Makineler sanal güvenlik açıkları gerçek

Bulut sanal makineler hız, ölçek ve esneklik sunuyor ancak kendi başlarına bırakıldıklarında risk oluşturuyor. Amazon Web Services’in 2000’lerin ortasında S3 ve ardından EC2 hizmetlerini devreye alması, modern bulut depolama ve bilgi işlem dönemini başlatmıştı. Bugün ise iş yüklerini buluta taşımayan veya taşımayı planlamayan çok az kurum bulunuyor. Bazıları tamamen bulutta, bazıları ise çoklu bulut kurulumlarında bulut iş yüklerini şirket içi kaynaklarla eşleştirerek çalışıyor.

Tüm bu yapılar içinde öne çıkan ortak sorun ise aynı: Sanal makine (VM) yayılması. Yani, zamanla kendi başına bırakılan sanal makinelerin kontrolsüz şekilde çoğalması. Siber güvenlik alanında dünya lideri olan ESET sanal makinelerdeki güvenlik açıklarını mercek altına aldı.

Bulut servis sağlayıcıları yeni sanal makinelerin oluşturulmasını kolaylaştırıyor ancak bu devreden çıkarılması çoğu zaman aynı hızla yapılmıyor. Çoklu bulut ortamlarında bu durum, güvenlik operasyonlarının dışında kalan iş yüklerinin artmasına neden oluyor. Genel bulut hizmeti sağlayıcıları

(CSP) temel koruma sağlasa da işletim sistemi güncellemeleri, izleme ve erişim politikalarının güncellenmesi müşteriye ait sorumluluklar arasında yer alıyor. Bu nedenle sanal makinelerin fark edilmeden “kontrolden çıkma” riski artıyor.

Bulut görünürlüğü ise birçok kuruluş için kalıcı bir sorun. Kuruluşların yalnızca yüzde 23’ü tüm iş yüklerine kapsamlı şekilde hâkim olduklarını belirtiyor. VM filolarının kontrolsüz büyümesi bu sorunu daha da derinleştiriyor. Yanlış yapılandırılmış depolama alanları ve açık API’ler ihlallerde öne çıkarken, sanal makine kötüye kullanımı genellikle fark edilmesi zor bir şekilde gerçekleşiyor. Bir makine öğrenimi mühendisi için hazırlanan ve geniş okuma, yazma erişimi verilen bir VM, proje sona erdikten sonra çoğu kez olduğu gibi kendi haline bırakılabiliyor. Bu ise saldırganlar için önemli bir fırsat alanı oluşturuyor.

Terk edilmiş sanal makineler ciddi risk taşıyor

Terk edilen bir VM, yalnızca kullanılmayan bir kaynak değil; aynı zamanda kötü niyetli kişiler tarafından istismar edilebilecek bir varlık. VM’ler aynı sanal özel bulut (VPC) veya sanal ağ (VNet) içinde kısıtlama olmadan iletişim kurabildiğinden, bir VM komşu örnekleri inceleyebilir, veri tabanlarına erişebilir ve izinleri kötüye kullanabilir. Ağ mikro-bölümlendirme çoğu zaman zor olduğu için bu risk büyüyor. Hibrit kimlikli hibrit ortamlarda karmaşıklık daha da artıyor.

Geçmiş saldırı örnekleri de bu riski doğruluyor. Bir saldırı kampanyasında tehdit aktörleri, dâhili RDP ile AWS EC2 örnekleri arasında hareket etmiş, sızdırdıkları veriyi sanal makinelere taşımış ve fidye yazılımı yaymıştı. İzleme sistemleri bunu tespit etmiş olsa da otomatik yanıt mekanizması olmadığından saldırı devam etmişti. Başka örneklerde ise ele geçirilen hesaplar üzerinden kısa ömürlü VM’ler saldırı altyapısı olarak kullanıldı.

Yayılmayla mücadelede zorluklar

BT ve güvenlik ekipleri genellikle küçük ve yoğun bir iş yüküne sahip. Platform bağımlı karmaşık ürünler, sanal makine yayılması gibi gözden kaçan risklerin yönetimini daha da zorlaştırıyor. Bir olay kimlik suistimalini içeriyorsa, sahte bir VM üzerinden yapılan işlemler normal görünebilir. Bu nedenle, anormallikleri tespit edebilmek için VM içindeki faaliyetlerin kimliğin genel ortamda yaptıklarıyla ilişkilendirilmesi gerekiyor. Entra ID ve Active Directory entegrasyonu bu süreçte kritik önem taşıyor.

Hız da bir diğer önemli konu. Güvenliği ihlal edilen bir iş yükü, şirket içi kaynaklara kısa sürede ulaşabilir. Yanal hareket başlamadan VM’nin otomatik olarak izole edilmesi büyük önem taşıyor. Bu noktada yapay zekâ destekli korelasyon ve çalışma zamanı algılama teknolojileri devreye giriyor. Yakın dönem anketlerine göre, her üç KOBİ’den biri saldırı sonrası para cezası aldı. NIST 800-53 ve PCI DSS 4.0 gibi çerçeveler, bulut iş yükü güvenliği konusunda giderek daha spesifik hale geliyor.

Bulut ve şirket içi ortamlar için büyük resim

IBM’in bir raporuna göre ihlallerin yüzde 30’u birden fazla ortamı etkiledi. İhlallerde maliyetler, saldırganların sisteme eriştiği süreyle doğrudan ilişkili. Görünürlüğü sınırlı olan kuruluşlar, çoğu kez müşteri şikâyeti gibi dış sinyallerle ihlali fark ediyor ve bu süre içinde saldırgan haftalar boyunca erişim sağlayabiliyor.

Sanal makineler bulutun en eski ve en sık kullanılan kaynakları arasında yer alıyor. VM yayılması sessizce ilerliyor ve çoğu kez sorun ortaya çıktıktan sonra fark ediliyor. Korunmasız iş yükleri kimlik taşıyor ve ortamlarda geleneksel güvenlik denetimlerinin yakalayamayacağı trafik modelleriyle iletişim kuruyor.

Bu nedenle her kuruluşun, tüm bulut platformlarındaki VM filolarını envantere dahil etmesi, izinleri gözden geçirmesi ve gereksiz erişim açıklıklarına karşı kontroller yapması gerekiyor.