Bulut Güvenlik İttifakı’nın 2024 Bulut Bilişimine Yönelik En Büyük Tehditler raporuna göre, genellikle bulut servis sağlayıcılarıyla (CSP’ler) ilişkilendirilen geleneksel bulut güvenliği sorunları giderek önemini yitiriyor.
Yanlış yapılandırmalar, IAM zayıflıkları ve API riskleri kritik olmaya devam ediyor
Bu bulgular, 2022 raporunda ilk kez görülen gidişatı sürdürüyor; yanlış yapılandırmaların kalıcı doğası, kimlik ve erişim yönetimi (IAM) zayıflıkları, güvenli olmayan uygulama programlama arayüzleri (API’ler) ve kapsamlı bir güvenlik stratejisinin olmaması gibi tehditlerin üst sıralarda yer almaya devam etmesi, bunların kritik doğasını vurguluyor.
“Aynı sorunların son rapor yayınlandığından beri en üst sıralarda kalmasının sebebinin bu özelliklerin güvenliğini sağlamada ilerleme kaydedilememesi olduğunu düşünmek cazip geliyor. Ancak daha geniş resim, kuruluşların bu güvenlik açıklarına verdiği öneme ve daha güvenli ve dayanıklı bulut ortamları oluşturmak için çalıştıkları derecelere işaret ediyor,” diyor Top Threats Working Group eş başkanı Michael Roza.
2024’ün En Önemli Tehditleri, aşağıdaki endişeleri önem sırasına göre sıraladı (geçerli önceki sıralamalarla birlikte). Dikkat çekici olarak, 2022’de yer alan hizmet reddi, paylaşılan teknoloji güvenlik açıkları ve CSP veri kaybı gibi endişeler artık bu rapordan hariç tutulacak kadar düşük derecelendirildi:
- Yanlış yapılandırma ve yetersiz değişiklik kontrolü (#3)
- Kimlik ve Erişim Yönetimi (IAM) (#1)
- Güvenli olmayan arayüzler ve API’ler (#2)
- Bulut güvenliği stratejisinin yetersiz seçimi/uygulanması (#4)
- Güvenli olmayan üçüncü taraf kaynakları (#6)
- Güvensiz yazılım geliştirme (#5)
- Kazara bulut verilerinin ifşa edilmesi (#8)
- Sistem güvenlik açıkları (#7)
- Sınırlı bulut görünürlüğü/Gözlemlenebilirlik
- Kimliği doğrulanmamış kaynak paylaşımı
- Gelişmiş kalıcı tehditler (#10)
Bulut bilişimin geleceğini şekillendiren temel eğilimler
Bu devam eden tehditler bağlamında, makalede ayrıca bulut bilişimin geleceğini şekillendirmesi muhtemel bazı temel eğilimlere de değinildi, bunlar arasında şunlar yer alıyor:
Arttırılmış saldırı karmaşıklığı: Saldırganlar, bulut ortamlarındaki güvenlik açıklarını istismar etmek için AI dahil daha sofistike teknikler geliştirmeye devam edecek. Bu yeni teknikler, sürekli izleme ve tehdit avlama yetenekleriyle proaktif bir güvenlik duruşu gerektirecek.
Tedarik zinciri riski: Bulut ekosistemlerinin artan karmaşıklığı, tedarik zinciri güvenlik açıkları için saldırı yüzeyini artıracaktır. Kuruluşların güvenlik önlemlerini tedarikçilerine ve ortaklarına genişletmeleri gerekecektir.
Gelişen düzenleyici ortam: Düzenleyici kurumlar muhtemelen daha sıkı veri gizliliği ve güvenliği düzenlemeleri uygulayacak ve kuruluşların bulut güvenliği uygulamalarını uyarlamalarını gerektirecek.
Fidye Yazılımı Hizmetinin (RaaS) yükselişi: RaaS, beceriksiz aktörlerin bulut ortamlarına karşı karmaşık fidye yazılımı saldırıları başlatmasını kolaylaştıracaktır. Kuruluşların güçlü erişim kontrollerinin yanı sıra sağlam veri yedekleme ve kurtarma çözümlerine ihtiyacı olacaktır.
“Sürekli gelişen siber güvenlik ortamı göz önüne alındığında, şirketlerin eğrinin önünde kalması ve finansal ve itibar risklerini azaltması zordur. Sektör genelinde en çok akılda kalan tehditlere, güvenlik açıklarına ve risklere dikkat çekerek, kuruluşlar kaynaklarını daha iyi odaklayabilirler” dedi Cloud Security Alliance Teknik Araştırma Direktörü Sean Heide.
Çalışma Grubu, 2024 Bulut Bilişimine Yönelik En Büyük Tehditler raporunu oluştururken iki aşamada araştırma yürüttü; her iki aşamada da siber güvenlik uzmanlarının bulut bilişimine yönelik en önemli tehditler, güvenlik açıkları ve güvenlik sorunlarıyla ilgili düşüncelerini ve görüşlerini toplamak için anketler kullanıldı.
İlk aşamada grup, grup üyelerine yüz yüze anketler yaparak bulut güvenliği sorunlarının kısa bir listesini oluşturdu; ikinci aşamada bulut sektöründeki 28 güvenlik sorununu içeren kısa bir liste için 500’den fazla sektör uzmanına anket uygulandı ve nihai rapor derlendi.