Bulut harcamalarında devam eden büyüme, kuruluşların ölçülebilir iş ve teknoloji sonuçları sağlamak için bulut hizmetlerini kullanma olgunluğunun altını çiziyor.
Gartner’a göre, büyük ölçüde IaaS, DaaS ve PaaS’deki büyümenin etkisiyle, genel bulut hizmetlerine yapılan dünya çapındaki harcamaların 2021’de 410 milyar doların biraz üzerindeyken, 2022’de yaklaşık 500 milyar dolara ulaşması bekleniyor.
Ancak bu büyümeyle birlikte, işi aksatmak, verileri çalmak ve kurumsal itibarı tehlikeye atmak için gelişmiş teknikler ve kötü amaçlı yazılım kullanan kötü niyetli aktörlerin buluta olan ilgisi artıyor.
Bu yılın başlarında Sysdig, müşterilerimizin bulut ve kapsayıcı ortamlarını nasıl güvence altına aldıklarını inceleyen ve ciddi bir okuma sağlayan beşinci yıllık Sysdig 2022 Bulutta Yerel Güvenlik ve Kullanım Raporunu yayınladı. Birçok en iyi uygulama izlenmiyor.
Konteyner görüntülerinin yüzde 75’inin yama yapılabilir güvenlik açıkları içerdiğini bulduk. İzlememiz, müşteri ortamlarında her gün on binlerce güvenlik açığını ortaya çıkarır.
Ayrıca birçok müşterinin belirli kaynakları yapılandırırken ve bulut hesabı düzeyinde hatalar yaptığını belirledik — bulut hesaplarının yüzde 73’ü, herkese açık S3 gruplarını içeriyordu. Ek olarak, birçok müşteri düzenli olarak konteyner ortamlarında yetersiz güvenlik hijyenine işaret eden güvenlik uyarıları alıyor.
Araştırmamız ayrıca, ekiplerin genellikle kapsayıcı güvenlik açıklarını tarama ihtiyacını anlasa da, yaygın yapılandırma hatalarını taramıyor olabileceklerini ve başka bir potansiyel tehdit vektörünün ortaya çıktığını da ortaya çıkardı.
Buraya nasıl geldik?
Buluta geçiş bir fırsatlar dünyasının kapılarını aralasa da ekipler genellikle güvenlik konusunda nereden başlayacaklarını bilemedikleri için sıkışıp kalırlar. Hız, modern bulut uygulamalarının tasarımının arkasındaki kapsayıcı hedeftir, ancak bu dönüşümü destekleyen temel teknolojiler, güvenlik ekipleri için zorluklar oluşturmaktadır.
Altyapıyı istedikleri gibi yapılandıran ve kapsayıcılı mikro hizmetleri dağıtan geliştiriciler, güvenlik ekipleri için bir görünürlük açığı oluşturur. Yazılım sürümlerinin hızlı temposuyla birleşen yazılım güvenlik açıklarının ve yanlış yapılandırmaların sonsuz listesi, geliştirici yorgunluğuna neden olur ve bu da bir düzeltme birikimine yol açar. Aynı zamanda güvenlik ekipleri, kaynak kısıtlamaları, bulutta yerel yetenek eksikliği, bulut hizmetlerinin hızla yaygınlaşması ve silolara ayrılmış güvenlik araçları karşısında, genellikle yanlış pozitiflerle dolu uyarılara ayak uydurmakta zorlanıyor. Takımlar nereden başlayacaklarını merak ediyor.
Güvenlik açıklarını ele alma ve riski azaltma
Peki kuruluşunuz ne yapıyor? Örneğin, çalışma zamanında yama yapılabilir güvenlik açıkları söz konusu olduğunda, bu sorunları çözmek için dağıtımları erteliyorlar mı yoksa güvenlik riskini kabul edip yazılım yayınlamaya devam edip kötü niyetli aktörlerin bu güvenlik açıklarının sunduğu fırsatı görmezden gelmelerini mi umuyorlar?
İşletmelerin buluta geçerken veya bulutta yerel bir operasyon olarak başlarken güvenlik açıklarını proaktif olarak ele alması ve riski azaltması gerektiğine inanıyoruz.
Bulut saldırılarının büyük mali zarara yol açabileceğinin farkında olmaları gerekir; örneğin, işletmelerin buluta özgü bir tehdit tarafından sekteye uğratıldığına dair çok az hikaye ortaya çıkarken, cryptojacking bir kuruluşu ve onun bulut sağlayıcılarıyla olan ilişkisini etkileyebilir.
Bazı bulut sağlayıcıları, üçüncü taraf bilgisayarlarda kripto para birimi için yasa dışı madenciliği durduran özellikler kullanırken, işletmelerin buluttaki kendi kaynaklarından ve iş yüklerinden sorumlu olmaları gerekir. Bu, finansal kayıpları en aza indirmek için cryptojacker’ları hızlı bir şekilde tespit etmek ve kapatmak için araçlar kullanmak anlamına gelir.
