YORUM
Yükselişin yakınsaması siber tehditlergelişmiş yapay zeka (AI), uzaktan çalışmave hibrit altyapılar günümüzün BT ortamında önemli siber güvenlik zorlukları ortaya çıkarıyor. Sonuç olarak uç noktalarınızı, bulut altyapınızı ve uzaktan erişim kanallarınızı daha güvenli hale getirmeniz gerekiyor. Siber saldırganlar yeni taktikler benimsedikçe, dünya çapındaki kuruluşlar, sürekli tehdide maruz kalma yönetimi (CTEM) sistemlerinin kullanımını genişleterek, sağlam güvenlik çözümlerine yatırım yaparak ve riskleri azaltmak ve dijital varlıkları etkili bir şekilde korumak için işlevler arası işbirliğinden yararlanarak yanıt veriyor.
Ancak Süpermen’in kriptoniti olduğu gibi, en iyi yazılımın bile zayıf yönleri vardır ve bunların başında yanlış yapılandırmalar gelir.
Şunu düşünün: Microsoft araştırması gösteriyor ki şaşırtıcı %80 Fidye yazılımı saldırılarının çoğu, yazılım ve cihazlardaki yaygın yapılandırma hatalarına bağlanabilir.
Yanlış yapılandırmalar şimdi kıskanılmayacak bir şeye sahip ol beşinci sıra Dünya Çapında Açık Uygulama Güvenliği Projesi İlk 10’da — siber güvenlik topluluğu için önemli bir güvenlik açığı referansı. OWASP Yanlış yapılandırma açısından test edilen uygulamaların %90’ında 208.000 ortak zayıflık listesi (CWE) tespit edildi ve bu güvenlik açığının yaygın doğasının altı çizildi.
OWASP şöyle diyor: “Uyumlu, tekrarlanabilir bir uygulama güvenliği yapılandırma süreci olmadan sistemler daha yüksek risk altındadır.”
Bu kanıtlarla birlikte kuruluşların “yanlış yapılandırmalara” daha fazla dikkat etmesi şaşırtıcı değil.
Bunu Resimle…
Sabah kahvenizle oturuyorsunuz ve veri sızıntısı hikayeleri manşetlere çıkıyor. Etkilenen şirket önde gelen bir sigorta şirketi ve binlerce müşterinin kişisel bilgileri aylardır internette yayınlanıyor. Küçük bir araştırmayla firmanın bulutlarından birinde birkaç müşteri kaydını korumasız bıraktığını, bu sayede herkesin basit bir SQL komutuyla bu bilgilere erişmesini kolaylaştırdığını öğreniyorsunuz. Magazin gazetelerini karıştırırken olayların bu kadar ironik bir şekilde gelişmesinin nedenini buluyorsunuz. Bunun basit bir yanlış yapılandırma hatası olduğu ortaya çıktı: Sistem yöneticisi, söz konusu bulut depolama alanı için gizlilik ayarlarını ve izinleri güncellemeyi kaçırdığı için bulutu halka açık bıraktı.
Katı protokollere rağmen insan hatalarının kontrol edilmesinin ve dolayısıyla ortadan kaldırılmasının zor olduğunu öğreniyoruz. Dağıtılmış ve bileşen tabanlı sistemlerin artan karmaşıklığı ve sistem gereksinimleri ve tasarımına ilişkin yaygın yanlış anlamalar muhtemelen daha fazla soruna yol açacaktır. İnsanlar karar alma ve izleme sistemlerinde kritik bir rol oynasa da manuel güncellemeler artık geçerli değil.
Peki Bu Konuda Ne Yapabilirsiniz?
Siber güvenlikte olup biten bunca şeye rağmen, tüm uç noktalarınızın kapsandığını güvenle söyleyebilir misiniz? Ve demek istediğim Tümü – üçüncü taraf sistemlerdeki veriler dahil. Buna cevabınız evet ise tebrikler! Dünyadaki çoğu organizasyondan daha iyi durumdasınız! Ancak cevabınız hayır ise sistemlerinizin güvenliğini artırmak için aşağıdaki önlemleri dikkate almanızı isterim:
-
DevOps’u uygulama sunumundan BT operasyonlarına ve DevSecOps’a kadar genişleten otomasyonu kullanın. Otomasyon, kuruluşların manuel hatalardan kaçınmasına yardımcı olacak çaredir. Bu, çalışanların değerli zamanlarını daha önemli görevler için kullanmalarına olanak tanıyacak ve aynı zamanda başlangıç ve devam eden yapılandırmaların hatasız olduğunu doğrulayacaktır. Yapılandırmalara ilişkin denetimleri otomatikleştirerek gelecekte zamandan ve paradan büyük oranda tasarruf etmenizi sağlayacak tekrarlanabilir bir sistem güçlendirme süreci oluşturabilirsiniz. Otomasyon, insan hatasını azaltmanıza, güvenilirliği artırmanıza, tutarlılığı korumanıza ve ekipler arası işbirliğini desteklemenize olanak tanır. Ayrıca tüm paydaşlara BT varlıklarınızın güvenlik durumu hakkında görünürlük sağlayacaktır.
-
Güvenlik ve uyumluluk politikalarınızın veya kurallarınızın çerçevelenmesine yardımcı olması için kod olarak politika yaklaşımını kullanın. Kuruluşlar, güvenlik kurallarını insan tarafından okunabilen ve makine tarafından uygulanabilen politikalarda kodlayarak ve sapmaları sürekli olarak kontrol edip düzelterek sistemleri yapılandırabilir. Aslında kod olarak politika, hem yapılandırmayı hem de uyumluluk yönetimini tek bir adımda birleştirir. Bu, güvenlik silosunu ortadan kaldırır ve tüm paydaşları paylaşılan bir boru hattı ve çerçeveye getirerek ekip üyeleri arasında işbirliğine olanak tanır ve geliştirme sürecinde güvenliğin sola kaydırılmasına olanak tanır. Kod olarak politika yaklaşımı, yanlış yapılandırmaların tespit edilmesine, verimliliğin ve hızın artırılmasına ve üretim hatası riskinin azaltılmasına yardımcı olabilir.
DevSecOps’un teknik bir yönü olduğu kadar işbirliği ve planlamayı içeren insani bir yönü de vardır. BT operasyonları ile güvenlik ve uyumluluk ekipleri arasında işbirliğiyle başlayan ve aynı zamanda uygun dış ve iç uyumluluk gerekliliklerini tartışan çok yönlü bir yaklaşım kritik bir başlangıç noktasıdır.
Yapılandırmayı ve politikaları anladıktan sonra, İnternet Güvenliği Merkezi (CIS) Karşılaştırmaları ve Savunma Bakanlığı Sistemleri Ajansı-Güvenlik Teknik Uygulama Kılavuzları (DISA-STIG) gibi standartlarla uyumlu, önceden paketlenmiş politikalarla başlayabilirsiniz. Yapılandırmalarınızın sürekli olarak doğru olup olmadığını doğrulamak için otomatik bir sistem kullanmayı düşünün. Bu da kuruluşunuzun bulutta yerel genel bulut hizmetleri, Kubernetes yapılandırmaları ve her türlü şirket içi veya hibrit bulut iş yükü dahil olmak üzere karmaşık ve heterojen ortamları ele almasına olanak tanıyacaktır.