Klue Hack'i Huntress, HackerOne ve 3 Güvenlik Firmasını Daha Vurdu

Klue Hack'i Huntress, HackerOne ve 3 Güvenlik Firmasını Daha Vurdu

Pazar istihbarat platformu Klue'da yaşanan bir ihlal, sektörün en tanınmış isimlerinden bazılarını etkileyen bir siber güvenlik şirketi veri ihlali tedarik zinciri olayına yol açtı. Huntress, HackerOne, Jamf, Recorded Future ve Tanium, daha önceki Klue saldırısının doğrudan bir sonucu olarak verilerinin çalındığını doğruladı. Bu olay, tüm iş modeli başkalarını korumak üzerine kurulu olan kuruluşların bile güvendikleri bir tedarikçi yüzünden dize getirilebileceğinin çarpıcı bir hatırlatıcısı niteliğinde.

Hangi Siber Güvenlik Firmaları Etkilendi ve Hangi Veriler Alındı

Doğrulanan beş kurban, siber güvenlik sektörünün geniş bir yelpazesini kapsıyor. Huntress, küçük ve orta ölçekli işletmeler için yönetilen tespit ve müdahale hizmetlerine odaklanır. HackerOne, dünyanın en yaygın kullanılan hata ödülü ve güvenlik açığı ifşa platformlarından birini işletir. Jamf, kurumsal müşteriler için Apple cihaz yönetimi konusunda uzmanlaşmıştır. Recorded Future, önde gelen bir tehdit istihbaratı sağlayıcısıdır. Tanium ise büyük ölçekte uç nokta yönetimi ve güvenliği sunar.

Bu beş firmanın hepsi Klue müşterisi. Klue, şirketlerin rakip faaliyetlerini izlemelerine yardımcı olan, genellikle çeşitli bağlı iş araçlarından veri toplayan bir pazar istihbaratı platformudur. İşte bu bağlantılı yapı, onu tam olarak yüksek değerli bir hedef haline getirdi. Klue, müşterilerinin sistemleriyle yetkili entegrasyonlara sahip olduğu için, Klue'daki bir ihlal, doğrudan bu müşterilere saldırmaya gerek kalmadan onların ortamlarına sıçramak için bir fırlatma rampası olarak kullanılabiliyordu.

Her firmadan çalınan spesifik veriler tam olarak açıklanmadı, ancak maruziyet, tamamen dahili operasyonel altyapıdan ziyade müşteriye dönük iş sistemlerini içeriyordu.

Klue'nun İhlali Nasıl Güvenlik Tedarikçilerine Yönelik Bir Tedarik Zinciri Saldırısına Dönüştü

Bunun, tek bir pazar araştırma firmasından beş siber güvenlik şirketine nasıl sıçradığının mekaniği, tedarik zinciri saldırılarının tehdit aktörleri için neden bu kadar cazip hale geldiğini tam olarak gözler önüne seriyor. Saldırgan, güçlendirilmiş bir güvenlik tedarikçisini doğrudan ihlal etmeye çalışmak yerine, halihazırda anahtarlara sahip olan daha yumuşak bir üst kaynaktaki hedefi ele geçiriyor.

Klue vakasında saldırı vektörü, bir tehdit grubunun bağlı Salesforce CRM verilerine yetkisiz erişim elde etmesini sağlayan bir OAuth güvenlik açığını içeriyordu. Salesforce CRM veri hırsızlığını mümkün kılan Klue OAuth ihlali hakkındaki daha önceki haberde ele alındığı gibi, "Icarus" olarak bilinen tehdit grubu, birden fazla Klue müşterisinin Salesforce ortamlarına yatay hareket etmek için bu kimlik doğrulama açığından yararlandı. Bu CRM sistemlerine girdikten sonra saldırganlar, şirketlerin genellikle son derece hassas olarak gördüğü yapılandırılmış iş verilerine erişim sağladı: müşteri kayıtları, satış hattı bilgileri, anlaşma geçmişi ve hesap bağlantıları.

Bu, ders kitabı niteliğinde bir tedarik zinciri saldırısıdır. Kurban kuruluşlar, kendi altyapılarını güvence altına alma konusunda teknik olarak yanlış bir şey yapmadılar. Maruz kalmaları tamamen, yönettiği OAuth entegrasyonlarını yeterince koruyamayan üçüncü bir tarafa güvenmelerinden kaynaklandı.

Güvenlik Şirketleri Tehdit Aktörleri İçin Neden Yüksek Değerli Hedeflerdir

Bir tehdit aktörünün özellikle siber güvenlik firmalarının peşine düşmesi ilk bakışta mantıksız görünebilir. Bu kuruluşlar uzman uygulayıcıları istihdam eder, olgun güvenlik programları yürütür ve genellikle saldırıları tespit etmek ve bunlara yanıt vermek için kullanılan araçların ta kendisini inşa ederler.

