Bulut Güvenliği İkilemi: Şirketinizi Üçüncü Taraf Yazılım Tedarik Zinciri Açıklarından Korumak


Yazan: Vrinda Khurjekar, Kıdemli Direktör, AMER işletmesi, Searce

Gartner, dünya genelindeki son kullanıcı harcamalarının, en büyük genel bulut hizmetleri olan hizmet olarak yazılım (SaaS) öncülüğünde, 2023’te %25’e kadar artacağını tahmin ettiğinden, buluta geçişin sınırı gökyüzüdür. 2022’de son kullanıcı harcamalarının 176 milyar dolara ulaşacağı tahmin ediliyor. Dünya çapındaki kuruluşlar tarafından kullanılan ortalama SaaS uygulaması sayısı 2017’de 16’dan 2021’de 110’a yükseldi. Son yarım on yılda, kitlesel bulutun hızla benimsenmesiyle teknoloji işletmeleri şirket içi çevre sınırlarından vazgeçerek yeni keşfedilen bir siber güvenlik anlayışının keyfini çıkardı. Ancak 2022 yılında veri ihlallerinin %45’i bulut hizmetlerinde gerçekleşti. Kuruluşların giderek genel buluta, çoklu buluta ve hibrit bulut ortamlarına yönelmesiyle birlikte, üçüncü taraf SaaS platformlarının güvenliğini sağlamanın, giderek daha karmaşık hale gelen siber suçlulara ayak uydurabilmek için hızlı bir şekilde olgunlaşması gerekecek.

Bulut ortamlarındaki yazılım tedarik zinciri zorlukları

CISO’lar ve diğer güvenlik liderleri halihazırda verilerinin güvenliğini sağlamaya ve bulut yazılımı tedarik zincirlerinde uyumluluğu sağlamaya öncelik veriyor. İşletme, teknoloji ve güvenlik yöneticilerinin yüzde otuz sekizi, 2023 yılında bulut üzerinden daha ciddi saldırılar bekliyor. Bu kadar çok sayıda üçüncü taraf çözümün kullanımda olması nedeniyle, şirketler en çok kullanıcı verileri ve etkinliklerine ilişkin görünürlük eksikliği ve uygulama yönetimi konusundaki eksikliklerden dolayı zorluk çekiyor. tutarlı konfigürasyonlar. Sanal makineler ve çeşitli depolama konteynerleriyle 10, 20 veya 100 bulut çözümünün kullanılması, savunulacak çok daha geniş bir saldırı yüzeyi, yönetilecek çok sayıda kimlik ve yönetici ayrıcalıkları ve yanlış yapılandırmalar ve düzeltme eki uygulanmamış 3. taraf sunucular için daha büyük potansiyel anlamına gelir. 3,3 milyon müşteriyi kapsayan hassas finansal verileri açığa çıkaran 2021 Volkswagen Grubu veri ihlali, tedarikçilerinden birinin depolama hizmetini neredeyse iki yıl boyunca korumasız bırakmasından kaynaklandı.

Suçlular buluta her yönden saldırıyor

Pek çok kuruluş hâlâ bulut hizmetlerine geçiş yapıyor ve başta yanlış yapılandırma, yetersiz kimlik erişim yönetimi güvenliği, güvenli olmayan API’ler ve arayüzler ve yetersiz değişiklik kontrolleri olmak üzere bulut ortamlarında mevcut olan doğal güvenlik açıkları konusunda hız kazanmaları gerekiyor. Bir zamanlar bulut ortamlarında minimum düzeyde bir tehdit olan fidye yazılımı, bulutun benimsenmesinin artmasıyla birlikte hızla büyüyor. Suçluların şirketin iş yapmasını engellemeye ve ardından ilgili bilgileri çıkarmaya çalıştığı Dağıtılmış Hizmet Reddi (DDoS) saldırıları artıyor. Bu arada, martech ve adtech şirketleri, dijital reklamcılık ve pazarlama için akla gelebilecek her büyük markaya çok sayıda bulut aracı sağlıyor; bu araçlar, onları suçlular için verimli hedefler haline getiren en yüksek veri kümesi ve en geniş tüketici yelpazesi olduğunu kanıtlıyor. Finansal hizmetler, eğitim, imalat ve sağlık, kötü aktörlerin elinde en fazla kayıp yaşayan sektörlerdir.

