Bu yardımcı net güvenlik görüşmesinde, Tamnoon CEO’su Marina Segal, hibrit ve çoklu bulut ortamlarında yönetilen bulut güvenliğini uygularken en önemli engelleri tartışıyor. Uzun süredir işe alım süreleri, eski güvenlik boşlukları, satıcı kilitleme ve örgütleri riske atabilecek tehditler hakkında bilgi paylaşıyor.
Özellikle hibrid ve çoklu bulut ortamlarında yönetilen bulut güvenlik çözümlerini dağıtarken CISOS karşılaşır?
Cisos, engelleri gezmek için yabancı değil – neredeyse işin bir parçası. Zorluk, bu engelleri, en küçük kararların bile öngörülemeyen sonuçları olabileceği karmaşık hibrit ve çoklu bulut ortamlarında yönetmektir.
Uzun yerleşik süreç, çoğu MDR ve MSSP için büyük bir ağrı noktası olmaya devam etmektedir. Her kuruluşun benzersiz politikaları, iş akışları, sistem mimarileri ve öğrenilecek entegrasyonları vardır. Ve bu, bulut güvenliğinin proaktif ve önleyici tarafındaki bilgi boşlukları hakkında konuşmaya başlamadan önce, bu da işe alım sürecini daha da karmaşıklaştırıyor.
Birçok ekip, proaktif veya önleyici bir yaklaşım benimsemeye çalışmak yerine olay tepkisine yönelik hiper odak. Ve yönetilen çözümler söz konusu olduğunda, genellikle eski yönetilen çözümler bir alanda rahattır, ancak tüm başarısız bir şekilde uzanmaya çalışır. Örneğin, eski bir MDR şirket içi harika olabilir, ancak teknolojileri ve ekipleri buluta geçerken donanımlı değildir. Aynı sorunu takımlarla aynı gördük ve bu nedenle CSPM ve şimdi CNAPP kategorileri mevcut araçlarda bir boşluğu doldurmak için oluşturuldu.
Bu sorunların her biri üstesinden gelmek zor olabilir, ancak düzenleyici ve uyumluluk bilgisi eksikliği ile birleştirildiğinde, felaket için bir tariftir.
Kuruluşlar, yönetilen bir bulut güvenlik sağlayıcısını kullanırken bulut ortamlarında görünürlüğe sahip olduklarından nasıl emin olabilirler?
Uzun işe alım süreci, bulut ortamlarında tam görünürlük arayan kuruluşlar için mantıklı bir başlangıç noktasıdır. Takımlarınızı ve satıcılarınızı işbirliği içinde birlikte çalıştırabilirseniz o kadar iyi olur. Sonuçta, işbirliği, ekibinizi ortak hedeflerle hizaladığı için gerçek büyünün gerçekleştiği yerdir.
Daha önce, yönetilen bulut güvenlik sağlayıcınızın CNAPP’nizin bulut boyunca tamamen dağıtıldığından ve sürekli olarak izlediğinden ve taramasını sağlayın. Bu, CNAPP’nizin nerede optimize edilmediğini ve mantıklı bir başlangıç noktası olarak hizmet ettiğini gösterecektir. Genişletmek için bütçe mevcut değilse, bazı gelişmiş yönetilen bulut güvenlik sağlayıcısı, ücretli bir çözümle genişlemek için ek bir bütçe sağlayana kadar açık kaynaklı bir araç veya bulut yerli bir çözüm önerebilir.
Geliştirici hesaplarınızı da hesaba katmayı unutmayın. İdeal olarak, tüm bulut hesapları merkezi bir kuruluş altındadır ve hepsi izlenir. Çoğu zaman, durum böyle değildir. Bu hesaplar da riskli olabilir. İzinler uygunsuz bir şekilde ayarlanırsa, üretim ortamınıza gereksiz risk getirebilirler.