Ancak bu uzmanlık iki ucu keskin bir bıçaktır. Güvenlik şirketleri olağanüstü hassas veriler tutar. Örneğin HackerOne'ın platformu, güvenlik açığı araştırması ile kurumsal ifşanın kesişim noktasında yer alır. Recorded Future, yanlış ellere geçmesi durumunda savunmacıların aktif tehditler hakkında ne bildiğini ve ne bilmediğini ortaya çıkarabilecek tehdit istihbaratını toplar. Huntress, binlerce küçük işletmenin ağlarına derin görünürlüğe sahiptir. Bu sistemlerden herhangi birine erişebilen bir düşman, yalnızca veri değil, daha geniş güvenlik ekosistemi hakkında stratejik istihbarat da elde eder.

Dahası, güvenlik tedarikçileri, ürünleri işlerini yapmak için ayrıcalıklı erişim gerektirdiğinden, genellikle müşteri ortamlarına derinlemesine entegre olurlar. Bu entegrasyon, daha az değil, daha fazla saldırı yüzeyi yaratır. Klue olayında hedef alınan şirketler kendi ürünleri üzerinden ihlal edilmediler, ancak CRM sistemleri üzerinden erişilebilenlerin değeri muhtemelen bu çabaya değecek kadar önemliydi.

Buradaki model, aracı tedarikçilerin başka türlü iyi savunulan kuruluşlara giriş noktası olarak hizmet ettiği diğer yüksek profilli tedarik zinciri olaylarını da yansıtıyor. Verileri almak ve analiz etmek için rutin olarak CRM'lere ve satış araçlarına bağlanan pazar araştırması ve rekabet istihbaratı platformları, birçok güvenlik ekibinin tedarikçi değerlendirmelerinde tarihsel olarak önceliklendirmediği, yeni ortaya çıkan bir risk kategorisini temsil ediyor.

Bu Sizin İçin Ne Anlama Geliyor

Etkilenen firmalardan herhangi birinde çalışıyorsanız veya onlarla iş yapıyorsanız, atmanız gereken ilk adım, hesap verilerinizin veya iş bilgilerinizin erişilen Salesforce ortamlarında tutulup tutulmadığını doğrulamaktır. Doğrudan tedarikçiyle iletişime geçin ve hangi veri kategorilerinin maruz kaldığına dair ayrıntılı bilgi isteyin.

Daha geniş anlamda bu olay, kendi risk maruziyetini değerlendiren herhangi bir kuruluş için birkaç somut uygulamayı pekiştirmektedir:

• OAuth ve üçüncü taraf entegrasyonlarınızı düzenli olarak denetleyin. CRM'inize, e-postanıza veya iş araçlarınıza bağlanma yetkisi verilmiş herhangi bir platform, gözden geçirilmesi ve mümkün olan en az izinlerle sınırlandırılması gereken bir güven ilişkisine sahiptir.
• Erişimi agresif bir şekilde bölümlere ayırın. Tedarikçiler, yalnızca kendi spesifik işlevlerini yerine getirmek için ihtiyaç duydukları verilere erişebilmelidir. Rakip takip verilerine ihtiyaç duyan bir pazar istihbaratı aracının tam CRM erişimine ihtiyacı yoktur.
• Tedarikçi yığınınız genelinde derinlemesine savunma stratejileri uygulayın. Hiçbir tek güvenlik kontrolü yeterli değildir. Tedarikçi entegrasyonlarına izleme, erişim kontrolleri ve anomali tespitini katmanlar halinde eklemek, herhangi bir tek saldırının etki alanını azaltır.
• Tedarikçi listenizi saldırı yüzeyinizin bir parçası olarak görün. Kuruluşunuzun bağlandığı her SaaS aracı, potansiyel bir giriş noktasıdır. Hangi tedarikçilerin hangi erişim kimlik bilgilerini elinde tuttuğuna dair periyodik incelemeler, bir saldırgandan önce beklenmedik maruziyetleri ortaya çıkarabilir.

Klue olayı, tedarik zinciri saldırılarının pratikte nasıl işlediğine dair faydalı bir vaka çalışmasıdır. Saldırganların Huntress veya HackerOne'ı kendi oyunlarında yenmelerine gerek yoktu. Daha yumuşak bir giriş noktası buldular, bunu istismar ettiler ve orada olanı topladılar. Gizlilik bilincine sahip kullanıcılar ve güvenlik farkındalığı olan kuruluşlar için çıkarılacak ders şudur: güvenlik duruşunuz, tedarikçi ekosisteminizdeki en zayıf entegrasyon kadar güçlüdür. Bir sonraki olaydan önce bu bağlantıları şimdi gözden geçirmek, herhangi bir kuruluşun yapabileceği en uygulanabilir şeydir.