Yazan: Patrick Pocalyko, GM Kuzey Amerika, CYREBRO
Siber güvenlik teknolojisi, bulutun güvenliğini sağlamak için kritik öneme sahiptir ancak insanların da önemli bir rol oynadığını unutmak kolaydır. Gerçek şu ki, güvenlik ve bulut güvenliği olaylarının büyük çoğunluğu hâlâ doğrudan veya dolaylı olarak teknolojiden değil insanlardan kaynaklanıyor. Bulut dağıtımlarını savunmasız bırakan en yaygın insan hatalarından bazılarını ve bunların nasıl düzeltileceğini burada bulabilirsiniz.
Değiştirilebilir İnsan Hatası #1 – Paylaşılan Güvenlik Sorumluluğunun Yanlış Anlaşılması
Verileri, uygulamaları veya herhangi bir tür bilgi işlem kaynağını buluta taşıdığınızda, güvenlikten bulut sağlayıcısının sorumlu olduğu yaygın bir yanlış algıdır. Aslında tam tersi doğrudur. Tüm büyük bulut sağlayıcıları, paylaşılan güvenlik sorumluluğu modeli olarak adlandırılan model üzerinde çalışır.
“Paylaşılan” terimi biraz yanıltıcıdır. Daha çok “bölünmüş” gibi. Bulut sağlayıcının sorumluluğu altyapısıyla sona erer. Çevrelerine getirdiğiniz her şey sizin sorumluluğunuzdadır. Bu, bulut güvenliği yükünün %90’dan fazlasının kullanıcılara ait olduğu anlamına gelir. Gartner’ın bulut güvenliği başarısızlıklarının %99’unun müşterinin hatası olduğu sonucuna varmasının nedeni de muhtemelen budur.
Çözüm:
Bilgi Güçtür. Bulut sağlayıcınızın sunduğu korumanın kapsamını anlayın ve farkı telafi edecek şirket içi veya dış kaynaklı becerilere sahip olduğunuzdan emin olun.
Düzeltilebilir İnsan Hatası #2 – Yanlış Yapılandırmalar
İyi haber şu ki, güvenlik uzmanları düzgün yapılandırılmış bir bulut ortamının aslında nadiren ihlal edildiğini biliyor. Kötü haber şu ki, bulut ortamlarının büyük çoğunluğu en hafif tabirle doğru şekilde yapılandırılmamış.
Bunun harika bir örneği, otomobil üreticisi Toyota’da yakın zamanda ortaya çıkan bir ihlaldir.. Bulutun yanlış yapılandırılmasından kaynaklanan bu ihlal, on yıldan fazla sürdü ve iki milyondan fazla müşteriyi etkiledi.
Bu neden oluyor? Paylaşılan güvenlik sorumluluğu modeli kapsamında, BT ekiplerinizin birçok manuel güvenlik yapılandırması yapması gerekir. Ancak BT ekipleri her zaman bulut güvenliği uzmanları (hatta bu konuda bulut uzmanları) olmayabilir. Bu ekipler sıklıkla varsayılan sağlayıcı ayarlarına güveniyor; bu ayarlar, tehdit aktörlerinin elbette sevdiği ayarlardır. Bu ayarlar, örneğin, bir veya daha fazla veri tabanına sahip şirketlerin %55’ini yanlış yapılandırılmış yollar veya kimlik doğrulama gereksinimleri nedeniyle internete açık hale getirir. Daha da kötüsü, bulut dağıtımlarının ölçeklenebilirliği, tek bir yanlış yapılandırılmış ayarın bile sonuçlarını büyütüyor.
Hassas verilerinizi ve özel uygulamalarınızı buluta dağıtan yeterli beceriye sahip olmayan bulut yöneticileri, entegrasyon, önceliklendirme, segmentasyon ve izinlerin karmaşıklıklarının farkında olmayabilir. Sektördeki en iyi uygulamalara uymaları ve CI/CD, üretim, geliştirme, müşteri hizmetleri ve daha fazlası için ayrı bulut hesapları tutmaları gerektiğini bilmiyor olmaları mümkündür. Bulut Güvenliği Duruş Yönetimi (CSPM) sistemleri tarafından ortaya çıkan bulut güvenliği sorunları seli ile nasıl başa çıkacaklarını bilemeyebilirler.
Çözüm:
Nitelikli kaynakları işe alın. Yetenekli siber güvenlik uzmanlarına ulaşmanın zor olduğu doğru. Aslında, 2022’de siber güvenlik iş gücü açığının 3 milyonu aştığı tahmin ediliyordu ve bu sayı hâlâ artıyor. Bunu azaltmak için birçok kuruluş bulut güvenliğini MSSP’lere veya diğer güvenlik çözümü sağlayıcılarına dış kaynak olarak kullanıyor.
Düzeltilebilir İnsan Hatası #3 – Eğitim Eksikliği
Bir oda dolusu satış profesyonelini bir araya getirin ve onlardan şu soruyu dürüstçe yanıtlamalarını isteyin: Kaçınız hassas iş verileri içeren bir belgeyi kurumsal bulut veritabanından dizüstü bilgisayarınıza kopyalayıp uçuşta üzerinde çalışabildiniz? Çoğunluk kaçınılmaz olarak olumlu cevap verecektir. Ve elbette farkında olmadan hem veri güvenliğini ihlal etmekten hem de gölge veri oluşturmaktan suçlular. Bunu yaparken eylemleri veri güvenliğiniz, uyumluluğunuz ve yönetiminiz açısından ciddi riskler oluşturur.
Çözüm:
Bu bir eğitim meselesi, kesin ve kuru. Çünkü istediğiniz tüm politikaları oluşturabilir ve piyasadaki tüm güvenlik araçlarını kullanabilirsiniz; ancak veriler ekranda görülebiliyorsa güvenli olmayan gölge verilere dönüşebilir. Bulut kullanıcılarının günlük eylemlerinin kurumsal güvenlik üzerindeki etkilerini daha iyi anlamalarına yardımcı olan şirket içi eğitim rejimleri oluşturun.
Alt çizgi
Güvenlik uzmanları olarak bulut güvenliğinin teknolojik yönlerine odaklanmak kolaydır. Ancak insan hatası, buluttaki güvenlik açıklarının önemli bir nedeni olabilir ve giderilebilir. Düzeltilebilir insan hatalarını öne çıkararak (paylaşılan güvenlik sorumluluğunu anlayarak, yanlış yapılandırmalarla mücadele ederek ve uygun eğitim sağlayarak) bulut güvenliğini geliştirebilir ve verilerimizi ve işletmelerimizi daha güvenli tutabiliriz.
yazar hakkında
Patrick, CYREBRO’nun Kuzey Amerika’daki müşteri ilişkilerini yönetmektedir ve bölgesel büyüme, iş geliştirme ve ortaklıklardan sorumludur. Patrick, birden fazla uluslararası muharebe turu da dahil olmak üzere İstihbarat ve Keşif uzmanlığı ile Donanma askerlik hizmetinde 10 yıllık Fortune 500 yönetimi deneyimine ek olarak geliyor. Patrick’e çevrimiçi olarak LinkedIn’den ve www.cyrebro.io adresinden ulaşılabilir.