Kimlik yönetiminden veri kaybı riskinin azaltılmasına kadar siber güvenliğin her yönünün ağ ve onu destekleyen altyapıyla bağlantısı vardır.
Lacework Saha CTO’su Anthony Rees, organizasyon ağının güvenliğini sağlamanın güvenlik ekiplerinin karşı karşıya olduğu en yüksek öncelik olduğunu söylüyor. Düzenli bir yaklaşım benimseyen kuruluşlar, güvenlik kurumsal mücevherlerinin tehlikeye atılması riskini azaltabilir.
“Bulut kimliği ve sıfır gün güvenlik açıkları bugün gördüğüm en büyük riskler. Log4J, WannaCry ve HeartBleed gibi yaygın güvenlik açıklarının bulunması ve düzeltilmesi çok zor olabilir” diyor Rees.
Rees, anahtarın güvenlik hijyeni, bulut duruşu ve kod güvenliği gibi üç alana odaklanmak olduğunu açıklıyor. Güvenliğin doğru şekilde yapılandırılması ve sistemlerin güncel tutulması gibi güvenlik hijyeni, bulut durum yönetimiyle ve bulut ortamlarındaki en iyi uygulamaların kullanılmasıyla bağlantılıdır.
“Bağlantı noktalarını açık bırakmadığımızdan emin olmak, RDS veritabanlarını doğru şekilde yapılandırmak ve bulut güvenliği duruşumuzun optimize edilmesini sağlamak için türünün en iyi uygulamalarını kullanmak, ağları ve altyapıyı korumak açısından kritik öneme sahiptir.”
Bu yolculuğa çıkmak zorluklardan muaf değildir. Rees, deneyimine göre ağ ve altyapı güvenliğini doğru bir şekilde sağlamanın önünde üç büyük engel bulunduğunu söylüyor. Kaynak bulma, güvenlik uzmanlarının yetersiz tedariki nedeniyle önemli bir sorundur. Ve birçok kuruluş, tehdit aktörlerinin yararlanabileceği saldırı zincirleri bağlamında kendi kuruluşları içindeki tehditleri önceliklendirmeyi zor buluyor.
Rees, “Bu zorluklarla baş etmenin ilk adımı görünürlüktür” diyor. “Ortamınızdaki her şeyi tanımlamalı ve ardından internete dönük olan her şeye öncelik vermelisiniz. Ardından mevcut CVE’leri ve bu uygulamaları ve hizmetleri potansiyel olarak etkileyebilecek sıfır günleri arayın.”
Uygulama güvenliği de kritik öneme sahiptir. Pek çok hizmetin açık kaynak ve paylaşılan paketler kullandığı göz önüne alındığında, kod güvenliği kritik önem taşıyor. Kuruluşlar, bu tehditlere ve risklere kritik iş yükleri ve ‘taç mücevher’ verileri bağlamında bakarak, kaynakları en fazla etkiyi yaratacakları yere yönlendirebilirler.
Çevreyi ve karşılaştığı riskleri anlamak, bir kuruluşun ağını ve altyapısını güvence altına almanın anahtarıdır. Sağlam bir risk azaltma planını temel iş yükleri üzerinde bağlamsal görünürlükle birleştirmek, kuruluşların en önemli varlıklarını korumak için kaynaklarına öncelik vermelerine olanak tanıyacaktır.