En yüksek risk seviyesinde 48 dahil olmak üzere, toplam 955 saatlik büyük ve kritik aksamalar da dahil olmak üzere 502 olay – 120 iş günü… Bunlar, geçtiğimiz Github, Gitlab, Atlassian ve Mezur Etkileri tarafından hazırlanan DevOps Tehditleri Unwraps raporunun son yılları.
2024, Crowdstrike-Microsoft olayı ile veri koruma dünyası için bir uyandırma çağrısıydı. Bu etkinlik, en sağlam organizasyonların bile kırılganlığının altını çizdi ve bir yıkım izi bıraktı: dünya çapında 5.4 milyar dolarlık hasar ve 8.5 milyon etkilenen Windows cihazları.
Ancak, bu başlık yakalama figürleri buzdağının sadece görünen kısmıdır. Yıl, 2025’te hızlanacak bir eğilim olan SaaS uygulamalarını ve DevOps araçlarını hedefleyen saldırılarda bir artış gösterdi.
Dünyanın en güvenilir DevOps yedekleme ve felaket kurtarma satıcısı GitProtect.io, DevOps Tehditleri Unwraped çalışmasının yeni baskısını başlattı. Araştırma, en şiddetli kusurları, uzun süreli kesintileri, yıkıcı insan hatalarını, veri ihlallerini ve geçen yıl DevOps siber güvenlik manzarasını şekillendiren diğer olayları ortaya koyuyor. Çalışma GitHub, Gitlab, Bitbucket, Jira ve Azure DevOps veri korumasına odaklanmaktadır.
Araştırmaya göre, 2024’te DevOps, en yüksek risk seviyesine sahip 48 de dahil olmak üzere bu araçları etkileyen 502 olayla başa çıkmak zorunda kaldı. Ayrıca, istatistiklere göre, kullanılabilirlikte kesintilerle mücadele ettiler – toplamda 955 saatlik büyük ve kritik kesintiler. Yılda yaklaşık 120 iş günü verir (!). Buna, kullanılabilirlikte veya bozulmuş performansta geçici kesintilere neden olan olayları ekleyin ve ölçek muazzam hale gelir.
Bunu bir perspektif vermek için, Karayipler’de kısa bir mola vererek, doğu kıyısına ulaşmak ve… Portekiz’e geri dönmek için Avrupa’dan Atlantik Okyanusu’nu geçmek için 955 saat yeterlidir.
Bu sayıları platformla bozan Github kullanıcıları, 134 saatlik kesintilere neden olan 26 büyük etkiye sahip 124 olay yaşadı. Bitbucket, 4 saatlik aksamadan sorumlu 4 kritik olan 38 olayı kaydetti. Jira – 132 olay, 10 kritik olay, 17 saatlik kesinti ile sonuçlandı. Azure Devops – 111 olay, 1 neredeyse 2 saat süren sağlıksız statüye sahip. Son olarak, 97 sayı, 7 hizmet kesintisi olayı ve rekor 798 saatlik kesintiye sahip GITLAB.
Satıcı kesintilerinin ötesinde: büyüyen bir tehdit manzarası
Hizmet kesintileri zorluğun sadece bir parçasıdır. DevOps sürekliliği ve veri bütünlüğüne yönelik en yaygın tehditler arasında sabit kodlanmış sırlar, teminatsız veritabanları, repo krikoları, yazılım tedarik zincirindeki davetsiz misafirler, AI tarafından üretilen tehditlerin büyüyen ölçeği ve değişmemiş çeşitli insan hataları bulunmaktadır.
GitProtect.io çalışmasına göre, sadece geçen yıl, diğerlerinin yanı sıra Mercedes, New York Times, Schneider Electric, Cisco, Çin Kamu Güvenliği Bakanlığı ve Cloudflare gibi markalar, github, GitLab, Atlassian Stack veya Azuredevops verilerinin hackleme veya ihlallerini içeren olayları duyurdu. Bu olayların açıklamaları DevOps Tehditleri Açılmamış Rapor sayfasında mevcuttur.
En çok etkilenen endüstriler teknoloji ve yazılım, fintech/bankacılık, medya ve eğlence idi. Sağlık hizmetleri, devlet kuruluşları, telekomünikasyon ve üretim de kısa listeyi yaptı.
Paylaşılan sorumluluk modelleri ve artan uyumluluk gereksinimleri
SaaS satıcılarının savunmasında, neredeyse tüm SaaS ve bulut sağlayıcıları tarafından kullanılan ortak sorumluluk modeli faaliyet göstermektedir. Siber güvenliğin birçok alanında paylaşılan sorumluluk üstlenir. Github, GitLab, Atlassian ve Microsoft, müşterilerine hesap düzeyinde zorunlu DevOps veri yedekleme de dahil olmak üzere güvenlik yükümlülüklerini yerine getirme ihtiyacı hakkında bilgi verir.
Bu yıl odaklanmaları gereken şey, kullanıcı sorumlulukları ve veri güvenliği ve yedekleme ile ilgilenme ihtiyacı konusunda daha büyük ve daha yoğun bir eğitimdir.
Neyse ki, bu büyüyen tehdit ölçeği zaten SaaS müşterilerini verilerini güvence altına alma ihtiyacından haberdar ediyor. Gartner’a göre, 2028 yılına kadar işletmelerin% 75’i SaaS uygulamalarının yedeklemesine, 2024’teki% 15’e kıyasla kritik bir gereklilik olarak öncelik verecek.
Bu eğilim aynı zamanda mevzuatın ve devlet kurumlarının dikkatinden kaçmamaktadır. 2024 ayrıca uyum ve düzenleyici konulara artan bir ilgi gördü. Sadece 17 Şubat’ta yürürlüğe giren Dijital Operasyonel Esneklik Yasası’ndan (DORA), NIS 2, SOC 2, HIPAA ve en kritik ve aynı zamanda savunmasız sektörlere adanmış daha fazla güvenlik eyleminden bahsetmek için. Bu çerçeveler, Git depolarının yedeklemeleri, JIRA projeleri ve diğer DevOps araçları da dahil olmak üzere sağlam veri koruma önlemlerini zorunlu kılar.
İleriye Bakış: 2025 için Tahminler ve En İyi Uygulamalar
Siber tehditler gelişmeye devam ettikçe, kuruluşlar uyanık kalmalıdır. GitProtect.io’nun 2024 Devsecops Tehditleri Tehditleri 2025 için eyleme geçirilebilir bilgiler ve tahminler sunarak işletmelerin veri güvenliği stratejilerini güçlendirmeleri için güç veriyor.
Bu bulgulara ve uzman önerilerine daha derin bir dalış için resmi rapor sayfasını ziyaret edin.
__
Yazar – Hakkımızda
GitProtect.io By Xopero Software, tüm JIRA, Bitbucket, GitHub, GitLab, Azure DevOps ve daha fazla yığın verisi için dünya lideri otomatik ve yönetilebilir bir yedekleme ve felaket kurtarma çözümüdür. Hizmet kesinti sırasında bile Veri erişilebilirliği ve sorunsuz iş akışı ile DevOps’u sağlar. Güvenlik ekipleri tarafından güvenilir, bulut paylaşılan sorumluluk modelini karşılamaya, güvenlik standartlarına (ISO 27001 veya SOC 2) uymaya ve denetime hazır yönetişim, ileri raporlama ve sınıfının en iyisi güvenlik kontrolleri ile güçlendirilmeye yardımcı olur.
Daha fazla bilgi: https://gitprotect.io/
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!