Bulut kaynaklarının yanlış yapılandırılması çeşitli güvenlik olaylarına yol açabilir ve sonuçta kuruluşunuza pahalıya mal olabilir. Bulut yapılandırması çıkmazlarını önlemek için yapabilecekleriniz aşağıda açıklanmıştır.
Uzaktan özel sıfır gün saldırıları uygulayan şüpheli saldırganları unutun. A çok daha gerçek olan risk iddialı dijital dönüşüm projelerine girişen kuruluşlar için insan hatasıdır. Aslında "çeşitli hatalar" geçen yılki veri ihlallerinin %17'sini oluşturuyordu. Verizon'a göre. Söz konusu olduğunda bulut, tüm diğerlerinin üzerinde öne çıkan belirli bir eğilim var: yanlış yapılandırma. Her yıl milyarlarca kaydın sızdırılmasından sorumludur ve kurumsal güvenlik, itibar ve kâr açısından büyük bir tehdit olmaya devam etmektedir.
İnsan kaynaklı bu kalıcı tehdidin azaltılması, kuruluşların mümkün olduğunca otomatik araçlar kullanarak bulut ortamlarında daha iyi görünürlük ve kontrol elde etmeye odaklanmasını gerektirecektir.
Bulut veri sızıntıları ne kadar kötü?
Dijital dönüşüm Pandemi sürecinde birçok kuruluşu kurtardı. Ve artık küresel ekonomik krizden çıkarken başarıyı artırmanın anahtarı olarak görülüyor. Yeni müşteri deneyimlerini ve operasyonel verimliliği güçlendirmek için tasarlanan uygulamaları ve iş süreçlerini destekleyen bulut yatırımları bu projelerin merkezinde yer alıyor. Gartner'a göreGenel bulut hizmetlerine yapılan küresel harcamaların 18.4'de yüzde 2021 artarak yaklaşık 305 milyar dolara ulaşacağı ve ardından gelecek yıl yüzde 19 daha artacağı tahmin ediliyor.
Ancak bu, yanlış yapılandırmaların hassas verileri potansiyel olarak kötü niyetli kişilerin eline geçirmesi nedeniyle insan hatasına kapı açar. Bazen bu kayıtlar, aynı anda milyonları etkileyen sızıntı gibi kişisel olarak tanımlanabilir bilgileri (PII) içerir. Otel rezervasyon yazılımının İspanyol geliştiricisi geçen sene. Ancak bazen tartışmasız daha da hassastır. Daha geçen ay ABD'nin gizli bir terörist izleme listesi ortaya çıktı halka açık internete maruz kalmıştı.
Kuruluşlar için kötü haber ise tehdit aktörlerinin bu açığa çıkan veritabanlarını giderek daha fazla taramasıdır. Geçmişte, onlar silindi ve fidye için tutulduve hatta hedef alındı dijital web tarama kodu.
Bu sızıntıların boyutu şaşırtıcı: bir IBM araştırması Geçen yıla göre, 85'da bildirilen 8.5 milyar ihlal kaydının %2019'inden fazlasının yanlış yapılandırılmış bulut sunucularından ve diğer uygun şekilde yapılandırılmamış sistemlerden kaynaklandığı tespit edildi. Bu oran 2018'de yarıdan azdı. Kuruluşlar harekete geçene kadar rakamın artmaya devam etmesi muhtemel.
Sorun ne?
Gartner tahmin etti 2020 yılına kadar bulut güvenliği olaylarının %95'inin müşterinin hatası olacağı öngörülüyor. Peki kim suçlanacak? Bu durum, gözetim eksikliği, politikalara ilişkin farkındalığın zayıf olması, sürekli izlemenin olmayışı ve yönetilecek çok fazla bulut API'si ve sistemi gibi bir dizi faktörden kaynaklanmaktadır. Kuruluşların birden fazla hibrit bulut ortamına yatırım yapması nedeniyle ikincisi özellikle akuttur. Tahminler önerdi Günümüzde işletmelerin %92'sinin çoklu bulut stratejisine sahip olduğu, %82'sinin ise karmaşıklığı artıran hibrit bulut stratejisine sahip olduğu görülüyor.
Buluttaki yanlış yapılandırmalar aşağıdakiler dahil birçok biçimde olabilir:
- Erişim kısıtlamalarının olmaması. Bu, uzak saldırganların verilere erişmesine ve bulut hesaplarına yazmasına olanak tanıyan AWS S3 depolama paketlerine genel erişim sorununu da içeriyor.
- Aşırı izin veren güvenlik grubu politikaları. Bu, AWS EC2 sunucularına SSH bağlantı noktası 22 aracılığıyla internetten erişilebilmesini ve uzaktan saldırıların mümkün kılınmasını içerebilir.
- İzin kontrollerinin eksikliği. Kullanıcıları ve hesapları en az ayrıcalıkla sınırlandırmamak, kuruluşu daha büyük risklere maruz bırakabilir.
