Dijital dönüşüm, tahminen biroldukca kuruluşun hayatını kurtardı ancak yanlış bulut yapılandırmaları kıymetli güvenlik meselelerine yol açtı. IBM’in 2020 yılı raporuna göre, 2019 yılında ihlal edildiği rapor edilen 8,5 milyar kaydın yüzde 85’i yanlış yapılandırılmış bulut sunucularına ve sistemlere dayanıyor. Siber güvenlik şirketi ESET bulut yapılandırmasında nelere dikkat edilmesi gerektiğini inceleyerek tekliflerini paylaştı.
Şirketler, dijital dönüşümü global ekonomik krizden çıkmanın anahtarı olarak görüyorlar. Yeni müşteri tecrübelerini ve operasyonel verimliliklerini güçlendirmek gayesiyle tasarlanan uygulamalar, iş süreçlerini destekleyen bulut yatırımları, bu projelerin merkezinde yer alıyor. Gartner’e bakılırsa, 2021 yılında global genel bulut hizmetleri harcamaları yüzde 18,4 artarak yaklaşık 305 milyar dolara çıkacak. 2022 yılında da artışın yüzde 19 olacağı kestirim ediliyor.
Data ihlallerinin maliyetleri artıyor
IBM tarafınca yayınlanan rapora göre ise bilgi ihlali maliyetleri geçen yılın raporunda 3,86 milyon Amerikan dolarıyken, bu yıl bu maliyet yüzde 10 artarak 4,24 milyon Amerikan doları oldu. 50 ila 65 milyon fiyatındaki “mega ihlaller” için ise, bu maliyet 2020 yılında 392 milyon Amerikan dolarıyken, yüzde 2 artışla 401 milyon Amerikan doları düzeyine geldi. Rapora bakılırsa çalıntı kullanıcı ayrıntıları ihlallerin en büyük niçinleri içinde yer alıyor. Müşterilerin şahsi bilgileri (parolalar ve isimler de dahil) bu olaylarda ifşa olan en yaygın data çeşitlerinden ve ihlallerin yüzde 44’ünü oluşturuyor.
Yanlış yapılandırmalar hassas dataları berbat emelli aktörlere maruz bıraktığı için insan kusurunun kapılarını aralıyor. Geçen yıl bir İspanyol otel rezervasyonu yazılımı geliştiricisinin niye olduğu ve milyonlarca insanı etkileyen sızıntı üzere, bu kayıtlar kimi vakit kişi tanımlayabilir bilgiler (PII) içerebiliyor.
Hibrit uygulamalar kaosa yol açabilir
Korunmasız veritabanlarını tarayan tehdit aktörlerinin sayısı gün geçtikçe artıyor. Geçmiş senelerda veritabanları silindi, haraca bağlandı, dijital ağ tarama kodu ile gaye alındı. Nezaret eksikliği, yetersiz prensip farkındalığı, daima takip olmayışı, yönetilmesi gereken epeyce fazla sayıda bulut API’si ve sistemi olması sorunu ortaya çıkaran niçinler içinde yer alıyor. Kuruluşlar birden çok hibrit bulut ortamına yatırım yaptıkları için bilhassa sonuncusu epeyce tesirli. Varsayımlara bakılırsa, bugün şirketlerin yüzde 92’sinin oldukçalu bulut stratejisi varken, yüzde 82’si hibrit bulut stratejisine sahip ve bu da karmaşayı arttırıyor.
Yanlış bulut yapılandırmaları farklı biçimlerde olabilir:
Kuruluşlar için değerli olan, meseleleri otomatik olarak ve en kısa müddette bulup onarmaktır. Lakin bunu başaramıyorlar. Bir rapora göre, bir saldırgan yanlış yapılandırmaları 10 dakika ortasında algılarken kuruluşların yalnızca yüzde 10’u bu meseleleri tıpkı mühlet ortasında giderebiliyor. Kuruluşların yarısı (45) yanlış yapılandırmaları bir saat ile bir hafta içinde bir süre ortasında düzeltiyor.