Ayrıca, takımlarınızı ezmekten kaçınmak için en kritik uyarıları ortaya çıkarmak için de anahtardır. Saygın bir yönetilen bulut güvenlik sağlayıcısı, en kritik uyarıları göstermek için CNAPP/CSPM’nize ince ayar yapmanıza yardımcı olabilir. Görünürlük iyidir, ancak çok fazla görünürlük, odaklanmanız gereken önemli uyarıları boğar.
Son olarak, kullandığınız uyumluluk çerçevelerine odaklanmayı kaybetmeyin. Onları düzgün bir şekilde haritalamak için yönetilen bulut güvenlik sağlayıcınızla çalışmak için zaman ayırın. Bulut güvenlik programınız, özellikle kuruluşunuz ölçeklendikçe, bu yapıya ihtiyaç duyar.
Birçok kuruluş, yönetilen bulut güvenlik hizmetlerini kullanırken satıcının kilitlenmesinden endişe duymaktadır. Bu riskleri azaltmanın bazı yolları nelerdir?
Kimse satıcının kilitlenmesini sevmiyor ve bu yüzden müzakere masasında birçok anlaşma öldü. Bulut güvenliği farklı değil.
İdeal yönetilen bir bulut güvenlik sağlayıcısı agnostik bir yaklaşım benimsemelidir. Çözümleri, kullandığınız CNAPP veya CSPM çözümü ile uyumlu olmalıdır. Bu, kendinizi belirli bir çözüme kilitlemeden doğru sağlayıcıyı bulmak için maksimum esneklik sağlar. Gelişmiş hizmetler, tam bir bulut güvenlik çözümüne genişlemeden önce açık kaynaklı araçlar almanızı ve iyi bir yere ulaşmanızı sağlayabilir.
Ayrıca açık standartlardan ve protokollerden yararlanan yönetilen bir bulut güvenlik hizmeti ile de ortak olabilirsiniz. Bu yaklaşım, tescilli teknolojiye olan bağımlılığınızı azaltırken yeni veya ek satıcıları entegre etmenizi sağlayacaktır.
Eğitim ve kurum içi bilgi de yardımcı olur. Kendine güvenen bir hizmet, bilgilerini kendilerine tutmaz ve yol boyunca ekibinize eğitim vermeye ve eğitim sağlamaya yardımcı olmaz. Bu, gerekirse daha iyi bir strateji, performansı gözden geçirmenize ve pivot yapmanıza olanak tanır.
Son olarak, sözleşmenin şartlarına dikkat edin. Özellikle çıkma veya taşınma söz konusu olduğunda, emin olmadığınız her şeyi netleştirin. Ayrıca, yönetilen bulut güvenlik hizmetlerini değiştirmeniz gerektiğinde, verileri ve yapılandırmaları özel olmayan bir formatta saklayabilmenizden emin olmanız gerekir.
CISOS’un daha fazla dikkat etmesi gereken en çok gözden kaçan bulut güvenliği tehditlerinden bazıları nelerdir?
Bugün en büyük tehdit: Organizasyonlar hala olaylara yeterince hızlı yanıt vermiyorlar. İyileştirme zamanı, bulut güvenliğinin en çok gözden kaçan alanlarından biri olmaya devam etmektedir. Tüm bu uyarılara sahibiz, ancak kimse onları zamanında çözmüyor. Kuruluşlar, kendilerini aylarca değil, dakikalar içinde en önemli güvenlik açıklarını ve yanlış yapılandırmaları ele almayı gerektiren saldırganlar için çekici hale getirmelidir. Ön kapıyı açık bırakamaz ve birisinin içeri girmemesini bekleyemezsiniz. Bir saldırganın içeri girmesini zorlaştırın ve (genellikle) sadece devam ederler.
