DİJİTAL DÖNÜŞÜM, BELKİ BİRÇOK KURULUŞUN HAYATINI KURTARDI AMA YANLIŞ BULUT YAPILANDIRMALARI ÖNEMLİ GÜVENLİK SORUNLARINA DA YOL AÇTI. IBM’İN 2020 YILI RAPORUNA GÖRE, 2019 YILINDA İHLAL EDİLDİĞİ RAPOR EDİLEN 8,5 MİLYAR KAYDIN YÜZDE 85’İ YANLIŞ YAPILANDIRILMIŞ BULUT SUNUCULARINA VE SİSTEMLERE DAYANIYOR.
Şirketler, dijital dönüşümü küresel ekonomik krizden çıkmanın anahtarı olarak görüyorlar. Yeni müşteri deneyimlerini ve operasyonel verimliliklerini güçlendirmek amacıyla tasarlanan uygulamalar, iş süreçlerini destekleyen bulut yatırımları, bu projelerin merkezinde yer alıyor. ABD menşeli teknoloji araştırma ve danışmanlık şirketi Gartner’e göre, 2021 yılında küresel genel bulut hizmetleri harcamaları yüzde 18,4 artarak yaklaşık 305 milyar dolara çıkacak. 2022 yılında ise artış eğiliminin güçleneceği ve yüzde 19’u aşacağı öngörülüyor.
VERİ İHLALLERİNİN MALİYETLERİ ARTIYOR
IBM’in geçtiğimiz yıl yayımladığı bir başka rapor ise veri ihlali maliyetlerinin geçen yıl 3,86 milyon dolar olduğunu, bu yıl öngörülen maliyetin de yüzde 10 artışla 4,24 milyon dolara ulaşacağını ortaya koyuyordu. 50 ila 65 milyon tutarındaki “mega ihlaller” içinse, bu maliyet 2020 yılında 392 milyon dolarken, yüzde 2 artışla 401 milyon dolar seviyesine geldi. Rapora göre, çalıntı kullanıcı bilgileri ihlallerin en büyük nedenleri arasında yer alıyor. Müşterilerin kişisel verileri (parolalar ve isimler de dâhil) bu olaylarda ifşa olan en yaygın veri türlerinden ve ihlallerin yüzde 44’ünü oluşturuyor. Siber güvenlik şirketi ESET’in analistlerinden Phil Muncaster, bulut yapılandırmasında nelere dikkat edilmesi gerektiğini inceleyerek önerilerini paylaşırken, yanlış yapılandırmaların hassas verileri kötü amaçlı aktörlere maruz bıraktıkları için insan hatasının kapılarını da araladığının altını çiziyor.
HİBRİT UYGULAMALAR KARGAŞAYA YOL AÇABİLİR
Korunmasız veri tabanlarını tarayan tehdit aktörlerinin sayısı gün geçtikçe artıyor. Geçmiş yıllarda veri tabanları silindi, haraca bağlandı, dijital ağ tarama kodu ile hedef alındı. Gözetim eksikliği, yetersiz ilke farkındalığı, sürekli takip olmayışı, yönetilmesi gereken çok fazla sayıda bulut API’si ve sistemi olması, sorunların ana nedenleri olarak gösteriliyor. Kuruluşlar birden fazla hibrit bulut ortamına yatırım yaptıkları için özellikle sonuncu başlık -çok sayıda bulut API’si ve sistemi olması- çok etkili. Tahminlere göre, bugün şirketlerin yüzde 92’sinin çoklu bulut stratejisi varken, yüzde 82’si hibrit bulut stratejisine sahip ve bu da karmaşayı artırıyor.
Phil Muncaster, yanlış bulut yapılandırmalarının farklı biçimlerde olabileceğinin altını çiziyor:
• Erişim sınırlandırmalarının olmaması,
• Aşırı serbest güvenlik grubu ilkeleri,
• İzin kontrollerinin olmaması,
• Yanlış anlaşılmış internete bağlanabilirlik yolları,
• Yanlış yapılandırılmış sanallaştırılmış ağ işlevleri.
YANLIŞ BULUT YAPILANDIRMASI NASIL DÜZELTİLİR?
Kuruluşlar için önemli olan, sorunları otomatik olarak ve en kısa sürede bulup onarmaktır. Ama bunun pek de başarılamadığı görülüyor. Bir rapora göre, bir saldırgan yanlış yapılandırmaları 10 dakika içinde algılarken, kuruluşların sadece yüzde 10’u bu sorunları aynı süre içinde giderebiliyor. Kuruluşların yüzde 45’i ise yanlış yapılandırmaları bir saat ile bir hafta arasında bir süre içinde düzeltiyor.
İYİLEŞTİRMEK İÇİN NELER YAPILABİLİR?
İlk adım, bulut güvenliğinin paylaşılan sorumluluk modelini anlamaktan geçiyor. Bu hangi görevlerle hizmet sağlayıcının (CSP) ilgileneceğini ve nelerin müşterinin görev alanına girdiğini gösteriyor. CSP’ler bulutun güvenliğinden (donanım, yazılım, ağ bağlantısı ve diğer altyapı) sorumlu olsa da, müşteriler de bulutta güvenliğin sorumluluğunu üstlenmek zorunda. Bu sağlandıktan sonra şunlar yapılabilir;
İzinleri sınırlandırın: Kullanıcılara ve hesaplara en düşük ayrıcalığı verme ilkesini uygulayın ve böylece riske maruz kalma olasılığını en aza indirgeyin.
Verileri şifreleyin: Bir sızıntının etkisini hafifletmek için iş açısından önemli ya da denetime tabi verilere güçlü şifreleme uygulayın. Yetkilendirmeden önce uyumu denetleyin: Kod olarak altyapıya öncelik verin ve geliştirme yaşam döngüsünde, ilke yapılandırmasını olabildiğince erken otomatik hale getirin.
Sürekli denetleyin: Bulut kaynakları, herkesin bildiği gibi kısa ömürlü ve değişkendir ve uyum gereksinimleri de zaman içinde değişir. Bu da, ilkeye dayalı sürekli yapılandırma denetimlerini gerekli hale getirir. Bu süreci otomatikleştirmek ve kolaylaştırmak için Bulut Güvenliği Durumunun Yönetimi (CSPM) araçlarını kullanmayı düşünün. ESET analisti Phil Muncaster, doğru strateji sayesinde bulut güvenliği risklerinin daha etkili yönetebileceğini ve bilişim teknolojileri personelinin de başka alanlarda daha verimli olacakları şekilde yeniden planlanabileceğini vurgularken, uyarıyor: “Kaybedecek zaman yok, çünkü tehdit aktörleri korunmasız bulut verilerini bulmakta her geçen gün daha ustalaşıyor.”