2023 Şükran Günü güvenlik olayı

 (blog.cloudflare.com)
1 puan yazan GN⁺ 2024-02-02 | 1 yorum | WhatsApp'ta paylaş

2023 Şükran Günü güvenlik olayı

  • 23 Kasım 2023 Şükran Günü'nde Cloudflare, kendi barındırdığı Atlassian sunucularında bir tehdit aktörü tespit etti.
  • Güvenlik ekibi hemen soruşturma başlattı ve tehdit aktörünün erişimini engelledi.
  • 26 Kasım'da bağımsız analiz için CrowdStrike'ın adli bilişim ekibi sürece dahil edildi.
  • CrowdStrike soruşturmayı tamamladı ve Cloudflare bu blog yazısı aracılığıyla güvenlik olayının ayrıntılarını paylaştı.
  • Cloudflare, bu olaydan müşteri verilerinin veya sistemlerinin etkilenmediğini özellikle vurguladı.
  • Erişim kontrolleri, güvenlik duvarı kuralları, Zero Trust araçları ve fiziksel güvenlik anahtarı zorunluluğu sayesinde tehdit aktörünün yanal hareket kabiliyeti sınırlandı.

“Kod Kırmızı” kurtarma ve güçlendirme çalışmaları

  • Tehdit aktörü ortamdan çıkarıldıktan sonra güvenlik ekibi, ihlalin araştırılmasını ve erişimin engellenmesini tamamlamak için şirket genelinde gereken herkesi harekete geçirdi.
  • 27 Kasım'dan itibaren teknik personel seferber edilerek "Kod Kırmızı" adlı projeye odaklanıldı.
  • Bu projenin amacı, gelecekteki ihlallere karşı hazırlık yapmak ve tehdit aktörünün ortama yeniden erişmesini önlemek için ortam içindeki tüm kontrolleri güçlendirmek ve doğrulamaktı.
  • CrowdStrike, tehdit aktörünün faaliyetlerinin kapsamı ve düzeyi hakkında bağımsız bir değerlendirme gerçekleştirdi.

Saldırı zaman çizelgesi

  • Saldırı, Ekim ayında Okta'daki güvenlik ihlaliyle başladı; tehdit aktörü, Kasım ortasından itibaren Okta ihlalinden elde ettiği kimlik bilgilerini kullanarak Cloudflare sistemlerini hedef aldı.
  • 18 Ekim'deki Okta ihlali nedeniyle tehdit aktörü kimlik bilgilerine erişim sağladı.
  • 14 Kasım'dan itibaren tehdit aktörü sistem keşfi ve erişim girişimlerine başladı.
  • 15 Kasım'da Atlassian Jira ve Confluence'a başarıyla erişti.
  • 16 Kasım'da bir Atlassian kullanıcı hesabı oluşturdu.
  • 17-20 Kasım tarihleri arasında Cloudflare sistemlerine erişmedi.
  • 22 Kasım'da kalıcı erişim için Sliver Adversary Emulation Framework'ü kurdu.
  • 23 Kasım'da güvenlik ekibi tehdit aktörünün varlığını tespit etti ve erişimi engellemeye başladı.

Sonuç

  • Bu olayın devlet destekli bir saldırgan tarafından gerçekleştirildiği değerlendiriliyor ve Cloudflare, etkinin sınırlandırılması ve gelecekteki saldırılara hazırlık için büyük çaba harcadı.
  • Cloudflare'ın mühendislik ekibi, sistemleri korumak, tehdit aktörünün erişimini anlamak, acil öncelikleri ele almak ve genel güvenliği iyileştirmek için bir plan hazırladı.
  • CrowdStrike bağımsız bir değerlendirme gerçekleştirdi ve nihai rapor tamamlandıktan sonra Cloudflare, iç analizine ve ihlale karşı aldığı önlemlere güvenerek bu blog yazısını yayımladı.

