Muhendis
New member
Dijital dönüşüm, tahminen birfazlaca kuruluşun hayatını kurtardı lakin yanlış bulut yapılandırmaları kıymetli güvenlik sıkıntılarına yol açtı. IBM’in 2020 yılı raporuna bakılırsa, 2019 yılında ihlal edildiği rapor edilen 8,5 milyar kaydın yüzde 85’i yanlış yapılandırılmış bulut sunucularına ve sistemlere dayanıyor. Siber güvenlik şirketi ESET bulut yapılandırmasında nelere dikkat edilmesi gerektiğini inceleyerek tekliflerini paylaştı.
Şirketler, dijital dönüşümü global ekonomik krizden çıkmanın anahtarı olarak görüyorlar. Yeni müşteri tecrübelerini ve operasyonel verimliliklerini güçlendirmek hedefiyle tasarlanan uygulamalar, iş süreçlerini destekleyen bulut yatırımları, bu projelerin merkezinde yer alıyor. Gartner’e nazaran, 2021 yılında global genel bulut hizmetleri harcamaları yüzde 18,4 artarak yaklaşık 305 milyar dolara çıkacak. 2022 yılında da artışın yüzde 19 olacağı varsayım ediliyor.
Data ihlallerinin maliyetleri artıyor
IBM tarafınca yayınlanan rapora nazaran ise data ihlali maliyetleri geçen yılın raporunda 3,86 milyon Amerikan dolarıyken, bu yıl bu maliyet yüzde 10 artarak 4,24 milyon Amerikan doları oldu. 50 ila 65 milyon fiyatındaki “mega ihlaller” için ise, bu maliyet 2020 yılında 392 milyon Amerikan dolarıyken, yüzde 2 artışla 401 milyon Amerikan doları düzeyine geldi. Rapora göre çalıntı kullanıcı ayrıntıları ihlallerin en büyük niçinleri içinde yer alıyor. Müşterilerin şahsi dataları (parolalar ve isimler de dahil) bu hadiselerde ifşa olan en yaygın bilgi cinslerinden ve ihlallerin yüzde 44’ünü oluşturuyor.
Yanlış yapılandırmalar hassas bilgileri berbat maksatlı aktörlere maruz bıraktığı için insan kusurunun kapılarını aralıyor. Geçen yıl bir İspanyol otel rezervasyonu yazılımı geliştiricisinin niye olduğu ve milyonlarca insanı etkileyen sızıntı üzere, bu kayıtlar kimi vakit kişi tanımlayabilir bilgiler (PII) içerebiliyor.
Hibrit uygulamalar karışıklığa yol açabilir
Korunmasız veritabanlarını tarayan tehdit aktörlerinin sayısı gün geçtikçe artıyor. Geçmiş senelerda veritabanları silindi, haraca bağlandı, dijital ağ tarama kodu ile maksat alındı. Nezaret eksikliği, yetersiz unsur farkındalığı, daima takip olmayışı, yönetilmesi gereken çok fazla sayıda bulut API’si ve sistemi olması sorunu ortaya çıkaran niçinler içinde yer alıyor. Kuruluşlar birden çok hibrit bulut ortamına yatırım yaptıkları için bilhassa sonuncusu fazlaca tesirli. Varsayımlara bakılırsa, bugün şirketlerin yüzde 92’sinin oldukcalu bulut stratejisi varken, yüzde 82’si hibrit bulut stratejisine sahip ve bu da karmaşayı arttırıyor.
Yanlış bulut yapılandırmaları farklı biçimlerde olabilir:
Erişim sonlandırmalarının olmaması.
Çok özgür güvenlik kümesi prensipleri.
Müsaade denetimlerinin olmaması.
Yanlış anlaşılmış internete bağlanabilirlik yolları
Yanlış yapılandırılmış sanallaştırılmış ağ fonksiyonları
Yanlış bulut yapılandırması nasıl düzeltilir?