Sağlık hizmetlerini hacklemede para var

Çoğu uzman, finans ve sağlık sektörlerini veri ihlallerine karşı en savunmasız sektörler olarak adlandırıyor. Saldırganlar, kişisel olarak tanımlanabilir kimlik (PII) verilerini toplamak için sağlık kuruluşlarına ve değerli finansal verileri ele geçirmek için finansal kuruluşlara akın ediyor. Sağlık hizmetleri, 2022’de üst üste 12. kez 10,10 milyon ABD doları ile tüm sektörler arasında en yüksek ortalama veri ihlali maliyetine sahip oldu. Şu anda dijital dönüşümün ortasında olan hastaneler, siber kötü adamların ana hedefidir. Bazı hastane yöneticileri tüm röntgen filmlerini tek bir yerde saklar ve röntgen verilerini dijital formatta göndermek için sıklıkla iki üçüncü taraf satıcıyı kullanır. Ayrıca, kanseri bugünden beş yıl önce tahmin etmek gibi ilerlemeler kaydetmeleri için harici makine öğrenimi sağlayıcılarına çağrıda bulunuyorlar ki bu harika bir şey. Ancak alıcı kuruluşların güvenlik duruşunu, uygulamalarını nasıl barındırdıklarını ve modellerini nasıl çalıştırdıklarını incelemezlerse hastaneler, hastalarını ve kendilerini son derece hassas risklere maruz bırakıyor demektir.

Üçüncü taraf satıcının sorumluluğunda mı, yoksa benim sorumluluğumda mı?

Bir teknoloji şirketi, yazılım tedarik zincirine başka bir bulut satıcısını eklediğinde, alıcı, ortamlarının uygun şekilde kontrol edildiğinden emin olma sorumluluğunun SaaS sağlayıcısına ait olduğunu varsayabilir. Teknoloji şirketleri ve bulut sağlayıcıları ortak bir sorumluluk modeline (müşterinin sorumluluğu + hizmet sağlayıcının sorumluluğu) bağlı olsalar da, güvenlik liderlerinin daha otoriter bir zihniyet benimsemeleri mantıklıdır çünkü sonuçta bir şirketin verilerini ve kimliklerini korumak onların yegane sorumluluğudur. cihazlar ve uygulamalar. Ve itibar ve mali zarar, satıcıların yerine doğrudan şirketin üzerine düşecek.

Üçüncü taraf satıcılardan alışveriş yaparken siber güvenliği inceleyin

Gerçek şu ki, tüm işletmeler, yapmaları gerektiği halde, kullandıkları her SaaS üzerinde siber güvenlik risk değerlendirmesi yürütme konusunda başarısız oluyor. Doğası gereği üçüncü taraf satıcılara verilen erişimlerin yapısı ve kurulumları göz önüne alındığında, bir kuruluş için güvenlik açıklarının nerede olabileceği konusunda çok daha az netlik vardır. Yeni kurulan veya erken aşamadaki bulut tabanlı bir şirket için müşteri kazanmaya, uygun maliyetli bir teknoloji yığını oluşturmaya ve ilk olarak bir sonraki finansman turunu artırmaya odaklanmak ve daha sonra kuruluşun veri varlıklarını nasıl güvence altına alacağını düşünmek özellikle cazip gelebilir. . Küçük ve orta ölçekli işletmeler için bir veri ihlali ve ardından gelen iş kesintisi potansiyel olarak felaket olabilir. Üçüncü taraf bir satıcıyı işe alan her kuruluş için sıkı inceleme standartları normalleştirilmelidir. Tekliflerin maliyetini ve kalitesini inceledikleri kadar, üçüncü taraf satıcının güvenlik duruşunu da incelemelidirler.

