[ This article was originally published here ]
TUZ GÖLÜ ŞEHRİ-()–, makine kimliği yönetiminin mucidi ve lider sağlayıcısı, bulut ortamlarının karmaşıklığını ve siber güvenlik üzerindeki etkisini değerlendiren yeni araştırma bulgularını bugün duyurdu. Araştırma, kuruluşların %81’inin son 12 ay içinde bulutla ilgili bir güvenlik olayı yaşadığını ve neredeyse yarısının (%45) aynı zaman diliminde en az dört olay yaşadığını buldu. Bu güvenlik olaylarının altında yatan sorun, bulut dağıtımlarıyla bağlantılı güvenlik ve operasyonel karmaşıklıktaki çarpıcı artıştır. Ve bu çalışmadaki kuruluşlar şu anda uygulamalarının beşte ikisini (%41) bulutta barındırıyor, ancak önümüzdeki 18 ay içinde %57’ye yükselmesi bekleniyor, bu karmaşıklık artmaya devam edecek.
Çalışmadaki güvenlik karar vericilerinin (SDM’ler) yarısından fazlası (%51), bu risklere katkıda bulunan çeşitli sorunlara atıfta bulunarak, bulutta güvenlik risklerinin şirket içinde olduğundan daha yüksek olduğuna inanıyor. Katılımcıların karşılaştığı en yaygın bulutla ilgili güvenlik olayları şunlardır:
-
Çalışma zamanı sırasında güvenlik olayları (%34)
-
Yetkisiz erişim (%33)
-
Yanlış yapılandırmalar (%32)
-
Düzeltilmemiş büyük güvenlik açıkları (%24)
-
Başarısız bir denetim (%19)
SDM’lerin buluta geçişle ilgili olarak sahip olduğu temel operasyonel ve güvenlik endişeleri şunlardır:
-
Hesapların, hizmetlerin veya trafiğin ele geçirilmesi (%35)
-
Kötü amaçlı yazılım veya fidye yazılımı (%31)
-
GDPR’den kaynaklananlar gibi gizlilik/veri erişimi sorunları (%31)
-
Yetkisiz erişim (%28)
-
Ulus devlet saldırıları (%26)
Venafi’de güvenlik stratejisi ve tehdit istihbaratı başkan yardımcısı Kevin Bocek, “Saldırganlar artık iş dünyasının bulut bilişime geçişiyle birlikte” diyor. “Bulutta saldırının en olgun hedefi kimlik yönetimi, özellikle de makine kimlikleridir. Bu bulut hizmetlerinin, kapsayıcıların, Kubernetes kümelerinin ve mikro hizmetlerin her biri, güvenli bir şekilde iletişim kurmak için TLS sertifikası gibi kimliği doğrulanmış bir makine kimliğine ihtiyaç duyar. Bu kimliklerden herhangi birinin güvenliğinin ihlal edilmesi veya yanlış yapılandırılması, güvenlik ve operasyonel riskleri önemli ölçüde artırır.”
Çalışma ayrıca, bulut tabanlı uygulamaların güvenliğini sağlama sorumluluğunun şu anda dahili ekipler arasında nasıl atandığını da araştırdı. Bu, bulutta uygulama güvenliğini yönetme olasılığı en yüksek kurumsal güvenlik ekipleri (%25), ardından bulut altyapısından sorumlu operasyon ekipleri (%23), birden çok ekip arasında paylaşılan bir işbirliği çabası (%22), kuruluşlar arasında büyük farklılıklar gösterir. bulut uygulamaları yazan geliştiriciler (%16) ve DevSecOps ekipleri (%10). Ancak güvenlik olaylarının sayısı, bu modellerin hiçbirinin güvenlik olaylarını azaltmada etkili olmadığını göstermektedir.
kim diye sorulduğunda meli güvenlik bulut tabanlı uygulamalardan sorumlu olmak, yine net bir fikir birliği yoktu. En popüler seçenek, sorumluluğu bulut altyapısı operasyon ekipleri ve kurumsal güvenlik ekipleri (%24) arasında paylaşır. Bir sonraki en popüler seçenek, sorumluluğu birden çok ekip arasında paylaşmak (%22), sorumluluğu bulut uygulamaları yazan geliştiricilere (%16) ve DevSecOps ekiplerine (%14) bırakır.