Kuruluşlar için kıymetli olan, meseleleri otomatik olarak ve en kısa müddette bulup onarmaktır. Fakat bunu başaramıyorlar. Bir rapora nazaran, bir saldırgan yanlış yapılandırmaları 10 dakika ortasında algılarken kuruluşların yalnızca yüzde 10’u bu sıkıntıları birebir mühlet ortasında giderebiliyor. Kuruluşların yarısı (%45) yanlış yapılandırmaları bir saat ile bir hafta içinde bir süre ortasında düzeltiyor.
Düzgünleştirmek için neler yapılabilir?
Birinci adım, bulut güvenliğinin paylaşılan sorumluluk modelini anlamaktan geçiyor. Bu hangi bakılırsavlerle hizmet sağlayıcının (CSP) ilgileneceğini ve nelerin müşterinin misyon alanına girdiğini gösterir. CSP’ler bulutun güvenliğinden (donanım, yazılım, ağ kontağı ve öteki altyapı) sorumlu olsa da, müşteriler de bulutta güvenliğin sorumluluğunu üstlenmek zorunda.Bu sağlandıktan daha sonra şunlar yapılabilir;
İzinleri sonlandırın: Kullanıcılara ve hesaplara en düşük ayrıcalığı verme unsurunu uygulayın ve bu biçimdece riske maruz kalma mümkünlüğünü en aza indirgeyin.
Dataları şifreleyin: Bir sızıntının tesirini hafifçeletmek için iş açısından kıymetli ya da kontrole tabi datalara kuvvetli şifreleme uygulayın.
Yetkilendirmedilk evvel ahengi denetleyin: Kod olarak altyapıya öncelik verin ve geliştirme hayat döngüsünde, prensip yapılandırmasını olabildiğince erken otomatik hale getirin.
Daima denetleyin: Bulut kaynakları her insanın bildiği üzere kısa ömürlü ve değişkendir ve ahenk ihtiyaçları de vakit ortasında değişir. Bu da, unsura dayalı daima yapılandırma kontrollerini gerekli hale getirir. Bu süreci otomatikleştirmek ve kolaylaştırmak için Bulut Güvenliği Durumunun İdaresi (CSPM) araçlarını kullanmayı düşünün.
Gerçek strateji yardımıyla bulut güvenliği riskini daha tesirli yönetebilecek ve çalışanı öbür yerlerde daha verimli olacakları biçimde özgür kılabileceksiniz. Kaybedecek vakit yok zira tehdit aktörleri korunmasız bulut datalarını bulmakta her geçen gün daha ustalaşıyor.
Hibya Haber Ajansı
Şirketler, dijital dönüşümü global ekonomik krizden çıkmanın anahtarı olarak görüyorlar. Yeni müşteri tecrübelerini ve operasyonel verimliliklerini güçlendirmek hedefiyle tasarlanan uygulamalar, iş süreçlerini destekleyen bulut yatırımları, bu projelerin merkezinde yer alıyor. Gartner’e nazaran, 2021 yılında global genel bulut hizmetleri harcamaları yüzde 18,4 artarak yaklaşık 305 milyar dolara çıkacak. 2022 yılında da artışın yüzde 19 olacağı varsayım ediliyor.
Data ihlallerinin maliyetleri artıyor
IBM tarafınca yayınlanan rapora nazaran ise data ihlali maliyetleri geçen yılın raporunda 3,86 milyon Amerikan dolarıyken, bu yıl bu maliyet yüzde 10 artarak 4,24 milyon Amerikan doları oldu. 50 ila 65 milyon fiyatındaki “mega ihlaller” için ise, bu maliyet 2020 yılında 392 milyon Amerikan dolarıyken, yüzde 2 artışla 401 milyon Amerikan doları düzeyine geldi. Rapora göre çalıntı kullanıcı ayrıntıları ihlallerin en büyük niçinleri içinde yer alıyor. Müşterilerin şahsi dataları (parolalar ve isimler de dahil) bu hadiselerde ifşa olan en yaygın bilgi cinslerinden ve ihlallerin yüzde 44’ünü oluşturuyor.
Yanlış yapılandırmalar hassas bilgileri berbat maksatlı aktörlere maruz bıraktığı için insan kusurunun kapılarını aralıyor. Geçen yıl bir İspanyol otel rezervasyonu yazılımı geliştiricisinin niye olduğu ve milyonlarca insanı etkileyen sızıntı üzere, bu kayıtlar kimi vakit kişi tanımlayabilir bilgiler (PII) içerebiliyor.
