28 Oktober 2022
Oleh Thyaga Vasudevan - Wakil Presiden Manajemen Produk, Skyhigh Security
Dijuluki "BlueBleed," pelanggaran Microsoft baru-baru ini yang ditemukan oleh penyedia intelijen ancaman SOCRadar menyoroti risiko kesalahan konfigurasi penyimpanan cloud dan menunjukkan bahwa perusahaan tidak dapat sepenuhnya bergantung pada Penyedia Layanan Cloud (CSP) untuk menyediakan dan memikul tanggung jawab atas jaminan keamanan. Kesalahan konfigurasi terus menjadi penyebab utama pelanggaran, menurut Laporan Investigasi Pelanggaran Data Verizon 2022, yang menunjukkan bahwa kesalahan tersebut merupakan penyebab 13% dari pelanggaran tahun lalu. Karena kesalahan konfigurasi adalah hasil dari kesalahan manusia, maka harus diasumsikan bahwa tidak ada CSP yang sepenuhnya aman.
Apa yang terjadi?
Dalam tanggapannya pada tanggal 19 Oktober, Microsoft Security Response Center (MSRC) mengatakan bahwa mereka mengalami "kesalahan konfigurasi yang tidak disengaja" yang menyebabkan "potensi akses yang tidak terautentikasi" terhadap data pelanggan, yang menurut organisasi ini berisi "nama, alamat email, konten email, nama perusahaan, dan nomor telepon, serta kemungkinan menyertakan file terlampir yang berkaitan dengan bisnis antara pelanggan dan Microsoft atau mitra Microsoft yang resmi." MSRC tidak memberikan rincian lebih lanjut mengenai jumlah perusahaan yang terkena dampak dan tampaknya meremehkan insiden tersebut.
Menurut SOCRadar, dalam tindak lanjut keesokan harinya dari postingan awal, pelanggaran tersebut melibatkan enam bucket cloud besar yang terdiri dari data sensitif milik 150.000 perusahaan di 123 negara. Bucket terbesar dari bucket yang salah konfigurasi tersebut berisi 2,4 TB data milik 65.000 entitas di 111 negara.
Pada tanggal 20 Oktober, peneliti keamanan siber terkenal Kevin Beaumont melaporkan bahwa ember Microsoft telah diindeks secara publik dan dapat dibaca selama berbulan-bulan oleh layanan seperti Grayhat Warfare. Dia mengklaim bahwa pernyataan resmi MSRC menunjukkan bahwa mereka "tidak tahu bagaimana keamanan siber bekerja di dunia nyata" dan bahwa kegagalannya untuk memberi tahu regulator dan penolakan untuk memberi tahu pelanggan tentang data apa yang diambil merupakan "ciri khas dari respons yang gagal."
Sebuah artikel tanggal 21 Oktober oleh The Hacker News melaporkan: "Tidak ada bukti bahwa informasi tersebut diakses secara tidak semestinya oleh para pelaku ancaman sebelum pengungkapan," tetapi selanjutnya mencatat bahwa kebocoran tersebut dapat dieksploitasi untuk tujuan jahat.
Mengapa ini penting
Data yang bocor dapat mencakup beberapa informasi sensitif tentang infrastruktur dan konfigurasi jaringan pelanggan dan calon pelanggan Microsoft. Peretas yang mencari kerentanan di salah satu infrastruktur organisasi yang terkena dampak mungkin akan menemukan data ini berharga dan dapat menggunakannya untuk mengeksploitasi jaringan mereka.
Apa yang dapat Anda lakukan untuk mengatasinya
Mulailah dengan mengenali bahwa CSP memiliki potensi untuk meningkatkan permukaan serangan organisasi Anda. Anda harus meninjau Perjanjian Tingkat Layanan (SLA) dengan CSP Anda dengan cermat untuk memahami siapa yang bertanggung jawab atas apa dan untuk memperjelas tanggung jawab masing-masing pihak. Hal ini biasanya diuraikan dalam Model Tanggung Jawab Bersama, kerangka kerja keamanan dan kepatuhan yang menguraikan tanggung jawab keamanan untuk setiap aspek lingkungan cloud. Ini termasuk perangkat keras, infrastruktur, titik akhir, data, konfigurasi, pengaturan, sistem operasi, kontrol jaringan, dan hak akses. Dalam praktiknya, baik CSP maupun pelanggan berperan dalam memastikan keamanan, tetapi ada beberapa aset tertentu yang memiliki kontrol langsung dan tanggung jawab penuh, karena pihak lain tidak memiliki visibilitas ke aset tersebut. Model keamanan bersama ini rumit tetapi menawarkan manfaat efisiensi, perlindungan yang lebih baik, dan keahlian.
Tugas dan fungsi keamanan akan bervariasi tergantung pada model penyampaian layanan cloud: Perangkat Lunak sebagai Layanan (SaaS), Platform sebagai Layanan (PaaS), atau Infrastruktur sebagai Layanan (IaaS). Meskipun lingkungan IaaS dan PaaS memberikan pilihan dan fleksibilitas yang lebih besar kepada pelanggan, namun keduanya juga memiliki risiko keamanan yang lebih besar jika tidak dikonfigurasi dengan benar.
Menurut Cloud-Native: Laporan Adopsi dan Risiko Infrastruktur-as-a-Service, 99% kesalahan konfigurasi IaaS tidak diketahui. Security Service Edge (SSE) membantu para profesional keamanan menangkap konfigurasi berisiko sebelum menjadi ancaman dalam produksi. Dengan menyoroti temuan keamanan sebelum menjadi insiden keamanan, SSE juga dapat membantu meningkatkan kepatuhan terhadap kerangka kerja peraturan dan mengurangi kemungkinan kehilangan data, penyalahgunaan, atau denda yang terkait dengan kontrol keamanan yang tidak tepat.
Waktu yang akan menjawab apa yang akan terjadi dengan kebocoran BlueBleed. Jika Anda tidak ingin mengambil risiko terkena dampak dari pelanggaran tersebut, teknologi Skyhigh Security Service Edge teknologi Skyhigh dapat membantu. Kemampuan CSPM-nya yang unik dan sadar data memungkinkan pelanggan untuk mendeteksi kesalahan konfigurasi dan membantu menunjukkan area-area kritis dalam infrastruktur Public Cloud yang berisi data sensitif yang paling rentan terhadap kebocoran data.
Kembali ke Blog