Bulut son zamanlarda her zamankinden daha karmaşık ve daha önemli hale geldi; ama en güzel kısmını sona bırakacağım. Bulut kullanımıyla ilgili temel güvenlik kaygılarından biri, her ne kadar birkaç tane olduğunu kabul etsem de, yanlış yapılandırmalardır. Bunlar veri ihlallerine yol açar veya hacktivizm durumunda yanlış yapılandırmalar hizmet reddi saldırılarına olanak tanır.
Bir kuruluşun çevreyi yapılandırma ve güvenlik altına alma konusunda başarılı olduğu durumlarda bile çoğu kişi, büyük miktarlarda veri depolama yeteneği nedeniyle bulutu kullanır. Veri ayrımı, erişim hakları, izinler, veri sınıflandırmaları vb. çoğu zaman yetersiz bir şekilde uygulanıyor veya tüm bu verilere daha hızlı, daha rahat erişim sağlamak için kasıtlı olarak göz ardı ediliyor. Bu, yetkisiz erişim elde edilirse büyük miktarda verinin sızdırılması ve indirilmek üzere fidye yazılımı ve veri hırsızlığı barındıran sitelere yerleştirilmesi anlamına gelir.
Geleneksel olarak insanlar bir güvenlik açığı tarayıcısını kabaca hizmetlerine doğru yönlendirirler. Bazıları penetrasyon testleri, konfigürasyon testleri, gizleme hizmetleri yürütecek ve en olgun olanlar ise Harici Saldırı Yüzey Yönetimi (EASM) programlarını çalıştıracak. EASM kullananların pek çok kurşundan kaçması muhtemeldir. Olgun EASM programları ya dahili test ekipleri, Siber tehdit istihbaratı (CTI) ekipleri ya da harici CTI sağlayıcıları tarafından yürütülecektir. Amaç, yalnızca neyin çalıştığına, sürümlere, hizmetlere ve bağlantı noktalarına, güvenlik kontrollerine ve yanlış yapılandırmalara değil, aynı zamanda genellikle sahte geliştiriciler, mühendisler veya mimarlar tarafından yanlışlıkla kurulan yeni gölge hizmetlere de bakarak çevreye ve ötesine sürekli bakmaktır. Sürekli olarak güvenlik olaylarına ve veri ihlallerine yol açan şey budur.
İdeal olarak EASM programları tehdit konusunda bilgilendirilecektir. yani CTI ekipleri sürekli olarak aktörlerin operasyonlar, hedefleme ve TTP’ler açısından neler yaptığını inceliyor ve kontrollerin uygun olduğundan emin olmak için bunları çalıştırdıkları bulut hizmetleriyle uyumlu hale getiriyor. Bulut uygulamalarıyla EASM hiç bu kadar önemli olmamıştı. Uzaktan çalışmaya ve müşterilerle etkileşim kurmanın yeni yollarına izin vermek için yeni bulut hizmetlerinin hızla devreye alındığı Kovid sırasında, EASM hızla gerekli hale geldi.
Birleşik Krallık’ta CBEST ve GBEST ve Avrupa’da TIBER gibi düzenleyici çerçevelerin parçası olan Tehdit Liderliğinde Sızma Testlerini (TLPT) düzenli olarak gerçekleştiriyorum. Bu testlerin tehdit istihbaratı unsurunun önemli bir bileşenine ‘hedefleme istihbaratı’ denir. Esasen bu, birçok şeyi içeren bir varlığın düşmanca keşfidir, ancak daha da önemlisi, bir varlığın çevre ve bulut hizmetlerinin, bir dayanak kazanmak için kullanılabilecek zayıflıkları aramak için keşfedilmesidir. Her ne kadar kırmızı ekip üyesi tarafından bir çevre hizmetinin teknik olarak istismarı bankalar gibi olgun kuruluşlara karşı nadir olsa da, gölge hizmetlerin, IP aralıklarının ve kuruluşun farkında olmadığı etki alanlarının keşfi kesinlikle nadir değildir.
Bulut altyapılarında bir ihlal yaşayan kuruluşlar ile sürekli olarak EASM programları çalıştırmayan kuruluşlar arasında doğrudan bir ilişki vardır.
İyi güvenlik açığı yönetimi programları, EASM ve düzenli sızma testleri ile tehditlerin ve risklerin büyük çoğunluğunun azaltılması gerekmektedir. Peki neden bu yazının başında bunun son zamanlarda daha karmaşık ve daha önemli hale geldiğini söyledim? Neden temkinli davranıyorum ve neden bu durum iyileşmeden önce daha da kötüleşecek? Tahmin ettiniz, yapay zeka (AI). Lütfen iç çekmeyin, bu bir felaket tellallığı değil, gelişen gerçek bir tehdittir. Bu, yapay zekaya ilişkin endişelerin çoğundan çok daha gerçekçi bir tehdittir.
Bunu yazarken, yapay zekanın tehdit aktörleri tarafından yakın zamanlı kullanımına ilişkin bir makaleyi inceliyorum ve kısa ve orta vadede göreceğimiz iki önemli gelişme var. İlk olarak kuruluşlar, ihtiyaç duydukları beygir gücü ve veri depolama alanı nedeniyle muhtemelen bulut tabanlı olan yeni yapay zeka hizmetlerini piyasaya sürecek. Bu, güvence altına alınması gereken herhangi bir varlık için saldırı yüzeyinin artmasına yol açacaktır, ancak aynı zamanda yapay zeka çözümleri de yenidir ve muhtemelen daha az test edilmiş ve daha savunmasız olacaktır. Düzenli penetrasyon testleri gerekli olacaktır.
İkincisi, yapay zekanın tehdit aktörleri tarafından kendi keşif ve hedefleme araçlarında kullanılmasıdır. Yapay zekayla geliştirilmiş araçlar hem iyilik hem de kötülük için oluşturulacak. İkincisi, orta düzeyde yeteneğe sahip saldırganların bile internetin büyük bölümlerinin saldırı yüzeyini canlı olarak anlamalarına ve yanlış yapılandırmalara ve güvenlik açıklarına hemen, anında tepki vermelerine olanak tanıyacak.
Savunmacıların artık bazı şeyleri tespit etmek için birkaç günü veya haftası olmayacak; onlardan çok daha hızlı ve otomatik bir şekilde yararlanılacak. Eminim bir satıcı yakında ‘yeni nesil, canlı organik derin teknoloji, karanlık keşif aracı’ sunacaktır, ancak kısa vadede EASM’nize kaynak yatırın, güvenlik açığı ve yama yönetimi programlarınıza yatırım yapın ve BT ekiplerinizle etkileşime geçin. Böylece ortamınızın bulut kısmının her zamankinden daha kritik hale geleceğini anlıyorlar.