldırganlar, ana şifreleri kırmayı sistematik olarak deneyebilirlerdi.
Meta veri ifşası: Kasaların içeriği şifrelenmiş olsa da, meta veriler şifrelenmemişti. Şifre yöneticisinde saklanan URL'ler, kullanıcı adları ve hizmet adları dışarıya sızdırılan verilerde görünüyordu. Saldırganlar, kullanıcıların hangi hizmetlerde hesapları olduğunu belirleyebilir, böylece kasanın şifrelemesini kırmadan hedefli kimlik avı ve kimlik bilgisi doldurma yapabilirlerdi.
Bulut güvenliği tedarikçilerini değerlendiren satın alma ekipleri için, LastPass durumu iki sorunun ayrı ayrı yanıtlanması gerektiğini göstermektedir: "Mimari sıfır bilgi mi?" ve "Uygulama doğru mu?"
Okta İhlali: Aynı Ay, Farklı Bir Mekanizma
Ekim 2023'te Okta, bir tehdit aktörünün çalınan bir kimlik bilgisi kullanarak Okta'nın müşteri destek sistemine eriştiğini açıkladı. İhlal, 600,000+ müşteri destek kaydını ifşa etti, bu kayıtlar destek etkileşimleri sırasında müşteriler tarafından yüklenen dosyaları içeriyordu.
Okta, bir kimlik güvenliği platformudur. İhlal, temel bir mimari hatası değildi — bu, bir tedarik zinciri erişim kontrolü hatasıydı. Bir destek mühendisinin kimlik bilgileri tehlikeye girdi ve saldırgan, hassas verilere ulaşmak için meşru erişimi kullandı.
LastPass ve Okta'nın birleşimi, kurumsal bulut tedarikçilerinin karşılaştığı iki hata modunu göstermektedir:
- Mimari hatalar: sıfır bilgi iddialarının gerçek anlamda uygulanmaması
- Erişim kontrolü hataları: meşru kimlik bilgileri ile yetkisiz veri erişimi
Sıfır bilgi mimarisi, ilk hata modunu ele alır. Bu, tedarikçi destek sistemleri için meşru kimlik bilgileri elde eden kararlı bir saldırgandan koruma sağlamaz. Ancak, böyle bir saldırganın müşteri düz metin verilerine erişememesini garanti eder — çünkü tedarikçinin destek sistemleri hiçbir zaman şifrelenebilir verilere erişim sağlamaz.
SaaS Güvenlik Olayları 2022'den 2024'e %300 Arttı
AppOmni ve Cloud Security Alliance'ın 2022'den 2024'e kadar SaaS ihlal olaylarını takip eden araştırması, bu dönemde SaaS platformlarını etkileyen güvenlik olaylarında %300 artış buldu.
%300 rakamı, saldırganların karmaşıklığında %300'lük bir artışı temsil etmez. Bu, SaaS benimsemesinin büyümesi ile saldırganların adaptasyonunun birleşimini temsil eder: Daha fazla kurumsal veri bulut platformlarına taşındıkça, saldırganlar bu platformları hedef almak için kaynaklarını kaydırdı. Bir SaaS tedarikçisini tehlikeye atmanın ROI'si — aynı anda onlarca veya yüzlerce kurumsal müşterinin verilerine erişim sağlamak — bireysel işletmeleri hedef almaktan çok daha yüksektir.
Bulut tedarikçilerini güvenli hedefler olarak varsayımlarına dayalı olarak güvenlik değerlendirme süreçlerini oluşturan işletmeler için, 2022-2024 verileri bir yeniden kalibrasyon gerektirir. Varsayım yanlıştır. SaaS tedarikçileri öncelikli hedeflerdir.
LastPass Sonrası Denetim Kontrol Listesi
LastPass ve Okta olaylarının ardından bulut tedarikçi güvenliğini yeniden değerlendiren işletmeler için pratik bir kontrol listesi:
Şifreleme uygulaması:
- Anahtar türetim algoritmasını, iterasyon sayısını ve bellek parametrelerini talep edin
- İterasyon sayıların mevcut OWASP önerilerini (600,000 PBKDF2-SHA256 minimum veya eşdeğer Argon2id parametreleri) karşıladığını doğrulayın
- Anahtar türetiminin istemci tarafında gerçekleştiğini, tedarikçi sunucularında değil, doğrulayın
Meta veri koruması:
- Şifrelenmiş içerikle birlikte düz metin olarak hangi meta verilerin saklandığını özellikle sorun
- Hangi alanların şifreli ve hangi alanların ihlal senaryolarında erişilebilir olduğunu gösteren veri modelini talep edin
Destek sistemi erişim kontrolleri:
- Destek mühendisinin müşteri verilerine erişimi hakkında belgeleri talep edin
- Destek sistemlerinin müşteri düz metin verilerine erişemediğini doğrulayın
İhlal bildirim geçmişi:
- Kamuya açıklama eşiklerine ulaşmayanlar da dahil olmak üzere tüm önceki güvenlik olaylarının açıklanmasını talep edin
- Önceki açıklamaların şeffaflığını ve tamamlayıcılığını değerlendirin
LastPass ihlali, kısmen bir uygulama hatası ve kısmen de uygulama hakkında şeffaflık eksikliğiydi. Tedarikçi seçiminden önce detaylı sorular soran işletmeler, bilinçli risk değerlendirmesine olanak tanıyan yanıtlar alır. Yüksek düzeyde iddiaları kabul eden işletmeler — "verilerinizi şifreliyoruz" — bir ihlal sonrasında uygulama detaylarını keşfetme riskini üstlenir.
Kaynaklar: