Şirket içi ortamlar için geliştirilmiş geleneksel olay müdahale (IR) süreçleri, buluta uygulandığında önemli zorluklarla karşı karşıya kalır. Bulut ortamlarının paylaşılan sorumluluk modeli, IR prosedürlerinin yeniden değerlendirilmesini ve yükseltilmesini gerektirir. Bu zorlukları etkili bir şekilde aşmak için güvenlik ve risk yönetimi (SRM) liderlerinin, bulut ortamlarının benzersiz doğasına uygun hale getirilmiş yeni stratejileri ve teknolojileri benimsemesi gerekir.
Paylaşılan Sorumluluk Modeli ve sonuçları
Bulut IR’nin temel zorluklarından biri, bulut hizmet sağlayıcısı (CSP) ile müşteri arasındaki güvenlik görevlerini tanımlayan paylaşılan sorumluluk modelidir. Bu model, bulut hizmetinin türüne göre değişir: hizmet olarak altyapı (IaaS), hizmet olarak platform (PaaS) veya hizmet olarak yazılım (SaaS). Bu sorumlulukları anlamak ve açıkça tanımlamak çok önemlidir.
Geleneksel varlık merkezli IR yaklaşımları, kimlik yönetiminin çok önemli hale geldiği bulut bağlamlarında yetersizdir. Bu nedenle, SRM liderlerinin yalnızca varlıklara odaklanmaktan çıkıp, olayları etkili bir şekilde yönetmek için kullanıcı kimliklerini, yetkilerini ve faaliyetlerini izlemeyi içeren, önce kimlik yaklaşımına geçmeleri gerekiyor.
Bir CSP seçme sürecinin başında yönetişim, risk, uyumluluk (GRC) ve hukuk ekiplerinin katılımını sağlamak hayati öneme sahiptir. Ayrıca, CSP’den sağlam bir Yİ desteği sağlamak için açık sözleşme hükümleri gereklidir. Bu sözleşmeler güvenlik gereksinimlerini, günlük kaydı yeteneklerini, olay müdahale desteğini ve bildirim protokollerini belirtmelidir. Bu hükümler olmadan kuruluşlar kendilerini olaylarla baş etme konusunda yetersiz donanıma sahip olacak ve bulut varlıkları üzerinde yeterli kontrol veya görünürlük elde edemeyeceklerdir.
Otomasyon: Modern olay müdahalesinin temel taşı
Bulut tehditlerinin hızı ve karmaşıklığı, manuel IR süreçlerini daha az etkili hale getirdiğinden, buluttaki IR faaliyetlerini modernleştirmek için otomasyon şarttır. Otomasyon, veri toplama, korelasyon ve araştırma süreçlerini düzene sokarak bunları daha verimli ve daha az kaynak yoğun hale getirir. Olgun bulut sağlayıcıları, programatik ve otomatik yapılandırmalara ve veri toplamaya olanak tanıyarak kapsamlı uygulama programlama arayüzü (API) erişimi sunarak daha hızlı ve daha güvenilir olay tespiti ve müdahalesine olanak tanır ve olayları araştırmak ve azaltmak için gereken süreyi azaltır.
Ayrıca başarılı bulut IR, üçüncü taraf erişiminin, görünürlüğünün ve paylaşılan prosedürlerin etkili yönetimine bağlıdır. Bulut ortamlarına özel araçlar, teknikler ve yasal stratejiler içeren, buluta özgü olaylar için net taktik kitapları geliştirin ve ekiplerin müdahale stratejilerini uygulamasına ve iyileştirmesine yardımcı olmak için bulut olaylarını simüle eden düzenli masaüstü alıştırmaları gerçekleştirin. Bu alıştırmalar, bilgilerin eksik veya erişilemez olabileceği senaryolara odaklanarak ekipleri bulut olaylarının benzersiz zorluklarına hazırlamalıdır.
Sınırlamadan dayanıklılığa geçiş
Bulut ortamlarında IR’nin hedefi, kontrol altına alma ve kurtarmanın ötesine geçerek iş esnekliğini de kapsar. Bu daha geniş yaklaşım yalnızca teknik yanıtları değil aynı zamanda dijital tedarik zinciri fazlalıkları ve sağlam yasal sözleşmeler gibi stratejik planlamayı da içerir. SRM liderleri, IR planlarının kapsamlı olmasını, buluta özgü hususları içermesini ve genel iş sürekliliği ve felaket kurtarma stratejileriyle uyumlu olmasını sağlamalıdır.
Kimlik merkezli güvenliğe geçiş, etkili bulut IR için çok önemlidir. Geleneksel varlık merkezli yaklaşımlar, bulut ortamlarında gerekli görünürlüğü sağlamada başarısız olacaktır. Normal davranış için temeller oluşturarak ve anormallikleri tespit etmek için uyarıları yapılandırarak kullanıcı kimliklerine ve bunlarla ilişkili izinlere odaklanmayı artırın; Bu yaklaşım, bulut altyapısındaki olayları izleme ve yönetme yeteneğini geliştirerek daha kapsamlı ve zamanında yanıt verilmesini sağlar.
Genel olarak bulut ortamlarına geçiş, IR stratejilerinde temel bir değişimi gerektirmektedir. SRM liderleri, bulutun benzersiz zorluklarını karşılamak için otomasyondan, proaktif işbirliğinden ve kimlik merkezli güvenlikten yararlanarak IR prosedürlerini yeniden değerlendirmeli ve yükseltmelidir. Bulut güvenliğinin dinamik doğası, kuruluşların ortaya çıkan tehditlere hızlı ve etkili bir şekilde yanıt verebilmesini sağlayan, eşit derecede dinamik ve esnek IR stratejileri gerektirir.
Carlos De Sola Caraballo, Gartner’da kıdemli baş analisttir. Gartner analistleri, 4-7 Kasım tarihleri arasında Barselona, İspanya’da gerçekleştirilecek Gartner BT Sempozyumu/Xpo’da güvenlik ve risk yönetimini daha ayrıntılı olarak keşfedecek ve BT ve iş dünyasının geleceğini şekillendiren teknoloji, içgörüler ve trendleri derinlemesine inceleyecek.