Kur ve unut satıcı güvenliği yaklaşımından kaçının

Satın alma süreci sırasında üçüncü taraf bulut çözümlerinin siber güvenlik duruşunun yoğun bir şekilde incelenmesine ve katılım sürecinde risk değerlendirmelerine ek olarak, CISO’lar aynı zamanda kur ve unut yaklaşımından kaçınmaya da çalışmalıdır. Pek çok kuruluş son zamanlarda yazılım tedarik zinciri güvenliği konusunda daha fazla düşünmeye başladı ancak bunu henüz aktif olarak gerçekleştirmiyorlar. Bir olay meydana gelene kadar hiçbir uyarı veya izleme aracı uygulamazlar. Tüm üçüncü taraf bulut yazılımlarını tanımlamalı ve takip etmeli, gereksiz ürünleri kaldırmak için üçüncü taraf kaynaklarını periyodik olarak incelemeli ve gerektiğinde erişimi veya izinleri iptal etmelidirler. Bulut teknolojisi büyük bir hızla ilerlediği için, tıpkı üç ayda bir yapılan iş incelemeleri gibi, üç ayda bir yapılan güvenlik incelemeleri de üst düzey yöneticiler için norm haline gelmelidir. Satın alma sonrasında bile SaaS satıcıları yeni modüller ve yeni teklifler eklemeye devam edecek ve bu da teknolojiyle güncel kalabilmek için yeni güvenlik standartları gerektirebilecek. Son olarak, Cloud Security Alliance’ın önerdiği gibi, CISO’lar uygulamalara düzenli olarak sızma testleri yapmalı, güvenli kodlama uygulamalarını kullanmalı ve statik ve dinamik uygulama güvenlik testi çözümlerini kullanmalıdır.

Tüm satıcı yolculuğunun yönetimi

İşletmelerin yaklaşık %94’ü artık insan kaynakları ve müşteri ilişkilerinden tedarik zinciri yönetimine kadar neredeyse tüm iş fonksiyonları için bulut hizmetlerini kullanıyor. CISO’lar, satın alma aşamasından katılım ve uygulamaya kadar tedarikçi yolculuğunun her aşaması için ve daha sonra sürekli olarak farklı yönetişim modelleri oluşturmalıdır. Şirket liderleri, kendi güvenlik duruşlarının modern standartlara uygun olmasını sağlayarak bulut yazılımı tedarik zincirlerini güvence altına alma konusunda büyük bir ilk adım atabilirler; çünkü 2005 veya 2010’daki siber güvenlik çerçeveleri, ne kadar sağlam olursa olsun, günümüzün tehditlerine karşı koruma sağlamayacak ve düzenleyici standartları da karşılamayacaktır. Satıcının duruşu. İleriyi düşünen birçok CISO ve CTO, belirli bir yazılımın pazara giriş planları için ne kadar önemli olabileceğine bakılmaksızın, örneğin sözleşmelere üç aylık karşılaştırmalı değerlendirmeler ekleyerek üçüncü taraf satıcı güvenlik standartlarını uyguluyor. Bazı durumlarda bu üçüncü taraf sağlayıcıların güvenlik duruşlarını güçlendirmeyi reddetmediklerini gözlemledik. Çoğu zaman ya en iyi rotayı bilmiyorlar ya da henüz zorlanmadılar ya da takip etmeleri istenmedi.

yazar hakkında

Bulut Güvenliği İkilemi: Şirketinizi Üçüncü Taraf Yazılım Tedarik Zinciri Açıklarından KorumakVrinda Khurjekar – Kıdemli Direktör – AMER Business – Searce. Özünde gerçek bir sorun çözücü, şefkatli bir dinleyici ve güvenilir bir müşteri ortağı olan Vrinda Khurjekar, Searce’de AMER bölgesine liderlik eden AMER işletmesinin Kıdemli Direktörüdür. Teknisyenlikten iş liderine dönüşen Vrinda, teknoloji odaklı dönüşümü yönlendirme ve işletmelerin en son teknolojilerden yararlanarak geleceğe yönelik çalışmalarına yardımcı olma konusunda tutkulu. Vrinda, son 14 yılda Searce’de çeşitli rollerde yer aldı, Searce’de Mutlu Kültür elçisi ve Searce küresel yönetici ekibinin çekirdek üyesidir. Vrinda, birçok büyük müşterinin dijital dönüşüm yolculuklarına liderlik etme sürecine kişisel olarak katılmıştır. Vrinda müşteri empatisinin, müşterileri ve ortakları dinlemenin ve birlikte çalıştığı herkes için güvenilir bir ortak olmanın gücüne inanıyor.

Vrinda’ya şu adresten ulaşılabilir: https://www.searce.com/.



Source link