Bu Help Net Security röportajında RAD Security CEO’su Brooke Motta, buluta özgü tehditlerin nasıl geliştiğini ve şirketlerin nelere dikkat etmesi gerektiğini anlatıyor. Bulut ortamlarının artan karmaşıklığını ve giderek karmaşıklaşan saldırılara karşı koruma sağlamak için gerçek zamanlı algılamanın önemini tartışıyor.
Motta ayrıca uyumluluk ve bulut güvenliği zorluklarıyla mücadele eden KOBİ’ler ve kuruluşlar için pratik tavsiyeler de paylaşıyor.
Buluta özgü tehditler son birkaç yılda nasıl gelişti ve şirketlerin hangi yeni trendlerden haberdar olması gerekiyor?
Bulutun benimsenmesi tüm zamanların en yüksek seviyesine ulaşıp büyümeye devam ettikçe, buluta özgü tehditler önemli ölçüde gelişti. Siber saldırganlar artık giderek daha karmaşık taktiklerle daha geniş, daha karmaşık bir saldırı yüzeyine sahip. 2024 Thales Bulut Güvenliği Araştırmasına göre bulut yönetimi altyapısını hedef alan saldırılarda 2024 yılında %72 artış görüldü.
Saldırı yüzeyi artık bulutta yerel uygulamaları, konteynerleri ve Kubernetes’i barındıran eski veri merkezlerinin yanı sıra uygulamalar için çeşitli teknolojileri kullanan bulut ortamlarının bir kombinasyonunu kapsıyor. Giderek daha fazla kuruluşun ortamların sahipliğini geliştiricilere dayattığı ve güvenlik ekiplerinin danışman yerine engelleyici olarak görüldüğü göz önüne alındığında, bu, farkında olunması ve güvende tutulması gereken çok şey var.
Karmaşık bir ortamın yanı sıra güvenlik ekipleri, bu parçalardan herhangi birindeki basit yanlış yapılandırmaların kendilerini saldırılara karşı ne kadar savunmasız bırakabileceğinin ve eski güvenlik araçları tarafından kolayca gözden kaçırılabileceğinin de farkında olmalıdır. Bulut güvenliği söz konusu olduğunda, XZ Arka Kapısı gibi yeni sıfır günler ortaya çıkmaya devam ederek tespit ve müdahaleyi ön planda tutuyor.
Bulut algılama ve yanıt (CDR), bulut ortamlarındaki tehditleri meydana geldikçe gerçek zamanlı izlemeye, tespit etmeye ve bunlara yanıt vermeye odaklanan yeni ortaya çıkan bir kategoridir. Bu yeni ortaya çıkan kategorideki tüm ürünlerin sahip olması gereken birkaç büyük trend var:
- Gerçek zamanlı duruş yönetimi
- Yazılım tedarik zinciri saldırılarına karşı uygulanabilir
- Kubernetes ve kapsayıcılarla etkilidir
- İş yükü, bulut altyapısı ve bulut kimliği bağlamının birleşimi
- Davranışsal temeller ve eski statik algılamalar
Bulut güvenliği, sınırlı kaynaklar nedeniyle KOBİ’ler için sıklıkla benzersiz zorluklar sunar. Küçük şirketler hangi temel ancak etkili bulut güvenliği önlemlerini uygulayabilir?
Bulut güvenliği, sınırlı kaynaklara sahip küçük şirketler için özellikle zorlayıcı olabilir. Ancak KOBİ’ler birkaç temel stratejiye odaklanarak bütçelerini zorlamadan bulut güvenliği duruşlarını büyük ölçüde geliştirebilirler.
Her şeyden önce, acil yanlış yapılandırmaları gözden geçirmek ve düzeltmek çok önemlidir. Yanlış yapılandırmalar, bulut ortamlarındaki en yaygın güvenlik açıklarından biridir ve genellikle dikkatli bir denetimle hızlı bir şekilde düzeltilebilir. Düzenli incelemeler, güvenlik ayarlarının güncel olmasını ve en iyi uygulamalarla uyumlu olmasını sağlamaya yardımcı olacaktır.
