Bulutun dinamik ve geçici doğası, siber güvenlik olaylarını tespit etmeyi ve bunlara müdahale etmeyi, kapsamlı güvenlik uzmanlığına sahip ancak bulut deneyimi çok az olan profesyoneller için bile zorlaştırabilir. Olay yönetimi, sizin sorumluluklarınızın ve bulut sağlayıcısının sorumluluklarının kolayca tanımlanmadığı önemli ve sıklıkla gözden kaçırılan bir alandır. Pek çok olay, bunların araştırılmasına ve hafifletilmesine yardımcı olmak için bulut sağlayıcının yakın işbirliğini ve desteğini gerektirir.
Siber güvenliğin temellerinin çoğu, şirket içi ve bulut ortamlarında aynı kalsa da, temel farklılıkları anlamak, güvenlik sorunlarının etkili bir şekilde tespit edilmesi ve azaltılması açısından çok önemlidir.
Bulutta Neler Değişiyor?
Bulutta olsanız da olmasanız da siber güvenlik, sistemlerinizi ve verilerinizi korumak ve muhafaza etmekle ilgilidir. Ve her olay benzersiz olsa da, standart soruşturma uygulamaları sırf işin içine bulut karıştı diye değişmez.
Ancak tehdit tespiti ve müdahalesinin bazı önemli unsurları vardır. Yapmak İşletmenizin bulutta çalışırken aşağıdakileri de içeren değişiklikler:
- Yeni becerilere ihtiyaç var. Buluttaki bir olayı doğru bir şekilde tespit etmek ve ona müdahale etmek, bulut ve bulutta yerel hizmetlerle ilgili teknik uzmanlık gerektirir.
- Daha fazla geliştirici katılımı. Bulut ortamındaki olaylar, bir tarafta güvenlik, diğer tarafta DevOps geliştiricileri arasında daha fazla etkileşim anlamına gelir.
- Altyapıya değil uygulamalara odaklanma. Bulutta çalışmak, uygulama güvenliğine, fiziksel altyapı güvenliği ve uç nokta güvenliğinden daha fazla önem verir.
- Daha fazla paydaşın katılımı. Buluttaki bir siber güvenlik olayı genellikle bir şirketin bulut hizmet sağlayıcısının (CSP) yanı sıra bir veya daha fazla güvenlik hizmeti sağlayıcısını ve/veya diğer iş ortaklarını da içerecektir.
Bulutta çalışmak, donanıma daha az, otomasyona ve “her şeyin kod olarak” odaklanılmasına neden olarak manuel BT süreçlerinde azalmaya yol açar. Bulutun güvenliğini sağlamak, yeni beceriler ve yeni araçlar ile Operasyonlar ve Geliştirme ekipleri arasında ve bir işletme ile onun bulut ve güvenlik ortakları arasında daha fazla işbirliği gerektirir. Bu nedenle, buluttaki tehditleri etkili bir şekilde tespit etmek ve bunlara yanıt vermek, hızlı veri paylaşımına daha fazla vurgu yapılan, çoklu organizasyonlu bir çalışmadır.
Buluttaki güvenlik tehditlerini tespit etmek birçok nedenden dolayı zor olabilir ve geleneksel güvenlik için denenmiş ve doğru yöntemler yeni ortama uygulandığında işe yaramayabilir. Ağ trafiğinin ve uç nokta veri kaynaklarının öneminin giderek azalması ve uygulama telemetrisinin artmasıyla birlikte telemetri toplama yöntemlerinin bulutta önemli ölçüde değişmesi muhtemeldir.
CSP’nizle çalışma
Yönetişimin yayılması, bulutun bir başka yeni sorunudur ve CSP ve diğer ilgili ortaklarla örtüşen sorumluluk alanlarını açıkça anlama ve tanımlama çabası gerektirir. Uygun bulut güvenliği, risklerin ele alınması için işbirliğine dayalı bir model gerektirdiğinden, “paylaşılan kader” kavramı burada geçerlidir. Daha proaktif paylaşılan kader modeli kapsamında bir CSP, ortaklarına dağıtım aşamasında güvenlik rehberliği sağlayabilir ve ayrıca sürekli güvenlik önerilerinde bulunabilir.
Bir CSP ile ortaklık, etkin bir güvenlik olayını ilk olarak dahili ekibiniz yerine bulut sağlayıcınızın fark edebileceği anlamına gelir. Sorun ilk kez nerede tanımlanırsa tanımlansın, dahili ekibinizin ve CSP’nizin güvenlik ekibinin uyum içinde çalışabilmesi için bilgilerin paylaşılması kritik öneme sahiptir. CSP’nizin muhtemelen olay raporlamaya yönelik yerleşik bir süreci vardır; dolayısıyla bilgilerin nasıl paylaşılması gerektiği konusunda bilgi sahibi olmak, aktif bir olayla karşı karşıya kaldığınızda değerli zamandan tasarruf etmenize yardımcı olabilir.
Bulut sağlayıcınızdan gelenler de dahil olmak üzere, buluttaki sistemlerinizi ve verilerinizi izlemek için çok çeşitli algılama araçları mevcuttur. Bir olayı ne kadar erken belirlerseniz o kadar iyidir ve bu araçlar genellikle bir siber güvenlik ihlali veya kesintiye neden olabilecek bir sorun hakkında önceden uyarı sağlayabilir.
Olayları mümkün olduğu kadar erken tespit etmek için kullanılabilen araçlardan bazıları şunlardır:
- Şüpheli etkinliği işaretlemek için ağ, ana bilgisayar, uygulama ve bulut platformu günlükleri.
- Kötü amaçlı etkinlikleri günlük kullanımdan ayırmak için bulut sağlayıcı analitiği.
- Hipervizör düzeyindeki enstrümantasyon aracılığıyla tehdit tespiti
Kuruluşunuzun güvenlik aygıtı ile CSP’nizin olay müdahale ekibi arasındaki koordinasyonun yanı sıra bunun gibi araçları kullanmak, veri güvenliği sorunlarının veya kötü niyetli izinsiz girişlerin tespit edilmeden kaldığı süreyi en aza indirmeye yardımcı olabilir.
Bir olayın aktif tehdidi çözüldükten sonra odak noktası iyileştirmeye dönebilir. Olay sonrası, siz ve CSP’niz arasında paylaşılan bir otopsi analizi, olayın nedenlerini inceleyebilir ve olası iyileştirme alanlarını belirleyebilir. Bulutta paylaşılan sorumluluk veya ortak kader sayesinde kuruluşunuz bir siber güvenlik olayına müdahale ederken tek başına hareket etmez ve uygun koordinasyonla bir güvenlik olayı hızlı bir şekilde tanımlanıp çözülebilir.
Devamını oku Google Cloud’dan İş Ortağı Perspektifleri