GN⁺ görüşü:

  1. Bu olay, Cloudflare'ın Zero Trust mimarisinin önemini vurguluyor. Bu mimari, sistemler arasındaki izolasyon yoluyla tehdidin tüm organizasyona yayılmasını sınırlayacak şekilde çalışıyor.
  2. Cloudflare'ın hızlı müdahalesi ve "Kod Kırmızı" projesi aracılığıyla güvenliği güçlendirme çabaları, şirketlerin siber güvenlik tehditlerine nasıl yanıt verdiğine dair içgörü sunuyor.
  3. Bu yazı, bir siber güvenlik olayı yaşandığında organizasyonların nasıl yanıt vermesi ve hangi adımları atması gerektiğini anlamaya yardımcı olan faydalı bir örnek niteliği taşıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-02-02
Hacker News görüşü

  • Cloudflare'ın blog yazısı gibi yaklaşımların neden güven verdiği

    • Cloudflare kusursuz değil, ancak mühendislik yaklaşımı ve ciddi sorunları ele alış biçimi nedeniyle güvenilir bulunuyor.
    • Blog yazısı için teşekkür ifade ediliyor.

  • Veri sızıntısının sorunu

    • Veri bir kez sızdığında kalıcı olarak kontrolden çıkar.
    • Olay sonrası güçlendirme çalışmaları ve diyalog önemli, ancak zaten yaşanmış olanı engelleyemez.

  • Okta sisteminin güvenlik sorunları

    • Okta sisteminin ikinci kez darbe almış olmasına dair endişe.

  • Döndürülmemiş servis token'ları ve hesaplar

    • Kullanılmadıklarına yanlış biçimde inanıldığı için döndürülmemişler.
    • Neden tamamen iptal edilmediklerine dair soru işareti.

  • Saldırganın sınırlı erişimi ve alınan önlemler

    • Saldırganın erişiminin sınırlı olduğuna inanılmış olsa da, tüm üretim kimlik bilgilerinin döndürülmesi, sistemlerin adli bilişim incelemesinden geçirilmesi, yeniden imajlanması ve yeniden başlatılması gibi kapsamlı adımlar atılmış.
    • Brezilya veri merkezindeki yeni sistemlere erişim girişimi başarısız olmuş; ekipman inceleme ve değiştirme için üreticiye geri gönderilmiş.

  • Saldırganın amacına dair analiz

    • Wiki sayfaları, hata veritabanı ve kaynak kod depolarının incelenmesine bakıldığında, Cloudflare'ın küresel ağ mimarisi, güvenliği ve yönetimine ilişkin bilgi arıyor gibi görünüyor.

  • Cloudflare'ın BitBucket kullanmasına dair şaşkınlık

    • Cloudflare'ın BitBucket kullandığının öğrenilmesine şaşkınlık ifade ediliyor.

  • Kullanılmayan kimlik bilgilerinin ele alınışı

    • Kullanılmadığı düşünülen kimlik bilgileri için döndürme yerine silme daha uygun olurdu.

  • Okta olayından sonra kimlik bilgilerini döndürme ve honeypot önerisi

    • Sızdırılmış kimlik bilgileri döndürüldükten sonra, saldırganın davranışını gözlemlemek için honeypot kullanılması öneriliyor.

  • Zero Trust (ZT) hakkında soru işaretleri

    • Tek bir bearer token ile uygulamalara erişilebilmesinin Zero Trust tanımına uymadığı belirtiliyor.

Arka plan bilgisi: Cloudflare, internet güvenliği hizmetleri ve dağıtık alan adı sunucusu hizmetleri sağlayan bir şirkettir; Okta ise kimlik ve erişim yönetimi hizmetleri sunan bir şirkettir. Zero Trust, ağ güvenliğinde varsayılan olarak hiçbir kullanıcıya veya cihaza güvenmeyip doğrulama esasına dayanan bir modeldir.