Bulut ortamlarının kitlesel olarak benimsenmesi, işletmelerin operasyonlarını ölçeklenebilirlik ve maliyet verimliliği yoluyla dönüştürmelerine yardımcı oldu, ancak aynı zamanda güvenlik profesyonelleri üzerinde de ek bir yük oluşturdu. Araştırmalar, güvenlik analistlerinin neredeyse üçte ikisinin, pandeminin tetiklediği dijital ve bulut yatırımları nedeniyle saldırı yüzeyinin boyutunun son üç yılda arttığını söylediğini gösteriyor. Güvenlik profesyonelleri, daha fazla güvenlik uyarısını analiz etmelerine, daha fazla kural belirlemelerine ve daha fazla güvenlik aracıyla çalışmalarına yol açan, sürekli büyüyen bir “daha fazlası sarmalıyla” karşı karşıyadır. Tüm bunlar iş yükünü artırıyor ve güvenlik uyarılarının hızlı bir şekilde tespit edilip bunlara yanıt verilmesini ve ihlallerin yönetilmesini zorlaştırıyor.
Ancak büyüyen saldırı yüzeyinin yanı sıra, bulut günlüklerinin kalitesi ve etkinliği de aşırı yük altındaki güvenlik analistlerinin karşılaştığı zorlukları artırıyor. Bulut teknolojisinin bu kadar hızlı gelişmesiyle birlikte sağlanan günlükler henüz yenidir ve bulut ortamlarının görünürlüğünü sınırlamaktadır. Bu, güvenlik uygulayıcıları için hayatı daha zorlu hale getiriyor, iş yüklerini ve ihlal olasılığını artırıyor.
Sonuç olarak kuruluşların, uyumluluğu sürdürürken ve operasyonel verimliliği artırırken güvende kalmak için bulut ortamlarındaki görünürlüklerini iyileştirmenin bir yolunu bulması gerekiyor.
Diş çıkarma sorunları
Bazı durumlarda bulut günlükleri yetersiz kalıyor ve kuruluşları güvenlik risklerine açık hale getiriyor. Örneğin, Vectra’daki araştırma ekibimiz kısa süre önce yöneticilere saldırmak ve yönetici ayrıcalıklarına erişim kazanmak için CSV ve günlük eklemeyi kullanan yeni bir Azure açığı keşfetti. Tehdit aktörleri, başarılı olmaları halinde, ele geçirilen ortamdaki herhangi bir kaynağa erişim izni verebilir, hassas verileri çekebilir, fidye yazılımı dağıtabilir veya ihlal edilen kuruluşa erişimi fidye yazılımı çetelerine satabilir. Bu, müşteri güveninin kaybından düzenleyici cezalara kadar bir kuruluş için feci sonuçlara yol açabilir; bunların tümü kârlılığı ve firmanın pazar payını etkileyebilir.
Güvenlik açıklarının yanı sıra, bulut görünürlüğünü etkileyen, analistlerin iş yükünü artıran ve kuruluşları daha fazla ihlal riskine sokan günlükle ilgili başka sorunlar da vardır. Bunlar şunları içerir:
Kullanıcı Kimlikleri ve IP’lerdeki Tutarsızlıklar: Günlüklerde tutarlı veri biçimlendirmesinin bulunmaması, analistlerin güvenlik olayları sırasında net bir resim oluşturmasını zorlaştırabilir. Bir IP adresinin yazılma veya kullanıcı adının sunulma biçimindeki en küçük değişiklik bile bir korelasyon kabusu yaratabilir. Bu, analistlerin farklı veri noktalarını birbirine bağlamak için fazladan zaman harcaması gerektiğinden ek iş yüküne neden olur ve bu da olaylara yanıt verirken potansiyel olarak gecikmelere yol açar.
Kesintilerle ilgili daha sık iletişim – Microsoft gibi sağlayıcılar genellikle kullanıcıları kesinti konusunda bilgilendirmede iyi olsa da, analistlerin günlük akışını takip etmesine ve günlüklerin yetkisiz veya kazara devre dışı bırakılmasını önlemesine yardımcı olmak için günlükler içinde daha fazla görünürlük ve kontrole ihtiyaç vardır. Değilse, bulut günlüklerinin gelmesini engelleyen bir kesinti olup olmadığını veya günlüklerin içeriden biri tarafından devre dışı bırakılıp devre dışı bırakıldığını söylemek son derece zordur.