Ayrıca bulut iş yüklerinin gerçek zamanlı izlenmesi de önemlidir. İşletmeler, olağandışı veya şüpheli etkinlikleri gerçek zamanlı olarak izleyerek, potansiyel tehditleri tam ölçekli güvenlik olaylarına dönüşmeden önce tespit edebilir ve bunlara müdahale edebilir. Herhangi bir güvenlik sorununun etkisini sınırlamak için hızlı yanıt süreleri çok önemlidir.
Daha sonra KOBİ’leri kimlik yönetimine öncelik vermeye teşvik ediyoruz. Bu özellikle kimlik yönetiminin ve erişim kontrollerinin daha karmaşık olabildiği Kubernetes, konteynerli uygulamalar ve diğer bulutta yerel altyapılar gibi ortamlarda önemlidir. Yalnızca yetkili kullanıcıların hassas verilere ve kaynaklara erişebilmesini sağlamak, risklerin en aza indirilmesine yardımcı olur.
Son olarak, doğru güvenlik araçlarına yatırım yapmak etkili bulut güvenliği için temel bir adımdır. Doğru araçların mutlaka en pahalı olması gerekmez; yalnızca şirketinizin özel ortamına ve risk profiline çok uygun olmaları gerekir. Bulut güvenliği ihtiyaçlarına göre uyarlanan çözümler, kaynakları zorlamadan güvenliği önemli ölçüde artırabilir.
Artan düzenleyici ortam (GDPR, HIPAA, PCI vb.) göz önüne alındığında, kuruluşlar bulut tehdit algılama stratejilerinin uyumluluk standartlarını karşıladığından nasıl emin olabilirler?
GDPR, HIPAA ve PCI gibi uyumluluk standartlarının artan taleplerini karşılamak için kuruluşların temel güvenlik ve gizlilik kontrollerine öncelik veren bulut tehdit algılama stratejileri oluşturması gerekiyor.
Öncelikle erişim kontrolleri çok önemlidir. Kuruluşlar, rol tabanlı erişim, çok faktörlü kimlik doğrulama ve kimlik yönetimi gibi sıfır güven ilkelerini izleyerek, düzenleyici beklentilere uygun olarak yalnızca yetkili kullanıcıların hassas verilere erişmesini sağlayabilir.
Günlüğe kaydetme ve denetim izleri de kritik öneme sahiptir. Bulut etkinliklerinin ayrıntılı günlükleri, şeffaflığa yardımcı olur ve GDPR ve HIPAA gibi çoğu düzenlemenin temel parçası olan denetim gereksinimlerini destekler.
Kuruluşlar ayrıca tehditleri gerçek zamanlı olarak tespit etmek için sürekli izleme uygulamalıdır. Bu proaktif yaklaşım yalnızca risklerin hızlı bir şekilde azaltılmasına yardımcı olmakla kalmaz, aynı zamanda güvenli sistemlerin sürdürülmesine yönelik uyumluluk gereksinimleriyle de uyumludur.
Veri kaybını önleme (DLP), hassas verilerin sızdırılmamasını sağlamaya yardımcı olur ve sağlam bir olay müdahale planına sahip olmak, kuruluşların GDPR gibi düzenlemelerin gerektirdiği şekilde ihlallere hızlı bir şekilde yanıt vermesine olanak tanır.
Son olarak şifreleme şarttır. Verilerin hem aktarım sırasında hem de bekleme sırasında şifrelenmesini sağlamak, hassas bilgilerin korunması açısından çok önemlidir. Düzenlemeler, özellikle sağlık ve finans sektörlerinde sıklıkla bunu gerektirir.
Kuruluşlar, bu kontrolleri bulut stratejilerine entegre ederek uyumluluk gereksinimlerinin ilerisinde kalabilir ve genel güvenlik duruşlarını güçlendirebilir.
