Buluta doğru hareket etmeyen herkesin geride kalması artık eski bir mecaz. Sonuç olarak, bulut güvenliği son birkaç yıldır hiçbir azalma belirtisi göstermeden “yeni trendler” listesinde yer alıyor.
2020 yılında Ulusal Güvenlik Ajansı (NSA) şunları önerdi: Buluttaki yanlış yapılandırmalar bulut güvenliğine yönelik açık ara en büyük tehdittir. Crowdstrike'ın “2023 Küresel Tehdit Raporu” (oturum açmanız gerekir), “bulut kullanımının devam eden yükselişi”ni 2024'ün en önemli beş temasından biri olarak gösterdi. Palo Alto Networks ise yakın zamanda “bulut güvenliği ve kimlik erişimi yönetimini” ana temalarından biri olarak listeledi. ilk beş endişe bu yıl. Her ne kadar bulut güvenliği başlangıçtan itibaren yeterince finanse edilmiyor olsa da, buluta geçiş ve dönüşüm her şirketin gündemindedir. (Görünüşe göre, aynı dersleri tekrar tekrar öğrenmek kaderimizde yazılı.)
En Önemli 11 Bulut Güvenliği Tehdidi
Bulut Güvenliği İttifakı (CSA), güvenli bir bulut bilişim ortamı sağlamaya yardımcı olacak en iyi uygulamaları tanımlamaya ve bunlara ilişkin farkındalığı artırmaya adanmış, kar amacı gütmeyen bir kuruluştur. 2022 ve 2023'te, en önemli bulut zorluklarını ve bulut tehditlerini belirlemek için uzmanlara anket yapıldı. Pandemi 11 (oturum açmak gereklidir):
-
Güvenli olmayan arayüzler ve uygulama programlama arayüzleri (API'ler)
-
Yanlış yapılandırma ve yetersiz değişiklik kontrolü
-
Bulut güvenlik mimarisi ve stratejisinin eksikliği
-
Güvenli olmayan yazılım geliştirme
-
Güvenli olmayan üçüncü taraf kaynakları
-
Kazara bulut verilerinin ifşa edilmesi
-
Sunucusuz ve konteyner iş yüklerinin yanlış yapılandırılması ve kötüye kullanılması
-
Organize suç, bilgisayar korsanları ve gelişmiş kalıcı tehditler (APT'ler)
-
Bulut depolama veri sızıntısı
Bunlar, örtüşen ve kapsamlı olmayan bir çerçeve oluşturan, tehdit aktörleri ve saldırı vektörlerinden oluşan bir çantadır, ancak yine de anket katılımcılarının zihninde yararlı bir mercektir. 2023 yılında, CSA büyük ihlalleri haritaladı (Okta, Dropbox, Savunma Bakanlığı, Uber, Lastpass, Log4j, Codecov, Cozybear ve GeneralBytes) ve bu saldırılarda 11'in bazı kombinasyonlarının iş başında olduğunu belirlediler.
Geçtiğimiz birkaç yılda, yanlış yapılandırmaların sonuçlandığını gördük. veri sızıntıları tüm önemli bulut depolama seçeneklerinde. Neyse ki KnowBe4'ten Robert Grimes'ın işaret ettiği gibi, birkaç yıl önce sorunlu olmasını beklediğimiz bazı sorunlar (henüz) sorun olmadıKiracı çakışmaları, bulut tabanlı kötü amaçlı yazılımlar, sanal makine istemcisinden istemciye/ana makineye saldırılar, silme işlemlerinin geri alınması ve veri sahipliği sorunları dahil. Bununla birlikte, bunalmış olmasa da herkesi meşgul edecek fazlasıyla yeterli şey var.
Pandemiye Karşı Savunmanın 10 Yolu 11
Peki neyi farklı yapabiliriz? Bu liste ne kapsamlı ne de basittir, ancak pratikte gördüğümüz bazı etkili stratejiler şunlardır:
1. Ciddi bir kimlik programı oluşturun. Birçok şirket yıllardır kimlik güvenliği araçlarına yatırım yapıyor ancak ihtiyaç duydukları ve istedikleri kimlik ortamını oluşturmaya yeterince enerji ayırmıyor. Bu ciddi bir taahhüttür ve ciddi kaynak yatırımı gerektirir. Gartner tavsiye ediyor “[selecting] Bulut veri güvenliği zorluklarını azaltmak için doğru hizmet olarak anahtar yönetimi. Uyumlu kalın ve nerede bulunduğundan bağımsız olarak bulut verileriniz üzerinde kontrolü elinizde tutun.”
