Bulutun benimsenmesi, büyük ölçüde sağladığı sayısız avantaj ve kuruluşların çalışma biçiminde nasıl devrim yarattığı nedeniyle son yirmi yılda hızla arttı. Bununla birlikte, bu teknolojinin aynı zamanda etkili bir şekilde gezinmek için özel beceriler gerektiren bazı karmaşıklıklar da sunduğunu kabul etmek de önemlidir. Bulut yeni bir dizi risk getirse de kuruluşlara güvenlik önlemlerini güçlendirme ve siber suçluların önünde kalma fırsatı da sunuyor.
Çoğu kuruluşun halihazırda bir olay müdahale (IR) planı olmasına rağmen bulutla ilgili nüansları izlemiyor olabilirler. Bu incelikleri anlamak kuruluşunuzu korumak açısından kritik öneme sahiptir. Not: Unit 42 Bulut Tehdit Raporu, Cilt 7, güvenlik kurallarının %5’inin uyarıların %80’ini tetiklediğini buldu; bu da bulut iş yüklerinde tekrar tekrar gözlemlenen küçük bir dizi riskli davranışın büyük güvenlik etkilerine sahip olduğu anlamına geliyor.
Burada IR başucu kitabınız için dikkate alınması gereken önemli noktalar, en yaygın bulut tabanlı tehditler ve bunlara karşı en iyi korumanın nasıl sağlanacağı yer almaktadır.
Bulut IR ve Geleneksel IR
Başlangıç olarak, şirket içinde gerçekleşen geleneksel olay müdahalesi ile bulut olay müdahalesi arasındaki temel farkları anlamak önemlidir. En büyük fark bulut uzmanlığına duyulan ihtiyaçtır. Hala büyük bir bilgi açığı var ve internetin ilk ortaya çıktığı dönemdeki mistisizme benzer bir tür ‘bulut tabusu’ görüyoruz. Bulut söz konusu olduğunda pek çok kişi aynı duyguyu yaşıyor. Uygulayıcı düzeyinde, hangi veri setlerinin takip edileceği ve bunların nerede saklanacağı konusunda iyi bir anlayışa sahip olmak önemlidir. Kuruluşun çevresine ilişkin kapsamlı bilgiye sahip olmadığı durumlarda, uygulayıcının sorulacak doğru soruları bilmesi hayati önem taşır.
Daha önce veriler, altyapının şirket içinde yönetilmesiyle birlikte öncelikle şirket içinde depolanıyordu, ancak artık altyapının ve kaynakların internet üzerinden üçüncü taraflarca yönetildiği sanal “tesis dışı” veri merkezlerinde depolanıyor. Sonuç olarak, güvenlik tavsiyelerine uyulmadığı ve güncel tutulmadığı takdirde veriler, tehdit aktörlerinin yetkisiz erişimine karşı daha savunmasız hale gelebilir. Ek olarak, bulut ağlarının geniş ölçeği ve karmaşık yapısı göz önüne alındığında, yönetim hatalarından veya yanlış yapılandırmalardan kaynaklanan güvenlik olaylarının olasılığı önemli ölçüde artmaktadır. Müdahaleye nasıl yaklaşacağımızı belirlemek için bir kuruluşla çalıştığımızda, ortamın nasıl olduğunu belirlemek için genellikle bir soru listesi üzerinden gideriz. Bu, sahip oldukları güvenlik türü, mevcut günlük kaydı türü ve saklamanın nasıl göründüğü hakkında soru sormayı içerir. Ortamınızı ve veri kümelerinizi, bunların ne olduğunu ve nerede bulunduğunu anlamak, ortamın güvende kalmasını sağlamak için çok önemli bir adımdır.
Bulut ortamınızın güvenliğini sağlamaya yönelik hususlar
Bulut son derece yapılandırılabilir ancak bunaltıcı olabilir. Özellikle veri koruma, günlük kaydı ve uyarı izleme söz konusu olduğunda, çoğu şirket içi ortam için tasarım gereği yerleşik olan pek çok güvenlik özelliği varsayılan olarak açık değildir. Ancak bulut esnek olacak ve tüketicilere birden fazla seçenek sunacak şekilde tasarlandı. Bu yeteneklerin tümü mevcut, ancak içeri girip bunları etkinleştirmeniz gerekiyor.