Hibrit uygulamalar karışıklığa yol açabilir
Korunmasız veritabanlarını tarayan tehdit aktörlerinin sayısı gün geçtikçe artıyor. Geçmiş senelerda veritabanları silindi, haraca bağlandı, dijital ağ tarama kodu ile maksat alındı. Nezaret eksikliği, yetersiz unsur farkındalığı, daima takip olmayışı, yönetilmesi gereken çok fazla sayıda bulut API’si ve sistemi olması sorunu ortaya çıkaran niçinler içinde yer alıyor. Kuruluşlar birden çok hibrit bulut ortamına yatırım yaptıkları için bilhassa sonuncusu fazlaca tesirli. Varsayımlara bakılırsa, bugün şirketlerin yüzde 92’sinin oldukcalu bulut stratejisi varken, yüzde 82’si hibrit bulut stratejisine sahip ve bu da karmaşayı arttırıyor.
Yanlış bulut yapılandırmaları farklı biçimlerde olabilir:
Erişim sonlandırmalarının olmaması.
Çok özgür güvenlik kümesi prensipleri.
Müsaade denetimlerinin olmaması.
Yanlış anlaşılmış internete bağlanabilirlik yolları
Yanlış yapılandırılmış sanallaştırılmış ağ fonksiyonları
Yanlış bulut yapılandırması nasıl düzeltilir?
Kuruluşlar için kıymetli olan, meseleleri otomatik olarak ve en kısa müddette bulup onarmaktır. Fakat bunu başaramıyorlar. Bir rapora nazaran, bir saldırgan yanlış yapılandırmaları 10 dakika ortasında algılarken kuruluşların yalnızca yüzde 10’u bu sıkıntıları birebir mühlet ortasında giderebiliyor. Kuruluşların yarısı (%45) yanlış yapılandırmaları bir saat ile bir hafta içinde bir süre ortasında düzeltiyor.
Düzgünleştirmek için neler yapılabilir?
Birinci adım, bulut güvenliğinin paylaşılan sorumluluk modelini anlamaktan geçiyor. Bu hangi bakılırsavlerle hizmet sağlayıcının (CSP) ilgileneceğini ve nelerin müşterinin misyon alanına girdiğini gösterir. CSP’ler bulutun güvenliğinden (donanım, yazılım, ağ kontağı ve öteki altyapı) sorumlu olsa da, müşteriler de bulutta güvenliğin sorumluluğunu üstlenmek zorunda.Bu sağlandıktan daha sonra şunlar yapılabilir;
İzinleri sonlandırın: Kullanıcılara ve hesaplara en düşük ayrıcalığı verme unsurunu uygulayın ve bu biçimdece riske maruz kalma mümkünlüğünü en aza indirgeyin.
Dataları şifreleyin: Bir sızıntının tesirini hafifçeletmek için iş açısından kıymetli ya da kontrole tabi datalara kuvvetli şifreleme uygulayın.
Yetkilendirmedilk evvel ahengi denetleyin: Kod olarak altyapıya öncelik verin ve geliştirme hayat döngüsünde, prensip yapılandırmasını olabildiğince erken otomatik hale getirin.
Daima denetleyin: Bulut kaynakları her insanın bildiği üzere kısa ömürlü ve değişkendir ve ahenk ihtiyaçları de vakit ortasında değişir. Bu da, unsura dayalı daima yapılandırma kontrollerini gerekli hale getirir. Bu süreci otomatikleştirmek ve kolaylaştırmak için Bulut Güvenliği Durumunun İdaresi (CSPM) araçlarını kullanmayı düşünün.
Gerçek strateji yardımıyla bulut güvenliği riskini daha tesirli yönetebilecek ve çalışanı öbür yerlerde daha verimli olacakları biçimde özgür kılabileceksiniz. Kaybedecek vakit yok zira tehdit aktörleri korunmasız bulut datalarını bulmakta her geçen gün daha ustalaşıyor.
Hibya Haber Ajansı