Paylaşılan sorumluluk modelleriyle bağlantılı zorluklar, güvenlik ekiplerinin ve geliştirme ekiplerinin çok farklı amaç ve hedeflere sahip olmasıdır. Geliştiricilerin inovasyonu hızlandırmak için hızlı hareket etmeleri gerekirken, güvenlik ekipleri genellikle geliştirme ekiplerinin ne yaptığı konusunda görünürlüğe sahip değildir. Bu görünürlük olmadan güvenlik ekipleri, bu kontrollerin güvenlik ve yönetişim politikalarına karşı nasıl biriktiğini değerlendiremez.
Bocek, “Güvenlik ekipleri, bulut uzmanları olan geliştiricilerle işbirliği yapmak ve sorumluluğu paylaşmak istiyor, ancak çoğu zaman bulut güvenliği kararlarının dışında kalıyorlar,” diye devam etti. “Geliştiriciler, güvenlik ekiplerini dahil etmeden güvenliğe yaklaşımlara karar veren bulutta yerel araçlar ve mimari kararlar alıyor. Ve şimdi bu yaklaşımın sonuçlarını görebiliyoruz: Buluttaki güvenlik olayları hızla büyüyor. Bulut güvenliği yaklaşımını sıfırlamamız ve bulutlar ve uygulamalar arasında tutarlı, gözlemlenebilir, kontrol edilebilir güvenlik hizmetleri oluşturmamız gerekiyor. Makine kimlikleri için bir kontrol düzleminde mimari yapmak, özellikle bulut bilişim için oluşturulmuş yeni bir güvenlik modelinin mükemmel bir örneğidir. Bu yaklaşım, güvenliği geliştirici süreçlerine dahil eder ve güvenlik ekiplerinin mühendisleri yavaşlatmadan işletmeyi korumasını sağlar.”
Bu araştırma hakkında daha fazla bilgi için lütfen okuyunuz.
Araştırma hakkında
Temmuz 2022’de Sapio tarafından yürütülen Venafi’nin çalışması, Amerika Birleşik Devletleri, Birleşik Krallık, Fransa, Almanya, Benelüks (Belçika, Hollanda, Lüksemburg) ve Avustralya’daki 1.101 güvenlik karar vericisinin görüşlerini değerlendirdi.
Venafi Hakkında
Venafi, makine kimliği yönetiminde siber güvenlik pazar lideridir. Venafi çözümleri, temelden buluta kadar, fiziksel ve IoT cihazlarından yazılım uygulamalarına, API’lere ve kapsayıcılara kadar her tür makine için kimlikleri yönetir ve korur. Venafi, tüm makine kimlik türleri ve bunlarla ilişkili güvenlik ve güvenilirlik riskleri için küresel görünürlük, yaşam döngüsü otomasyonu ve eyleme geçirilebilir zeka sağlar.
Bir Venafi şirketi olan Jetstack, Kubernetes ve OpenShift kullanan kuruluşlarla çalışan bulut yerel ürünler ve stratejik danışmanlık şirketidir.
Açık kaynak öncüsü olan Jetstack, bulut yerel makine kimlik yönetimi için açık kaynak endüstri standardı olan cert-manager’ın yaratıcısı olarak sektörde kayda değer bir tanınırlık elde etti. Jetstack’in açık kaynaklı ürünleri ve çözümleri, kurumsal platform ve güvenlik ekiplerine bulut altyapılarını oluşturma, ölçeklendirme ve güvenlik gücü sağlayarak küresel bankaların, çok uluslu perakende şirketlerinin ve savunma kuruluşlarının uygulama ortamlarını ve platform altyapısını korur.
30’dan fazla patente sahip olan Venafi, dünyanın en talepkar, güvenlik bilincine sahip kuruluşları ve ilk beş ABD sağlık sigortacısı dahil devlet kurumları için yenilikçi makine kimliği yönetimi çözümleri sunar; ilk beş ABD havayolları; ilk dört kredi kartı veren kuruluş; en iyi dört muhasebe ve danışmanlık firmasından üçü; ABD’deki en iyi beş perakendeciden dördü; ve aşağıdaki ülkelerin her birinde ilk dört banka: ABD, İngiltere, Avustralya ve Güney Afrika.
Daha fazla bilgi için ziyaret edin ve.
reklam