Paylaşılan sorumluluk modeli aynı zamanda bir yol gösterici kaynak da olabilir. Bulut hizmeti platformlarının yerleşik güvenliğe sahip olduğu varsayımıyla birlikte bulut sağlayıcıları, nelerden sorumlu olduklarını ve nelerden sorumlu olmadıklarını çok açık bir şekilde ortaya koyuyor. Kuruluşlar, tam olarak hangi alanlardan sorumlu olduklarını belirlemek için bunu bir değerlendirme listesi olarak görebilir ve ardından boşlukları doldurmaya yardımcı olacak çözümlere geri dönebilir. Her kuruluşun kendi ortamını güvence altına alma konusunda belirli bir düzeyde sorumluluğu vardır. Şirket içinde kullandığınız lensin aynısını kullandığınızda, her şeyin bulutta elinizin altında olduğu fikrini akılda tutmak önemlidir.
Yaygın bulut tabanlı zorluklar
Bulut tabanlı tehditler genellikle yama yapılmamış güvenlik açıklarından kaynaklanmaktadır. Ünite 42’de aldığımız ve analiz ettiğimiz vakaların çoğunda, hesapların çoğu ya aşırı ayrıcalıklı ya da aşırı izin vericiydi; bu da genellikle ortamın kimlik doğrulama atlamalarına, hizmet reddine, uzaktan yürütme saldırılarına ve daha fazlasına maruz kalmasına neden oluyor. Kimlik bilgileri hesaplar arasında paylaşıldığında, bu durum hesapların aşırı izinlere sahip olmasına neden olur ve bu da bulut ortamlarına yetkisiz erişimi kolaylaştırır. Sonuçta tehdit aktörü, verileri çalmak veya yok etmek için erişim sağlamaya odaklanmıştır.
Geçici veriler sorunuyla yüzleşmek için pek çok bulut tabanlı çözüm mevcut olsa da kuruluşlar bu kavramın farkında değilse, araştırma veya inceleme zamanı geldiğinde verilerin kullanılabilirliği konusunda büyük bir risk ortaya çıkar. Özellikle, günlüğe kaydetme etkin değilse verileri korumak zor olabilir. Verilerin konteynerli bir ortamda kopyaları üzerinde çalışmak ideal olduğunda, adli düzeyde veri koruması daha da önemli hale gelir. Uyarı işleme araçlarınızı izlemek, hiçbir şeyin gözden kaçmamasını sağlamanın önemli bir yoludur.
Gelecekte muhtemelen güvenlik araçlarının birleştirildiğini, süreçlere ve personele daha fazla yatırım yapıldığını ve güvenliği artırmak için kuruluşlar ile bulut sağlayıcıları arasında iş birliğini göreceğiz. Uzun vadede artan farkındalık ve anlayış, bulut güvenliğinin geleceğini şekillendirecektir. Kuruluşunuzun bulut tabanlı bir olayla karşılaşması durumunda, müdahale etmenize yardımcı olacak en iyi ekiple kendinizi donatın. Unit 42’nin Bulut Olay Müdahale hizmeti, bu tür olaylar için özel olarak tasarlanmış dijital adli tıp ve müdahale yöntemlerini destekleyebilir.
Biyografi:
Ashlie Blanca, Palo Alto Networks’te Birim 42’de Danışman Direktördür ve siber suç araştırmacısı olarak derin deneyime sahiptir. Ashlie, ABD Dışişleri Bakanlığı’nda izinsiz giriş analisti olarak görev yaptığı Novetta analiz şirketinde geçirdiği dört yılın ardından 2018’de Birim 42’ye katıldı. Ashlie, üç yıl önce Booz Allen Hamilton’da kıdemli danışman olarak çalışıyordu ve burada firmanın Bilgisayar Olaylarına Müdahale Ekibi’nin (CIRT) bir üyesiydi. Bu pozisyonda, ağ tabanlı izinsiz girişler, kişisel tanımlayıcı/sağlık bilgilerinin yanlış kullanılması ve kötü amaçlı yazılım analiziyle ilgili canlı uyarıları ve kullanıcı sorgularını belirleyip yanıtladı. Ashlie, Radford Üniversitesi’nden ceza adaleti alanında lisans derecesini ve George Washington Üniversitesi’nden yüksek teknolojili suç soruşturması alanında Adli Bilimler alanında yüksek lisans derecesini aldı.