Düzgünleştirmek için neler yapılabilir?
Birinci adım, bulut güvenliğinin paylaşılan sorumluluk modelini anlamaktan geçiyor. Bu hangi nazaranvlerle hizmet sağlayıcının (CSP) ilgileneceğini ve nelerin müşterinin bakılırsav alanına girdiğini gösterir. CSP’ler bulutun güvenliğinden (donanım, yazılım, ağ ilişkisi ve öteki altyapı) sorumlu olsa da, müşteriler de bulutta güvenliğin sorumluluğunu üstlenmek zorunda.Bu sağlandıktan daha sonra şunlar yapılabilir;
Müsaadeleri sonlandırın: Kullanıcılara ve hesaplara en düşük ayrıcalığı verme unsurunu uygulayın ve bu biçimdece riske maruz kalma mümkünlüğünü en aza indirgeyin.
Bilgileri şifreleyin: Bir sızıntının tesirini hafifçeletmek için iş açısından değerli ya da kontrole tabi bilgilere kuvvetli şifreleme uygulayın.
Yetkilendirmedilk evvel ahengi denetleyin: Kod olarak altyapıya öncelik verin ve geliştirme hayat döngüsünde, prensip yapılandırmasını olabildiğince erken otomatik hale getirin.
Daima denetleyin: Bulut kaynakları her insanın bildiği üzere kısa ömürlü ve değişkendir ve ahenk ihtiyaçları de vakit ortasında değişir. Bu da, prensibe dayalı daima yapılandırma kontrollerini gerekli hale getirir. Bu süreci otomatikleştirmek ve kolaylaştırmak için Bulut Güvenliği Durumunun İdaresi (CSPM) araçlarını kullanmayı düşünün.
Gerçek strateji yardımıyla bulut güvenliği riskini daha tesirli yönetebilecek ve çalışanı öteki yerlerde daha verimli olacakları biçimde özgür kılabileceksiniz. Kaybedecek vakit yok zira tehdit aktörleri korunmasız bulut bilgilerini bulmakta her geçen gün daha ustalaşıyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
Şirketler, dijital dönüşümü global ekonomik krizden çıkmanın anahtarı olarak görüyorlar. Yeni müşteri tecrübelerini ve operasyonel verimliliklerini güçlendirmek gayesiyle tasarlanan uygulamalar, iş süreçlerini destekleyen bulut yatırımları, bu projelerin merkezinde yer alıyor. Gartner’e bakılırsa, 2021 yılında global genel bulut hizmetleri harcamaları yüzde 18,4 artarak yaklaşık 305 milyar dolara çıkacak. 2022 yılında da artışın yüzde 19 olacağı kestirim ediliyor.
Data ihlallerinin maliyetleri artıyor
IBM tarafınca yayınlanan rapora göre ise bilgi ihlali maliyetleri geçen yılın raporunda 3,86 milyon Amerikan dolarıyken, bu yıl bu maliyet yüzde 10 artarak 4,24 milyon Amerikan doları oldu. 50 ila 65 milyon fiyatındaki “mega ihlaller” için ise, bu maliyet 2020 yılında 392 milyon Amerikan dolarıyken, yüzde 2 artışla 401 milyon Amerikan doları düzeyine geldi. Rapora bakılırsa çalıntı kullanıcı ayrıntıları ihlallerin en büyük niçinleri içinde yer alıyor. Müşterilerin şahsi bilgileri (parolalar ve isimler de dahil) bu olaylarda ifşa olan en yaygın data çeşitlerinden ve ihlallerin yüzde 44’ünü oluşturuyor.
Yanlış yapılandırmalar hassas dataları berbat emelli aktörlere maruz bıraktığı için insan kusurunun kapılarını aralıyor. Geçen yıl bir İspanyol otel rezervasyonu yazılımı geliştiricisinin niye olduğu ve milyonlarca insanı etkileyen sızıntı üzere, bu kayıtlar kimi vakit kişi tanımlayabilir bilgiler (PII) içerebiliyor.