2. Arayüzlerinizin ve API'lerinizin güvenliğini sağlamak ve uygun yönetim ve gözetimi sağlamak için ekiplerin bir hizmet olarak API entegrasyon platformu (PaaS) kullandığından emin olun.
3. Güçlü bir değişiklik ve kontrol yönetimi sürecinin bir parçası olarak konfigürasyonlarınızı düzenli olarak denetleyin. Süreci belgeleyin ve ekiplerin bunu bildiğinden ve takip ettiğinden emin olun.
4. İstenilen gelecek durum mimarisini ve stratejisini tasarlamak için zaman ayırın. Sorumluluğu sağlamak için ölçümler oluşturun ve bunları düzenli olarak güncelleyin. Ne yazık ki, bulut altyapısını plansız bir şekilde toplamaya yönelik standart uygulama, kaçınılmaz olarak israfa, öngörülemeyen harcamalara ve beklentilerin çok üzerinde kullanım maliyetlerine neden oluyor.
5. Güvenliği yazılım geliştirme yaşam döngünüzün (SDLC) başlangıcına dahil edin (herkesin son 20 yıldır söylediği gibi).
6. Üçüncü tarafların güvenliğini doğrulamak için otomatik süreçler oluşturun. Üçüncü taraf risk yönetimi uzun zamandır ortalıkta ve onu yönetmek için birçok araç var. Sorun, ilgili süreçleri yürütmek ve uygun kaynakları denetlemek için istek ve zamana sahip olmaktır. Kuruluşların artık fark ettiği gibi, üçüncü taraf kaynak kodları ve kitaplıkları geliştirme açısından büyük risk oluşturmaktadır.
7. Yamalamayı içerecek şekilde güvenlik açığı yönetimi programlarını otomatikleştirin ve bunu varlık yönetimine yakından bağlayın. Güvenlik açığı yönetimi yalnızca varlık ve yapılandırma envanterleriniz ve yönetim programlarınız kadar iyidir. BT varlık yönetimini önemli bir temele yükseltmenin ve işlevini istikrarlı bir şekilde iyileştirmenin zamanı çoktan geçti.
8. Denetim, denetim, denetim. Bulut pek çok verimlilik sağlar ancak aynı zamanda verilerin kazara sızdırılması da önemli ölçüde daha kolaydır. Kuruluşların sağlam eğitim programlarına, BT denetim girişimlerine, yasal planlamaya vb. ihtiyacı vardır.
9. Sunucusuz ve konteyner ortamlarında güvenlik gözetimi sağlayın. Sunucusuz ve konteynerler BT yönetimini daha uygun maliyetli hale getirse de güvenlik açısından da daha şeffaf hale getiriyor. Güvenlik ekiplerinin bu kaynaklara ayrılmış kaynaklara ihtiyacı vardır.
10. Tehdit avcılığına yatırım yapmaya devam edin ve organize suçla veya potansiyel bir APT ile karşılaştığınızda size yardımcı olabilecek devlet kurumlarını tanıyın. Çok az kuruluş gerçek kalıcı tehditlerle mücadele etmek için uygun kaynaklara sahiptir, ancak CISA önemli ölçüde büyüdü destek hizmetleri.
Süreçler Bulut Tehditlerini Ele Alabilir
Meslektaşım Justin Whitaker yakın zamanda övdü “Platform Mimarisi Tasarım Belgelerinin Kayıp Sanatı.” O yazdı:
“Tasarım ve mimari diyagramları, olgun siber risk yönetimi programlarına sahip kuruluşlar için temel öneme sahiptir. Çeşitli ortak güvenlik değerlendirmeleri (örneğin, sistem mimarisi incelemeleri, sistem güvenlik planları ve tehdit modelleme), tasarım ve mimari belgelerini gerektirir. Kapsamlı tasarıma alternatif dokümantasyon, uzun güvenlik anketlerini ve güvenlik ekipleriyle gerekli tüm bilgileri ortaya çıkarmak için çok sayıda veri toplama oturumunu içeriyor; aksi takdirde bunların çoğu bir tasarım planında yer alacak.”
Bulut için bu daha doğru olamazdı. Tasarım ve mimari dokümantasyonu süreç geliştirme için bir başlangıç noktası sağlar. CSA'nın 11 bulut tehdidinin tamamı doğru süreçlerle ele alınabilir. Ciddi bir yola çıkmanın zamanı çoktan geçti.