Son anketlere göre kuruluşların %98’i finansal, ticari, müşteri ve/veya çalışan bilgilerini bulutta tutuyor ancak aynı zamanda bulut güvenliği profesyonellerinin %95’i güvenlik korumalarının ve ekiplerinin tespit etmeyi başaracağından emin değil ve bulut altyapılarını etkileyen güvenlik tehditlerine veya olaylara yanıt verin.
Yaygın bulut güvenliği hataları
SentinelOne araştırmacıları, kuruluşların bulut ortamlarını güvende tutmak istiyorlarsa kaçınmaları gereken yaygın bulut güvenliği hatalarının altını çizdi:
1. Bulutun yanlış yapılandırılması hatalar, saldırganların sistem işlevlerine ve hassas verilere yetkisiz erişim sağlamasına neden olabilir ve kuruluşun bulutunun bütünlüğüne ve güvenliğine zarar verme potansiyeline sahip olabilir.
2. Bulut güvenliğinde sık sık karşılaşılan hatalardan bazıları şunlardır: erişim anahtarlarının, kimlik bilgilerinin ve diğer hassas bilgilerin açığa çıkması bunları düz metin olarak saklayarak veya koda dahil ederek. Bu bilgiler yetkisiz bir saldırganın bulut kaynaklarına erişmesine olanak tanıyabilir.
3. Çok faktörlü kimlik doğrulamayı (MFA) kullanmamak Saldırganın kullanıcının şifrelerini (kimlik avı, kötü amaçlı yazılım, kaba kuvvet vb. yoluyla) kolayca ele geçirebileceği ve bulutta depolanan verilere erişebileceği için bu kötü bir uygulamadır.
4. Erişim kontrol politikasını tanımlamamak dosyaların/verilerin çalınmasına veya yok edilmesine neden olabilir. Yetkisiz erişim, ek hesap güvenliği ihlali ve ağ ve sistem sabotajı için kullanılabilir.
5. Yedekleme stratejisi olmadanKuruluşlar, bir siber saldırı durumunda veri kaybı ve iş kesintileriyle karşı karşıya kalabilir.
6. Yamasız sistemler Aktif olarak zayıf noktaları (güvenlik açıklarını) arayan ve sisteme erişmek, kötü amaçlı yazılım dağıtmak ve verileri çalmak için bunları kullanan siber suçlular tarafından hedef alınır.
7. Kuruluşlar bulut güvenliğinde önemli risklerle karşı karşıyadır. sürekli izleme eksikliğiSaldırganların zayıf noktalardan yararlanmasına ve uzun süre fark edilmeden kalmasına olanak sağladığı için.
8. Şifrelenmemiş veriler bir kuruluş için ciddi sonuçlar doğurabilir: Yetkisiz bir saldırgan kuruluşa erişebilir ve bu da veri ihlaline yol açabilir.
ESET araştırmacıları yaygın olarak görülen bir bulut güvenliği hatasına daha ekledi: Bulut sağlayıcısına çok fazla güvenmek.
“Birçok BT lideri, buluta yatırım yapmanın etkili bir şekilde her şeyi güvenilir bir üçüncü tarafa yaptırmak anlamına geldiğine inanıyor. Bu sadece kısmen doğrudur. Bulutun güvenliğini sağlamak için CSP ile müşteri arasında bölünmüş bir ortak sorumluluk modeli var” dediler.
Kapsamlı güvenlik stratejileri
Netwrix’ten Jeff Melnick’in belirttiği gibi veriler, kullanıcılar, uygulamalar ve altyapı, bulutta farklı korumalar gerektirir.
Veri erişim izinlerini akıllıca atamak ve verileri korumak için bunları sık sık gözden geçirmek önemlidir. Kuruluş içindeki verilerin kapsamlı bir envanterinin ve kategorizasyonunun oluşturulması da çok önemlidir.
Bulut ortamında kullanıcı korumasını sağlamak için kuruluşların veri kaybı önleme (DLP), şifreleme ve MFA ve tek oturum açma yoluyla uygun yetkilendirme ile sıfır güven modelini uygulaması gerekir. Ayrıca, kullanıcı etkinliğini yakından izlemek ve bir bulut erişim güvenliği aracısı (CASB) kullanmak, tehdit tespitini geliştirebilir ve bulut uygulamaları genelinde güvenlik politikalarını uygulayabilir.
Uygulamaları korumak için Melnick şunları kullanmanızı önerir:
- Proaktif iyileştirme stratejileriyle güvenlik açığı taraması
- Sorun analizi için statik uygulama güvenlik testi (SAST)
- Yanlış yapılandırmaları belirlemek için penetrasyon testi
- Açık kaynak uygulamalarına dair içgörü için yazılım kompozisyon analizi (SCA)
- Uygulama erişimini ve izinlerini etkileyen değişiklikleri izlemek için değişiklik ve yapılandırma denetimi
Son olarak, uygun bulut altyapısı güvenliği, kurumsal politikalara uygunluğu sağlamak için düzenli yapılandırma denetimlerini, ağ bileşenleri ve izinlerdeki yanlış yapılandırmaların otomatik olarak izlenmesini ve gelişmiş kötü amaçlı yazılım koruması, izinsiz giriş tespit sistemleri ve olay önleme, tespit ve yanıt için önlemlerin uygulanmasını içerir. trafik izleme.