Hibrit uygulamalar kaosa yol açabilir
Korunmasız veritabanlarını tarayan tehdit aktörlerinin sayısı gün geçtikçe artıyor. Geçmiş senelerda veritabanları silindi, haraca bağlandı, dijital ağ tarama kodu ile gaye alındı. Nezaret eksikliği, yetersiz prensip farkındalığı, daima takip olmayışı, yönetilmesi gereken epeyce fazla sayıda bulut API’si ve sistemi olması sorunu ortaya çıkaran niçinler içinde yer alıyor. Kuruluşlar birden çok hibrit bulut ortamına yatırım yaptıkları için bilhassa sonuncusu epeyce tesirli. Varsayımlara bakılırsa, bugün şirketlerin yüzde 92’sinin oldukçalu bulut stratejisi varken, yüzde 82’si hibrit bulut stratejisine sahip ve bu da karmaşayı arttırıyor.
Yanlış bulut yapılandırmaları farklı biçimlerde olabilir:
- Erişim sonlandırmalarının olmaması.
- Çok hür güvenlik kümesi unsurları.
- Müsaade denetimlerinin olmaması.
- Yanlış anlaşılmış internete bağlanabilirlik yolları
- Yanlış yapılandırılmış sanallaştırılmış ağ fonksiyonları
Kuruluşlar için değerli olan, meseleleri otomatik olarak ve en kısa müddette bulup onarmaktır. Lakin bunu başaramıyorlar. Bir rapora göre, bir saldırgan yanlış yapılandırmaları 10 dakika ortasında algılarken kuruluşların yalnızca yüzde 10’u bu meseleleri tıpkı mühlet ortasında giderebiliyor. Kuruluşların yarısı (45) yanlış yapılandırmaları bir saat ile bir hafta içinde bir süre ortasında düzeltiyor.
Düzgünleştirmek için neler yapılabilir?
Birinci adım, bulut güvenliğinin paylaşılan sorumluluk modelini anlamaktan geçiyor. Bu hangi nazaranvlerle hizmet sağlayıcının (CSP) ilgileneceğini ve nelerin müşterinin bakılırsav alanına girdiğini gösterir. CSP’ler bulutun güvenliğinden (donanım, yazılım, ağ ilişkisi ve öteki altyapı) sorumlu olsa da, müşteriler de bulutta güvenliğin sorumluluğunu üstlenmek zorunda.Bu sağlandıktan daha sonra şunlar yapılabilir;
Müsaadeleri sonlandırın: Kullanıcılara ve hesaplara en düşük ayrıcalığı verme unsurunu uygulayın ve bu biçimdece riske maruz kalma mümkünlüğünü en aza indirgeyin.
Bilgileri şifreleyin: Bir sızıntının tesirini hafifçeletmek için iş açısından değerli ya da kontrole tabi bilgilere kuvvetli şifreleme uygulayın.
Yetkilendirmedilk evvel ahengi denetleyin: Kod olarak altyapıya öncelik verin ve geliştirme hayat döngüsünde, prensip yapılandırmasını olabildiğince erken otomatik hale getirin.
Daima denetleyin: Bulut kaynakları her insanın bildiği üzere kısa ömürlü ve değişkendir ve ahenk ihtiyaçları de vakit ortasında değişir. Bu da, prensibe dayalı daima yapılandırma kontrollerini gerekli hale getirir. Bu süreci otomatikleştirmek ve kolaylaştırmak için Bulut Güvenliği Durumunun İdaresi (CSPM) araçlarını kullanmayı düşünün.
Gerçek strateji yardımıyla bulut güvenliği riskini daha tesirli yönetebilecek ve çalışanı öteki yerlerde daha verimli olacakları biçimde özgür kılabileceksiniz. Kaybedecek vakit yok zira tehdit aktörleri korunmasız bulut bilgilerini bulmakta her geçen gün daha ustalaşıyor.
Kaynak: (BHA) – Beyaz Haber Ajansı