Continuity’ye göre, ortalama bir kurumsal depolama ve yedekleme cihazında 14 güvenlik açığı bulunuyor ve bunlardan üçü yüksek veya kritik risk teşkil ediyor ve istismar edildiğinde önemli bir uzlaşma sunabilir.
Bulgular, kurumsal depolama ve yedekleme güvenliği durumunda önemli bir boşluğun altını çiziyor ve diğer BT katmanlarının güvenliğinin ne kadar gerisinde kaldığını gösteriyor. Veri merkezli saldırıların artan karmaşıklığı, risk altındaki yüksek hacimli veriler ve sıkılaştırılmış düzenlemeler, kurumsal depolama ve yedekleme güvenliği açıkça acil dikkat gerektiriyor.
Kurumsal depolama ve yedekleme sistemlerinin güvenliğini sağlama
Analist firması Omdia’nın Veri Merkezi Depolama ve Veri Yönetimi baş analisti Dennis Hahn, “Kurumsal depolama ve yedekleme sistemlerinin güvenliğini sağlamak, kuruluşların siber dayanıklılık stratejilerinin kritik bir parçası haline geldi” dedi. “Verilerin kaybolması veya çalınması durumunda iş sürekliliği için hızlı veri kurtarma ne kadar önemliyse, verileri bulundukları her yerde korumak ve depolama ve yedekleme sistemlerinin kendilerinin saldırı için bir giriş noktası haline gelmesine izin vermemek tartışmalı olarak daha da önemlidir.”
Rapor, aralarında Dell, NetApp, Veritas, Hitachi Vantara, Pure, Commvault ve diğerlerinin de bulunduğu önde gelen sağlayıcıların sunduğu 8.589 depolama ve yedekleme cihazıyla 245 ortamı değerlendirdi.
Kuruluşların %60’ından biraz fazlası bankacılık sektöründendi. Diğer sektörler arasında sağlık hizmetleri, finansal hizmetler, telekomünikasyon, medya, nakliye şirketleri ve BT Hizmetleri yer aldı.
Kurumsal depolama ve yedekleme cihazı güvenlik açıkları
Yeterince takip edilmeyen 270’den fazla güvenlik ilkesini kapsayan toplam 9.996 ayrı güvenlik sorunu (ör. güvenlik açıkları ve yanlış güvenlik yapılandırmaları) tespit edildi.
Ortalama olarak, bir kurumsal depolama ve yedekleme cihazı, üçü yüksek veya kritik risk derecesine sahip olan 14 güvenlik riskine sahiptir; Bu bulgu, geçen yılki raporla pratik olarak aynı olup, bu yüksek riskli alanla ilgili çok az şey yapıldığını göstermektedir.
Değişmez depolama dağıtımı artarken, bu durum düzgün bir şekilde uygulanmadığı takdirde yanlış bir güvenlik algısına yol açabilir ve ne yazık ki analiz, bu özelliklere özgü önemli sayıda yanlış yapılandırma sorunu saptadı.
Depolama ve yedekleme sistemlerindeki yamalı güvenlik açıkları, çoğu fidye yazılımı için ana saldırı noktalarıdır. Kullanıcılar, geleneksel güvenlik açığı yönetim araçlarının bu sistemleri iyi kapsamadığının farkında değil.
İlk beş güvenlik riski
- Güvenli olmayan ağ ayarları (savunmasız protokollerin kullanımı, şifreleme şifreleri vb.)
- Adreslenmemiş CVE’ler
- Erişim hakları sorunları (aşırı maruz kalma)
- Güvenli olmayan kullanıcı yönetimi ve kimlik doğrulaması
- Yetersiz günlük kaydı ve denetim
Continuity CEO’su Gil Hecht, “Bu araştırmayı, veri depolama ve yedekleme güvenliğindeki sorunların kapsamı hakkında daha fazla bilgi sunmak için yürüttük” dedi. “Ortalama bir kurumsal depolama ve yedekleme sistemindeki yüksek düzeydeki güvenlik açıklarını ve güvenlik yanlış yapılandırmalarını ölçmeye yardımcı olmakla kalmadı, aynı zamanda bunları düzeltmek için proaktif ve otomatik bir yaklaşım benimsemenin önemini de vurguladı.”