Buluta geçiş, verimliliği ve iş çevikliğini artırırken, güvenlik stratejileri bu geçişi hesaba katacak şekilde uyarlanmamıştır ve geleneksel araçlar, benzersiz ilgili riskleri etkili bir şekilde yönetemez. Riskleri görmezden gelen CISO’lar tamamen açıkta kalıyor ve şirketlerini, itibarlarını ve işlerini riske atıyorlar.
Geleneksel güvenlik yaklaşımlarının sınırlamaları aşikar hale geldikçe gerçek bir hayal kırıklığı yaratıyor. Son altı yıldır sektör lideri kuruluşlarla kesinlikle bulutta çalıştıktan sonra, hepsini gördüm ve bulut güvenliği sorunlarıyla karşılaşan CISO’lara sempati duyabiliyorum. Yine de kuruluşların bunu bulut güvenliklerinin sorumluluğunu üstlenmeleri için bir eylem çağrısı olarak görmelerini istiyorum.
Aramızdaki tehditleri ifşa etmek
Geçen yıl tüm müşteri tabanımızı analiz ettik ve kuruluşların yaklaşık %60’ının bulut varlıkları için en temel güvenlik durumunu bile karşılamada başarısız olduğunu gördük. Ve bunu başaran %40’ın %10’undan daha azı orta düzeyde güvenlik olarak kabul edilebilecek seviyeye ulaştı. Esasen, çoğu kuruluş ya öncelik vermiyor ya da bulutlarını güvenli hale getirme girişiminde başarısız oluyor.
Bu kuruluş yelpazesindeki bulut güvenliğinin durumuna baktığımda, beş önemli endişe görüyorum:
1. En az ele alınan riskler denetim (%31), en az ayrıcalık (%30) ve kimlik bilgileri (%24) olmuştur.. Kimlik bilgilerinin ve en az ayrıcalığın her ikisinin de bulutta kimliklerin güvenliğini sağlamakla ilgili olduğu düşünüldüğünde, CISO’ları geceleri ayakta tutması gereken tehlikeli bir boşluk vardır. Kimlik, bulutta güvenlik için “sınır” olarak ağların yerini almıştır, ancak bir kuruluşta ele alınması en az muhtemel olanıdır. Saldırganlar, verilere erişmek ve işinize zarar vermek için bir kuruluşun bulutunda yanal olarak hareket etmek ve ayrıcalıkları yükseltmek için kimliklerden ödün verecek (biraz daha fazlası). İhlallerin %81’i güvenliği ihlal edilmiş bir kimlik içeriyor.
2. Denetim güvenliğinin en düşük üçte olması sorunludur.. Denetim güvenlik denetimleri, bir kuruluşun bulutunun gerekli denetim ve günlük kaydına sahip olmasını sağlar. Çoğu kuruluş, kritik günlükleri ve denetim bulgularını kaçırıyor. Bu basit yanlış yapılandırma, kuruluşların ortamlarının güvenliğinin ihlal edildiğinden haberi olmadığı için günümüzün manşetlerinde yer alan bulut veri ihlallerinin çoğunda yer alıyor. Daha da kötüsü, bu kuruluşlar açığa çıkan veri deposunu tanımlasalar bile, uygun denetim günlükleri olmadan ona kimin veya neyin eriştiğini ve onunla ne yapmış olabileceklerini belirleyemezler.
3. Çok fazla kuruluş potansiyel risklere maruz kalıyor ve endişe verici bir durum, asgari olarak kabul edilmesi gerekenin altında. Her iki haftada bir yeni bir bulut tabanlı veri ihlalinin manşetlerini görmemiz şaşırtıcı değil! Ve kuruluşların bulutlarını sıfır güven durumuna veya belirli bir esneklik düzeyine nasıl getirmeleri gerektiğine dair tüm konuşmalar, çok azı temel bir güvenlik düzeyine bile erişmişken kulağa sağır geliyor.
4. Pek çok risk ele alınmıyor. Araştırmamız, tespit edilen risklerin yalnızca %43’ünün ele alındığını tespit etti. Bu, ortalama bir bulut genelinde tüm risklerin neredeyse %60’ının yönetilmediği anlamına gelir. Ayrıca, bulut güvenlik duruşu yönetimi (CSPM), bulut altyapısı yetkilendirme yönetimi (CIEM), bulut iş yükü koruma platformu (CWPP) ve veriler gibi kilit alanlardaki genel risk seviyesi “yüksek” kabul ediliyor. Bazı alanlarda “orta” düzeyde, hiçbiri “düşük” risk altında değildi.