Sıklıkla bahsedilen önemli bulut sorunlarından biri görünürlük eksikliğidir. Kuruluşlar bulut altyapılarında kapsamlı görünürlük elde etmek için hangi uygulamaları veya teknolojileri kullanabilir?
Altyapı ve bulut güvenliği ekipleri için bir numaralı zorluk, özellikle bulut, hibrit bulut, konteynerler ve Kubernetes gibi karmaşık ortamlarda genel risklerin görünürlüğüdür.
Kubernetes artık konteynerlerdeki mikro hizmetleri düzenlemek ve çalıştırmak için tercih edilen araç, ancak aynı zamanda güvenlik açısından hız yakalayan son alanlardan biri oldu ve birçok güvenlik ekibinin kendini tuzağa düşmüş hissetmesine neden oldu. Bu, giriş kontrolünü uygulamış olsalar veya başka konteyner güvenlik önlemleri almış olsalar bile geçerlidir. Bu ortamlar onlar için geçici bir yapıya sahip olduğundan, ekiplerin iş yüklerine kimin eriştiğini ve herhangi bir anda içlerinde neler olduğunu gösterebilecek bir güvenlik aracına ihtiyaçları vardır. Eski takımların çoğu bu talebi karşılayamıyor.
En iyi görünürlük, modern bulut ortamlarının sürekli değişen doğasına ayak uyduramayan anlık görüntü alma yerine, gerçek zamanlı görünürlük ve gerçek zamanlı algılamaya olanak tanıyan araçlarla elde edilir.
Bulutta daha iyi görünürlük elde etmek için güvenlik izlemeyi ve uyarıları otomatikleştirerek manuel çabayı azaltın ve kapsamlı kapsam sağlayın. Bulut platformlarınızdan gelen öngörüleri birleştirmek için kontrol panellerini veya günlük toplama araçlarını kullanarak güvenlik verilerini merkezileştirin. Bulut güvenlik modelinde sorumluluklarınız konusunda net olun ve sağlayıcınızın güvenlik duruşlarına ilişkin görünürlük sunduğundan emin olun. Son olarak, bulut kaynaklarını korumak için katı erişim kontrolleri uygulayarak ve olağandışı erişim modellerini izleyerek sıfır güven uygulayın.
Bulut algılama araçlarını olay müdahale iş akışlarıyla entegre etmek için önerilen en iyi uygulamalardan bazıları nelerdir?
Buluttaki olaylara en iyi şekilde yanıt verebilmek için saldırıları gerçekleştiği anda tespit edecek bir araca ihtiyacınız var; bu, olay müdahalesinde önemli bir ölçüm olan MTTR’nin (ortalama yanıt süresi) azaltılmasına yardımcı olacaktır. Araçlarınızın ayrıca hem bilinen hem de yeni saldırıları tespit edebilmesi gerekir.
Geçen yıl, bilinen güvenlik açıklarından yararlanılması bulut ihlallerinin %28’ine neden oldu ve daha önce bilinmeyen güvenlik açıklarından (sıfır gün) yararlanılması ihlallerin %24’ünü oluşturdu. Ekipler hâlâ tamamen imza tabanlı tespite güveniyorsa yalnızca bilinen saldırıları hemen yakalayacak ve onları savunmasız bırakacaktır. Davranışsal tespit modeli, hem bilinen hem de bilinmeyen saldırıları gerçek zamanlı olarak tanımlayabilir.
Güvenlik ekipleri ayrıca, araçların almasına izin verecekleri otomatik yanıtları ve bir araştırmaya dayalı ortadaki insan yanıtlarını da tanımlamalıdır. Çözümler, ekiplerin bir iş yükünü karantinaya almasına ve daha sonraki adli analiz için kopyalar oluşturmasına olanak sağlamalıdır. Şüpheli etkinliğe ilişkin uyarılar, web kancaları, API’ler veya diğer yerel araç entegrasyonları aracılığıyla mevcut iş akışlarına kolayca entegre edilmelidir.