Şirket içi altyapıya kıyasla kolaylık, maliyet tasarrufu ve neredeyse kalıcı çalışma süreleri sağlayan bulut dönüşümü, birçok kuruluş için stratejik bir avantaj haline geldi. Aynı zamanda buluta geçiş, saldırı yüzeyini de artırarak bulut ortamlarını hedef alan suç faaliyetlerinde artışa neden oldu. 2023’e girerken, potansiyel bir durgunlukla ilgili korkular ve buna karşılık gelen maliyetleri düşürme isteği, genel buluta geçme aciliyetini yeniden artırıyor.
Kuruluşların bulut ortamlarını başarılı bir şekilde güvenli hale getirebilmeleri için, saldırganların bulut ortamlarına sızmak için kullanabilecekleri kritik riskleri anlamaları gerekir. Buluttaki meşru faaliyetlerde olduğu gibi, saldırganlar yaklaşımlarını geliştirmeye devam ediyor, bu nedenle 2023’te karşılaşılan zorluklar 2022 ve öncesinde karşılaşılanlardan farklı olacak. İşte en iyi 2023 tahminlerim.
Çoklu Bulut Ortamları Güvenlik Zorluklarını Artırmaya Devam Edecek
Çoklu bulut, satıcı bağımlılığını ortadan kaldırmaktan güvenilirlik, çeviklik ve maliyet verimliliğine kadar çok sayıda avantaj sunar. Ancak aynı zamanda, özellikle güvenlik yönetimiyle ilgili olarak ek karmaşıklık katmanları getirir. Yakın tarihli bir rapora göre, kuruluşların %78’i uygulamaları üçten fazla genel bulutta kuruyor.
Ayrıca, ilk üç genel bulut sağlayıcısından (Amazon Web Services, Azure ve Google) sağlanan hizmet sayısının bugün 750’den 1.000’i geçmesi bekleniyor. Çevikliği ve yeniliği benimseme çabası içinde güvenlik uygulayıcılarının, bu haber hizmetlerini kullanılabilir olur olmaz desteklemenin yollarını bulmaları gerekecek.
Her bir bulut sağlayıcının benzersiz yetenekleri neredeyse her gün geliştirilip genişletildiğinden, kuruluşların yeni hizmetleri NIST, CIS ve diğerleri gibi güvenlik ve uyumluluk çerçeveleriyle eşleyen otomatik araçlara yatırım yapması gerekecek.
Geliştirici Ortamlarını Güvenli Hale Getirmek En Kritik Bileşen Olacak
Uygulama dağıtımlarının sürekli büyümesi ve çeşitliliği, kötü niyetli aktörler için kapsamlı bir saldırı yüzeyi oluşturuyor. SolarWinds, Kaseya ve Spring4Shell gibi siber güvenlik olaylarının kuruluşları önemli ölçüde etkilediğini gördük.
Öte yandan, son zamanlarda yazılım güvenlik açıkları nedeniyle kaç kuruluşun etkilenebileceğini gösteren Log4j gibi sorunları da görüyoruz. Bu nedenle, geliştirici ortamlarının güvenliğini sağlamanın 2023’te kuruluşlar için en kritik bileşenlerden biri haline gelmesini bekliyoruz.
DevSecOps Araç Yayılımı Konsolidasyona Başlayacak
Bulut güvenliği için bir DevSecOps ardışık düzeni uygulayan kuruluşlardan Gartner’a göre, “bu kuruluşlar, DevSecOps’u, her biri silolara ayrılmış sorumluluk ve uygulama riski görünümüne sahip, bazıları eski ve bazıları yeni olan 10 veya daha fazla farklı güvenlik aracıyla manuel olarak bir araya getirdi.”
Bu kadar çok aracı yönetmenin getirdiği yükün ve bulut sağlayıcıları ve hizmetlerinde tutarlı politikalar elde etmenin zorluklarını fark eden bilgi güvenliği ekipleri, bulut tabanlı uygulama koruma platformları gibi daha geniş platformlarda, nokta ürünleri pahasına giderek daha fazla standartlaşacaktır. bulut güvenliği duruş yönetimi, kod olarak altyapı tarayıcıları ve bulut iş yükü koruma platformları.
Veri Korumaya Odaklanmış Yaklaşım
Çoklu bulut ortamlarında verileri izlemek, çoğu kuruluş için birkaç yıldır çözülmemiş bir sorun olmuştur. Üretim iş yükleri birden çok genel bulut ortamı arasında taşındığında, verileri veya erişim izinlerini izlemek zorlaşır. Bulut hizmeti sağlayıcılarına yönelik araçların, çoklu bulut ortamlarında verilerin güvenliğini sağlamak için sınırlamaları vardır.
2023’te kuruluşların yeni araç setleri ve yeni zihniyetler benimsemesi ve hassas verileri güvence altına almak için politikaları tespit etmek, sınıflandırmak ve uygulamak için daha fazla çaba sarf etmesi gerekiyor. Artan yüksek profilli, karmaşık siber saldırıları ve veri ihlallerini önlemek için veri korumasının bulut güvenlik stratejisinin merkezinde yer almasını bekliyoruz.
Az ile daha fazlasını yapın
Mevcut ekonomik ortam, 2023’te daha sıkı bütçeler eğilimine işaret ediyor. Liderler, bu zorlukla mücadele etmek için araçları, süreçleri ve uzmanlığı daha işbirlikçi bir yaklaşımla birleştirecekler. Verimliliği artırmak ve karmaşıklığı azaltmak için daha da fazla yatırım getirisine odaklanan işlevler arası ekiplerin daha geniş bir şekilde kullanıldığını göreceğiz.
Siber Güvenlik İşe Alma Zorluk Olarak Kalacak
(ISC)’ye göre2 2022 Siber Güvenlik İşgücü Araştırması, dünya çapında 3,4 milyon siber güvenlik çalışanı açığı var. Sınırlı personelle, güvenlik liderlerinin risk tabanlı önceliklendirme ile güvenlik otomasyonunu vurgulamasını bekliyoruz.
2023’te Nasıl Güvende Kalınır?
Saldırıları ve ilgili olayları inceleme tecrübemize dayanarak, güvenlik liderlerinin aşağıdaki taktik ve tekniklere odaklanması gerektiğine inanıyoruz:
- Bulut güvenliği yaklaşımı ve stratejisi: Büyük ölçekli bulutta yerel konuşlandırmaların yaygınlığıyla, daha modern, çevik ve entegre bir siber güvenlik yaklaşımı benimsemek görev açısından kritik öneme sahiptir.
- Doğru araçları seçin: Güvenlik katmanları ve tehdit istihbaratı üzerinden doğru çözümler ve uzmanlık düzeyiyle sağlam güvenliğe geçiş.
- Görünürlüğe öncelik verme: Buluttaki tehditleri, riskleri ve güvenlik açıklarını kapsayan karmaşık bulut ortamı üzerinde içgörü ve kontrol elde edin.
- Odak noktasında veri güvenliği: Stratejik entegre veri koruması ve DLP yaklaşımıyla büyük, dağınık ortamlarda verileri güvenli hale getirin.
- Tehdit istihbaratı, gelişmiş korelasyon ve makine öğrenimi teknikleri: Kötü aktörlerin bir adım önünde olmak ve proaktif olarak riski azaltmak için gelişmiş tekniklerin bir kombinasyonunu kullanın.
- Sürekli uyumluluk standartlarını otomatikleştirin ve sürdürün.
- Ekip işbirliği: Kuruluş genelinde otomasyonu kullanarak güvenlik sorumluluklarını dağıtın ve devredin.