Skyhigh Security’nin Veri İkilemi raporu, bulut benimseme ve risk konusundaki önemli paradigma değişikliklerinin altını çiziyor.
Rodman Ramezanian, Küresel Bulut Tehdit Lideri, Skyhigh Security
Son birkaç yılda, dünya çapındaki kuruluşları etkileyen devam eden siber güvenlik dönüşümleri, verilerin nasıl yönetildiği ve korunduğu konusundaki mevcut durumu sarstı. Bulut benimseme, Skyhigh Security’nin raporlarında görüldüğü gibi astronomik bir şekilde arttı. Veri İkilemi: Bulutu Benimseme ve Risk Raporu, genel bulut hizmetlerinin kullanımı 2019’dan 2022’ye %50 arttı. Pandemi ve evden çalışma ve hibrit modellerin benimsenmesiyle, kuruluşların verilere her yerden erişebilmesi çok önemli bir ihtiyaç haline geldi. İşletmeler genellikle veri depolama ve erişim için buluta güvenerek hedeflerini daha düşük bir maliyetle hızlandırabilir. Ancak bu aynı zamanda verilerin artık uç noktalarda olmadığı, her yerde olduğu anlamına gelir.
Bu paradigma değişikliğinin ardından, geleneksel güvenlik önlemlerinin artık verileri korumak için yeterli olmadığı ortaya çıktı. Daha önce şirket içinde çalıştırılan birçok uygulamanın yerini bulut hizmetlerinin almasıyla, daha fazla kuruluş hassas verileri genel bulutta depoluyor – ortalama %61. Kişisel personel bilgilerinden fikri mülkiyet ve ağ şifrelerine kadar uzanan bu veriler, yanlış ellere geçerse bir şirketin itibarına ve işleyiş kabiliyetine kolayca zarar verebilir. Kuruluşlar buluta geçiş sırasında çok sayıda güvenlik sorunuyla karşı karşıya kalmaya devam ederken, tehdit aktörleri artan veri açıklığından yararlanmak için gölgelerde bekliyor.
Görünürlük olmadan, veri kaybının önlenmesi neredeyse imkansızdır.
Bulutta verilerin güvenliğini sağlamaya ilişkin karmaşıklıklar, tutarsız güvenlik kontrollerini ve kuruluşların görünürlük eksikliğini vurgulamaktadır. Aslında, Hizmet Olarak Yazılım (SaaS) ürünlerinin yarısından fazlası, BT’nin doğrudan müdahalesi olmadan devreye alınır; bu, iş karar vericilerinde uzmanlık eksikliğinin kuruluşları riske atabileceği anlamına gelir. Bu, kuruluşların %75’inin bir siber güvenlik ihlali, tehdit ve/veya veri hırsızlığı deneyimi yaşaması ve bulutta veri yönetimini ve güvenliği modernleştirmenin ve optimize etmenin önemini vurgulamasıyla kanıtlanmıştır.
Kuruluşların yalnızca verileri korumak için nereye gittiğini bilmeleri değil, aynı zamanda çalınmasını önlemek için de bilmeleri gerekir. Güvenlik ekiplerinin bulut yerel ortamının tamamı üzerinde geniş bir görünürlüğe ve kontrole sahip olması çok önemlidir, ancak ne yazık ki kuruluşların %28’i bulut uygulamalarında hangi verilerin depolandığı konusunda hala görünürlük eksikliği olduğunu bildirmektedir. BT sistemlerinin departman gözetimi olmadan kullanılması anlamına gelen Gölge BT bir süredir ortalıkta dolaşırken, kuruluşlar veri güvenliği üzerindeki olumsuz etkilerini ancak şimdi görmeye başlıyor. 2019’dan 2022’ye kadar, Gölge BT’nin verileri güvende tutma becerilerini zayıflattığını bildiren kuruluşlarda %25’lik bir artış oldu – bu, genel bulut kullanımına yönelik devam eden talebin mevcut veri güvenliği sistemlerini tehlikeye attığını gösteren büyük bir değişim.
Güvensizlik ve riskle aynı anda mücadele etmek
Bulut hizmetlerinin benimsenmesi arttıkça şirket içi endişeler de artıyor. Özellikle kuruluşların %37’si, genel bulutun hassas verilerini güvende tutabileceğine güvenmiyor. Bu, kritik verileri kuşatma altına almaya çalışan tehdit aktörlerinin hiç bitmeyen saldırısıyla açıklanabilir veya artan sayıda kuruluşun, çalışanlarının genel buluttaki verilere erişmek için kişisel cihazları kullanmasına izin vermesi olabilir – onda altı, kesin ol Bu, yalnızca verileri bulutta depolamakla ilişkili riskleri artırır.
Öte yandan, kuruluşların %93’ü, kişisel cihazlardan buluta hangi hassas verilerin yüklendiğini BT departmanlarının kontrol ettiğini söylüyor. Bu, başka bir soruyu gündeme getiriyor: Doğru kontrollere sahipler mi, yoksa güvenlik açıkları olduğu konusunda saflar mı?
Bulutu benimseme hızına ayak uydurmak için gelişiyor.
Kuruluşlar veri akışını kontrol etmenin karmaşıklıklarıyla başa çıkmak istiyorsa, bulut güvenliğinin benimsemeyle aynı hızda büyümesi gerekir. Çoğu kuruluşun veri koruma uygulamaları, her gün manşetlere çıkan devam eden ihlallerin de gösterdiği gibi, artan benimsemeye ayak uyduramadı. Hibrit veya %100 uzak olmayan kuruluşlar bile büyük olasılıkla kendilerini bulut ortamlarında veri depolarken ve bu ortamlara erişirken bulacaktır. Ölçeklenebilirlik, kapasite, erişilebilirlik, hız gibi faydaları göz ardı edilemeyecek kadar büyük ama aynı zamanda yeni çözümler gerektiren yeni zorluklar da getiriyor. Verilerin güvenliğini sağlamak her zamankinden daha zorlu ancak tüm sektörlerdeki kuruluşların bu duruma ayak uydurması gerekiyor.
The Data Dilemma raporunda ankete katılan kuruluşların yarısından fazlası siber güvenliğe daha fazla yatırım yapmayı planlıyor. Bu bize, giderek daha fazla kuruluşun gözünü veri kaybını önlemeye ve bir zamanlar bulut güvenliğinin statükosunu bozabilecek Sıfır Güven ilkeleri gibi güvenlik önlemlerini benimsemeye dikeceği konusunda umut veriyor.
yazar hakkında
Skyhigh Security’de Küresel Bulut Tehdit Lideri olan Rodman Ramezanian, 11 yılı aşkın kapsamlı siber güvenlik deneyimine sahiptir. Rodman, Düşman Tehdit İstihbaratı, Siber Suçlar, Veri Koruma ve Bulut Güvenliği alanlarında uzmanlaşmıştır. Şu anda CISSP, CCSP, CISA, CDPSE, Microsoft Azure ve MITRE ATT&CK CTI sertifikalarına sahip olan, Avustralya Sinyal Müdürlüğü (ASD) onaylı bir IRAP Değerlendiricisidir.