5. İşin iyi tarafı: CSPM riskleri, en sık ele alınanlar listesinin başında geliyor. Ele alınan risklerin %43’ünün ilk üçü şifreleme (%64), veri koruma (%50) ve ağdır (%48). Yine de, bu ilk üç kategorideki risklerin yarısından biraz fazlasının (%54) ele alındığını belirtmek gerekir. Endişe, üç riskin de CSPM’den kaynaklandığını fark ettiğinizde artar. Diğer alanların hiçbiri – CIEM, CWPP ve veriler – anlamlı bir şekilde ele alınıyormuş gibi görünmedi. Başka bir deyişle, kimlik, veri ve iş yükü ile ilgili risklerin güvence altına alınması konusunda açık ve bildirilen bir odaklanma eksikliği var.
Son yıllarda, çoğu güvenlik liderinin bulutlarındaki risklerin ciddiyetinden habersiz olabileceği sonucuna varmama neden olan çok sayıda örneğe tanık oldum. Buna, çok hassas kurumsal bilgilerin, izinsiz erişilebilen, halka açık veri depolarında saklandığı ve şirketin tamamen habersiz olduğu bir durum dahildir; Büyük bir kuruluştaki tüm kimliklere açık olan VPN erişimi ve iletim sırları; yetkilendirme ve denetim etkinleştirilmeden internete maruz kalan bulut erişim sırları; ve son derece hassas verilere erişimi olan ve bu verileri manipüle etme, fidye alma, çalma ve/veya silme yeteneğine sahip, kimlikleri eklenmiş, internete açık çok sayıda savunmasız sanal makine.
Bu görünürlük eksikliği, günümüzün en büyük ve en acil bulut güvenliği endişelerinden biridir. Bu zorluklara ışık tutmak, bulutun her köşesindeki riskleri ortaya çıkarmak, önceliklendirmek ve işletmenin riskleri yönetmesine yardımcı olmak anlamına gelir. Bu, yalnızca CISO’lar güvenliği ve DevOps ekiplerini bulutun temelleri ve nasıl güvence altına alınacağı konusunda eğitmeyi ve eğitmeyi taahhüt ederse gerçekleşir. İşte bu yüzden önemli.
Bir uçurumdan sola – sağa kaydınız
Birçok kuruluşta, bulut güvenliği DevOps ekiplerine yaptırılır ve güvenlik açısından sonuçlar tahmin edilebileceği gibi zayıftır. Geliştiriciler, Infrastructure as Code (IaC) ile bulutlar inşa ediyorlar, ancak güvenlik prosedürleri yetişmedi – hepsi Dev-no-Ops.
Adil olmak gerekirse, DevOps ekiplerine CISO’nun hedefleri ve kaynakları ile tutarsız bir sorumluluk verilmiştir. Sürekli olarak kodu kapıdan daha hızlı ve daha hızlı çıkarmaya yönlendirildikleri için güvenliğe öncelik vermeye teşvik edilmezler. Bununla birlikte, güçlü bulut güvenliğine sahip kuruluşlarda, DevOps ekiplerinin bu başarıda genellikle güçlü bir rol oynaması şaşırtıcı değildir.
Bulut söz konusu olduğunda güvenlik ekibi genellikle karanlıktadır. Veri merkezinden buluta geçiş yapan BT ekipleri için eğitim ve öğretim, yaygın yetersiz yatırımın yanı sıra kendilerini bulutun güvenliğini sağlamakla görevlendirilmiş bulan DevOps ekipleri için sıkıntı yaşıyor. Güvenlik ekipleri, bulutlarının tamamında görünürlük ve içindeki riskler söz konusu olduğunda da karanlıkta kalıyor. Eğitim eksikliğiyle birleşen bu görünürlük eksikliği, ekiplerin bulutu, potansiyel riskleri ve bunlarla ilgili ne yapılması gerektiğini tam olarak anlamamasına neden olur. Anladıkları riskler için, onları doğru bir şekilde tespit edecek strateji veya araçlardan yoksundurlar. Günün sonunda, CISO’lar saatli bir bomba tutarken bırakılır.