Günlük olayının kullanılabilirliğindeki gecikmeler – Günlük olayları, analistleri bulut ortamını güvende tutmak için yapılması gerekebilecek acil değişiklikler konusunda bilgilendirmek için önemlidir. Ancak tehdit aktörleri 30 dakika veya daha kısa sürede güvenlik açıklarından ve güvenlik açıklarından yararlanabildiğinden, bu duyurulardaki gecikmeler kuruluşları riske atabilir. Yeterince bildirimde bulunulmadığı takdirde analistler durumu analiz etmek için yeterli zamana sahip olmayabilir, dolayısıyla kritik uzlaşma göstergelerini gözden kaçırabilir ve kendilerini tehditlere açık bırakabilirler.
Bulut sağlayıcıları savunuculara avantaj sağlamak için harekete geçmeli
Bulutun bir dizi verimlilik avantajı sağlamasına rağmen, bu yeni ortamların görünürlüğünü artırmak için yapılması gereken bazı işler olduğu açıktır. Ancak bulut günlükleriyle ilgili mevcut zorluklar kolayca çözülemez. Şirket içi günlüklerin yetersiz olduğu ortaya çıkarsa analistler, doğruluklarını ve verimliliklerini artırmak için sağlayıcıları değiştirmeyi deneyebilir. Ancak bulutun içinde kendilerini bir kütük ile sert bir yer arasında sıkışmış halde bulabilirler. Bunun nedeni, AWS veya Azure gibi bulut sağlayıcılarının hangi günlüklerin mevcut olduğu ve bunların nasıl sunulduğu konusunda tam kontrole sahip olmasıdır. Bu, bulut günlüklerinin kalitesini iyileştirmenin ve müşteri tabanlarının güvenliğini artırmanın bulut sağlayıcılara bağlı olduğu anlamına gelir.
İyi haber şu ki, sağlayıcıların atabileceği net adımlar var. Öncelikle bulut sağlayıcılarının olayları ve alanları kapsamlı bir şekilde belgelemek için harekete geçmesi gerekiyor. Bu, günlük işlemlerinin eklenmesi ve çıkarılması konusunda net bir görüş sağlamaya yardımcı olacaktır. Kayıtların hızlı tesliminin sağlanması, verimli veri analizi sağlamak için aynı derecede önemlidir. Bulut hizmeti sağlayıcıları bu uygulamaları takip ederek günlüklerin genel kullanılabilirliğini ve etkinliğini geliştirebilir, kullanıcılar için daha iyi öngörüler ve sorun giderme yetenekleri sunabilir.
Daha fazlasının sarmalını geçersiz kılmak için yapay zekayı kullanma
Sağlayıcıların verimliliği artırmak için bulut günlüklerini güncellemeye odaklanması gerekirken, kuruluşların da bulut riskini en aza indirmek için ellerinden geleni yapması gerekiyor. Büyüyen saldırı yüzeyi gibi dış faktörleri kontrol etmek kuruluşlar için her zaman zorlayıcı olsa da, ‘daha fazlası sarmalının’ güvenlik ekipleri üzerindeki etkisini kontrol edebilirler.
Bu, sinyal netliğini iyileştirmek için yapay zekanın kullanılması anlamına gelir; bu, şirket içi veya buluttaki saldırıları tespit ederken ve bunlara yanıt verirken analistlerin üzerindeki yükü azaltacaktır. Daha iyi sinyal netliği, ekiplerin gerçek saldırıları doğru bir şekilde tanımlayıp önceliklendirebilmesini sağlayarak kuruluşları modern tehditlere karşı kendilerini savunmak için en güçlü konuma getirecek. Sonuçta, tehdit sinyali ne kadar etkili olursa, giderek bulut tabanlı hale gelen bir dünyada kritik önem taşıyan güvenlik operasyonları merkezi (SOC) siber dirençli ve etkili hale gelir.
Mark Wojtasiak, Vectra’da ürün pazarlama, araştırma ve stratejiden sorumlu başkan yardımcısıdır