- Yanlış anlaşılan internet bağlantı yolları
- Yanlış yapılandırılmış sanallaştırılmış ağ işlevleri
Gölge BT, bulut sistemlerinin doğru şekilde yapılandırılıp yapılandırılmadığını bilemeyeceğinden, Gölge BT yukarıdakilerin gerçekleşme olasılığını da artırabilir.
Bulut yanlış yapılandırması nasıl düzeltilir?
Kuruluşlar için önemli olan, sorunları mümkün olan en kısa sürede otomatik olarak bulup düzeltmektir. Yine de başarısız oluyorlar. Bir rapora göreBir saldırgan yanlış yapılandırmaları 10 dakika içinde tespit edebilir, ancak kuruluşların yalnızca %10'u bu sorunları bu süre içinde düzeltebilmektedir. Aslında kuruluşların yarısı (%45) yanlış yapılandırmaları bir saat ila bir hafta sonra düzeltiyor.
Peki işleri iyileştirmek için ne yapılabilir? İlk adım, bulut güvenliği için paylaşılan sorumluluk modelini anlamaktır. Bu şunu ifade eder: hizmet sağlayıcının (CSP) hangi görevleri üstleneceği ve müşterinin görev alanına nelerin gireceği. CSP'ler güvenlikten sorumluyken of Bulutta (donanım, yazılım, ağ iletişimi ve diğer altyapı), müşterilerin güvenliği üstlenmesi gerekir in varlıklarının yapılandırılmasını içeren bulut.
Bu belirlendikten sonra işte birkaç en iyi uygulama ipucu:
İzinleri sınırla: Kullanıcılara ve bulut hesaplarına en az ayrıcalık ilkesini uygulayarak riske maruz kalmayı en aza indirin.
Verileri şifreleyin: Bir sızıntının etkisini azaltmak için iş açısından kritik veya yüksek düzeyde düzenlemeye tabi verilere güçlü şifreleme uygulayın.
Sağlamadan önce uyumluluğu kontrol edin: Kod olarak altyapıya öncelik verin ve politika yapılandırma kontrollerini geliştirme yaşam döngüsünde mümkün olduğu kadar erken otomatikleştirin.
Sürekli denetim: Bulut kaynakları herkesin bildiği gibi geçici ve değişkendir; uyumluluk gereklilikleri de zamanla gelişecektir. Bu, politikaya göre sürekli yapılandırma kontrollerini önemli hale getirir. Bu süreci otomatikleştirmek ve basitleştirmek için Bulut Güvenliği Duruş Yönetimi (CSPM) araçlarını düşünün.
Doğru stratejiyi uyguladığınızda, bulut güvenliği riskini daha etkili bir şekilde yönetebilecek ve personelinize başka yerlerde daha üretken olmaları için zaman kazandırabileceksiniz. Tehdit aktörleri açığa çıkan bulut verilerini bulma konusunda daha iyi hale geldikçe kaybedecek zaman yok.
- 2019
- 2020
- 2021
- erişim
- Action
- Türkiye
- API'ler
- uygulamaları
- Varlıklar
- saldırılar
- denetim
- Otomatik
- AWS
- İYİ
- Milyar
- ihlalleri
- iş
- Iş süreçleri
- hangi
- şansı
- Çekler
- bulut
- Bulut Güvenlik
- bulut hizmetleri
- kod
- ortak
- uyma
- Bağlantı
- kriz
- Müşteriler
- veri
- Veri ihlalleri
- veritabanları
- Geliştirici
- gelişme
- dijital
- dijital Dönüşüm
- sürme
- Erken
- Ekonomik
- ekonomik kriz
- Atılmak
- şifreleme
- Çıkış
- Deneyimler
- şekil
- Ad
- sabit
- odak
- Gartner
- Küresel
- grup
- Büyümek
- donanım
- okuyun
- otel
- Ne kadar
- Nasıl Yapılır
- HTTPS
- melez
- karma bulut
- IBM
- darbe
- Dahil olmak üzere
- Artırmak
- bilgi
- Altyapı
- Internet
- Yatırımlar
- sorunlar
- IT
- anahtar
- öncülük etmek
- sızıntı
- Kaçaklar
- çizgi
- büyük
- Yapımı
- yönetim
- model
- izleme
- ağ
- ağ
- haber
- açılır
- Diğer
- Diğer
- yaygın
- pii
- politikaları
- politika
- yoksul
- güç kelimesini seçerim
- Projeler
- halka açık
- Genel bulut
- kayıtlar
- Yer Alan Kurallar
- Rezervasyon
- Kaynaklar
- Risk
- ölçek
- tarama
- güvenlik
- Hizmetler
- Paylaşılan
- So
- Yazılım
- Harcama
- hafızası
- Stratejileri
- başarı
- Sistemler
- tehdit aktörleri
- zaman
- ipuçları
- Dönüşüm
- us
- kullanıcılar
- Verizon
- görünürlük
- ağ
- hafta
- içinde
- yıl