İşletmelerin ayrıca konteyner güvenliğine ilişkin görüşlerini yeniden değerlendirmeleri gerekiyor. Geleneksel bakış açıları, kapların saldırganlar için çok niş olduğunu ve açıklardan yararlanma riskinin minimum düzeyde olduğunu savunuyordu. Ne yazık ki günümüzde saldırganlar konteynerleri hedef ve araç olarak görüyor. Onlardan nasıl yararlanacaklarını ve bir ortama arka kapı olarak kullanılmak üzere kripto hırsızları yerleştirmek veya kimlik bilgilerini yerleştirmek gibi kötü amaçlı etkinlikler için kapsayıcılardan nasıl yararlanacaklarını biliyorlar.
Özetle, bulutun işletmelere sağladığı aynı değer – ölçeklenebilirlik, otomasyon, hızlı geliştirme, ortam oluşturma ve yıkma kolaylığı – saldırganlar için fırsatlar sağlar. Kötü aktörler, para kazanmak veya işleri bozmak için zaten bu yeteneklerden yararlanıyor.
Etkili bulut ve konteyner savunması, tehdit ortamına ayak uydurmak anlamına gelir. İşletmeler, saldırganların açıklardan yararlanma ve altyapı tasarlama şeklindeki değişikliklerin farkında değilse, saldırganların peşlerine nasıl düşeceğini belirleyemezler.
İşletmeler, ortamın nasıl değiştiğini anlamak için araştırma personeli çalıştırmayı seçebilir; gelişen ortamın beslemelerini sağlamak için bir tehdit istihbarat teşkilatına veya benzer bir sağlayıcıya ödeme yapın; veya bir araç satıcısından güncelleme talep edin.
Yazılım tedarik zincirinin güvenliğini sağlama
Yazılım tedarik zinciri saldırıları, en sinsi ve zarar verici saldırılar arasındadır. Yazılım tedarik zinciri, fiziksel tedarik zincirini, yazılım, ortak kitaplıklar, kod, donanım ve kodu dönüştüren araçlar söz konusu olduğunda, kullanıcıya yönelik bir uygulama gibi teslim edilebilir bir ürüne dönüştüren ham maddelerle birlikte yansıtır.
Zincirdeki kötü amaçlı bir unsur aşağı yönde yayılabilir ve işletmelere, tüketicilere, ortaklara ve diğerlerine ciddi zararlar verebilir.
İşletmelerin konteyner görüntülerini indirebileceği halka açık bir havuz olan Docker Hub, yazılım tedarik zincirleri için ciddi bir risk oluşturabilir. Sysdig Tehdit Araştırma Ekibi, Docker Hub’ı taramak ve kötü amaçlı kapsayıcı görüntülerini belirlemek için özel bir sistem oluşturdu ve saldırganların kötü amaçlı yazılım yaymak için Docker Hub’ı aktif olarak kullandığını tespit etti.
The Sysdig 2022 Cloud-Native Threat Report, cryptojacker’ların yanı sıra, pytorch ve Drupal gibi meşru paketler kılığına girmiş kötü amaçlı web siteleri, bilgisayar korsanlığı araçları ve kapsayıcılar da buldu.
Peki işletmeler, kötü niyetli kapsayıcı görüntülerini nasıl tespit eder ve sızmayı nasıl önler? Cevap, Docker Hub veya diğer depolardaki tüm görüntüleri meşru olarak doğrulamak ve bunları bir güvenlik açığı yönetim aracıyla taramaktır. Ayrıca, bir görüntünün hala doğrulanmış, taranmış sürüm olduğundan emin olmak için boru hattından geçerken kontrol edilmesini sağlamak için politikalar uygulamalıdırlar.
Zeki saldırganlar ve hatta kötü niyetli kişiler bile bunları atlamanın yollarını bulabildiğinden, bulut ve konteyner güvenliği doğru araçlar ve dahili denetimlerle bitmez. Saldırganlar yıkıcı planlarını uygulamak isteyecekken, dahili ekiplerin zamanı kısıtlı olabilir veya uygun bulut güvenlik kontrollerini uygulama becerilerine sahip olmayabilir. En güçlü önleme programı bile bir güvenlik ağına ihtiyaç duyar. İşletmeler için bu, gerektiğinde zamanında uyarılar sağlayan bir güvenlik izleme sistemi içeren bir çalışma zamanı algılama ve yanıt süreci uygulamak anlamına gelir.
Saldırganlar artık bulut kaynaklarının ve kapsayıcıların kripto madenciliği, operasyonel kesinti ve veri ve finans hırsızlığı açısından önemini anladıkça, uygun savunma daha da büyük önem kazanıyor. Tüm savunma stratejileri, kapsamlı bir tehdit yanıtı duruşunun parçası olarak bulut ve konteyner ortamlarının görünürlüğünü içermelidir.
Anthony Leverington, Sysdig Ülke Müdürü – Avustralya ve Yeni Zelanda