Bir diğer önemli endişe alanı da gerçek zamanlı olaylardır. Birçok kuruluş bunu uzun zamandır şirket içi, hatta bazıları bir SOC ekibi yarattı, ancak birçoğunun bulutta faaliyete geçtiği bir şey değil. Gerçek zamanlı bulut tehditlerini ele almanın bu mülkiyeti, bir şirketin bulut ayak izi genişledikçe değişmelidir.
Ve IAM var – daha karmaşık ama aynı şekilde bulut güvenliğinin bir bileşeni. Son haberlerde, saldırganların hassas bilgilere erişmek için kendilerini arttırmadan önce düşük seviyeli kimlik bilgilerinin elde edilmesiyle birkaç ihlal başladı. Bu genellikle insanlara ve makinelere verilen aşırı izin veren erişimden kaynaklanmaktadır. Aynı zamanda bulutun en az anlaşılan bileşenlerinden biridir. Yine de, yönetilen bulut güvenlik hizmetiniz bulutu gerçekten anlıyorsa, bulut güvenliğinin temeli olan IAM’yi görmezden gelmez.
Önümüzdeki 2-3 yıl içinde bulut güvenliği için tehdit manzarasını nasıl görüyorsunuz? Cisos şimdilik hangi ortaya çıkan saldırı vektörleri hazırlamalı?
AI ve makine öğreniminin bariz tehditlerinden kaçmak yok. Yapay zeka teknolojisindeki inovasyonun hızlı temposu, sektörde zaten belirsizlik yaratıyor. Yapay zeka kuruluşları savunmada önemli bir rol oynayacak olsa da, onlara saldırmak için de kullanılacaktır.
Bulut güvenlerini buluttaki gerçek zamanlı uyarıları tespit etmek ve düzeltmek için önümüzdeki yıllarda bulut güvenliğinin SOC’ye yaklaşacağını düşünüyoruz. Şimdiye kadar, bulut güvenliği/operasyonları ve SOC susturuldu. Cloud bulut koruması üzerinde çalıştı, SOC IR üzerinde çalıştı ve daha çok bulut dışı güvenlik sorunlarına odaklandı. Bu büyük ölçüde bir beceri boşluğu, teknoloji yığını ve takım yapısından kaynaklanıyordu. Bu işlevlerin tekrar bir araya gelmesini bekliyoruz. Bir kuruluş henüz bir SOC’ye sahip olacaksa, bulut güvenliğinin bu kritik bileşenini üçüncü taraf bir hizmete dış kaynak kullanma şansı yüksektir. Giderek daha fazla kuruluşun, birisinin tehditleri aktif olarak izlemesi olmadan bulutta kritik uygulamaları barındıramayacaklarını fark ediyoruz.
Teknik borç, çoğu kuruluş için bir başka gıdıklama zaman bombasıdır. Eski mimari, zayıf belgelenmiş kod, eşleştirilmemiş güvenlik açıkları ve düzenleyici/uyumluluk bilgisi boşlukları bir kuruluşu gereksiz bir riske maruz bırakır. Bu sorun siber güvenlikte iyi bilinir ve sadece bulutta güçlendirilir. Güvenlik işlevleri genellikle birden fazla ekip, departman ve iş birimlerine yayılır.
Çoklu bulut ortamlarının yükselişiyle şirketler, güvenlik, kimlik ve veri yönetimini ölçmek için doğru CSPM ve CNAPP çözümlerini dağıtmalıdır. Takımlardan daha da önemlisi, sadece bunları yüzey olarak değil, bulguların nasıl düzeltileceğini de değerlendirmeliyiz. Birçok senaryoda, son kullanıcılar iyileştirmeye değil, görünürlüğe göre değerlendirir. İlk 200.000 uyarınızı aldığınızda sizi bir çözüm için mahsur bırakan büyük bir kusur. Ayrıca yönetilen bir bulut güvenlik hizmetinin yardımcı olabileceği yerdir. Birçok şirket, proaktif iyileştirmenin tüm kuruluşlarında görünürlükle nasıl birleştirileceğini araştırarak bundan kaçınabilir.