Şunu göz önünde bulundurun: CISO’ların, verilerine kimin veya neyin erişebileceği ve bu verilerle ne yapabilecekleri konusunda muhtemelen sınırlı bir görünürlüğü vardır. Güvenlik ve DevOps ekipleri de muhtemelen tüm bunların nasıl olabileceğini anlamıyor. Araştırmaların gösterdiği gibi, çoğu kuruluş bulut kimliklerini ve veri risklerini yönetme konusunda yetersiz kalıyor. Bu, krallığı “erişim” yönettiğinden, herhangi bir kuruluşun bulutunun güvenliği için inanılmaz derecede zararlıdır.
Bulutunuz her an silinebilir
Buluttaki her şeyin kimlikle bir ilişkisi vardır. Geleneksel güvenlik ekipleri, kullanıcılara ve gruplara muhtemelen aşina olsa da, bu bilgiyi buluta uygulamak, sorunun başladığı yerdir. Ekipler, bu tür kimlikleri ele almaya ve bulut güvenliklerini modası geçmiş kimlik yönetişim modellerine uydurmaya o kadar odaklanmış durumda ki, en büyük riskin başka bir yerde yattığını anlayamıyorlar: kişi olmayan kimlikler.
Kişi olmayan kimlikler (NPI), AWS Rolleri, Azure Hizmet İlkeleri ve GCP Hizmet Hesapları gibi şeyleri içerir. Kendi başlarına var olabilirler veya her birinin kendi NPI biçimi haline geldiği sanal makineler ve sunucusuz işlevler gibi kaynaklara atanabilirler. Kuruluşlar, nasıl çalıştıklarını anlamaktan bulutta nerede bulunduklarına ve nasıl kullanıldıklarına kadar NPI’larını yönetmekte başarısız oluyor. Bu endişe verici çünkü bulutları riske atan bu NPI’lar.
Daha da kötüsü, NPI’lar insan kimliklerinden çok daha hızlı çoğalıyor. Bu büyüme ürkütücü çünkü kimlik riskleri ele alınan endişeler listesinin en altında yer alıyor; Kanıt olarak, ekipler zaten NPI’lerden kaynaklanan risklerin üçte ikisini yönetmekte başarısız oluyor.
Analizimiz, tipik bir kurumsal kuruluşun bulutunun yaklaşık 31.000 kimliğe sahip olmasının alışılmadık bir durum olmadığını ortaya çıkardı. Aslında, bu kimliklerin yaklaşık %10’u – 3.100 kimlik – o kuruluşun tüm bulutunu silmek için yeterli izne sahip olmak. Yalnızca bulutu silmekle kalmaz, onunla istedikleri her şeyi yapabilirler. Bu, kaynakları ve hizmetleri hızlandırarak maliyetlerin fırlamasına neden olabilir.
Ayrıca, değiştirmek, bozmak, silmek veya çalmak için tüm verilerinize erişme olanağını da içerebilir. İşin en ürkütücü yanı ise çoğu şirketin bu gerçeğin tamamen farkında olmaması. Ne yazık ki, farkında olanlar bile aynı veri merkezi kimlik yönetimi yaklaşımını uygulamanın bulutlarını güvence altına alacağına inanıyor. Hiçbir şey gerçeklerden daha uzak olamaz.
Kimlik riski, bir kuruluşun bulutuna yönelik en büyük tehdittir. Bu bir yetenek veya bireysel performans meselesi değil, daha büyük bir sistemik problemdir. CISO’lar muhtemelen tüm bu kimliklerin envanterini çıkarma, gerçek uçtan uca izinlerini anlama ve bu kimliklerin nerede, ne zaman ve nasıl kullanıldığını bilme konusunda genel yetenekten yoksundur. Bir buluta büyük zarar vermek için yalnızca aşırı ayrıcalıklı bir kimlik yeterlidir ve çoğu kuruluş muhtemelen binlerce olmasa da yüzlercesine sahiptir. CISO’ların bulutlarındaki kimliklerin önemini ve risklerini yeniden düşünmelerini şiddetle tavsiye ediyorum.