Dijital dönüşüm, belki birçok kuruluşun hayatını kurtardı ama yanlış bulut yapılandırmaları önemli güvenlik sorunlarına yol açtı. IBM’in 2020 yılı raporuna göre, 2019 yılında ihlal edildiği rapor edilen 8,5 milyar kaydın %85’i yanlış yapılandırılmış bulut sunucularına ve sistemlere dayanıyor. Siber güvenlik şirketi ESET bulut yapılandırmasında nelere dikkat edilmesi gerektiğini inceleyerek önerilerini paylaştı.
Şirketler, dijital dönüşümü küresel ekonomik krizden çıkmanın anahtarı olarak görüyorlar. Yeni müşteri deneyimlerini ve operasyonel verimliliklerini güçlendirmek amacıyla tasarlanan uygulamalar, iş süreçlerini destekleyen bulut yatırımları, bu projelerin merkezinde yer alıyor. Gartner’e göre, 2021 yılında küresel genel bulut hizmetleri harcamaları %18,4 artarak yaklaşık 305 milyar $’a çıkacak. 2022 yılında da artışın %19 olacağı tahmin ediliyor.
Veri ihlallerinin maliyetleri artıyor
IBM tarafından yayınlanan rapora göre ise veri ihlali maliyetleri geçen yılın raporunda 3,86 milyon $ iken, bu yıl bu maliyet %10 artarak 4,24 milyon $ oldu. 50 ila 65 milyon tutarındaki “mega ihlaller” için ise, bu maliyet 2020 yılında 392 milyon $ iken, %2 artışla 401 milyon $ seviyesine geldi. Rapora göre çalıntı kullanıcı bilgileri ihlallerin en büyük nedenleri arasında yer alıyor. Müşterilerin kişisel verileri (parolalar ve isimler de dahil) bu olaylarda ifşa olan en yaygın veri türlerinden ve ihlallerin %44’ünü oluşturuyor.
Yanlış yapılandırmalar hassas verileri kötü amaçlı aktörlere maruz bıraktığı için insan hatasının kapılarını aralıyor. Geçen yıl bir İspanyol otel rezervasyonu yazılımı geliştiricisinin neden olduğu ve milyonlarca insanı etkileyen sızıntı gibi, bu kayıtlar bazen kişi tanımlayabilir bilgiler (PII) içerebiliyor.
Hibrit uygulamalar kargaşaya yol açabilir
Korunmasız veritabanlarını tarayan tehdit aktörlerinin sayısı gün geçtikçe artıyor. Geçmiş yıllarda veritabanları silindi, haraca bağlandı, dijital ağ tarama kodu ile hedef alındı. Gözetim eksikliği, yetersiz ilke farkındalığı, sürekli takip olmayışı, yönetilmesi gereken çok fazla sayıda bulut API’si ve sistemi olması sorunu ortaya çıkaran nedenler arasında yer alıyor. Kuruluşlar birden fazla hibrit bulut ortamına yatırım yaptıkları için özellikle sonuncusu çok etkili. Tahminlere göre, bugün şirketlerin %92’sinin çoklu bulut stratejisi varken, %82’si hibrit bulut stratejisine sahip ve bu da karmaşayı arttırıyor.
Yanlış bulut yapılandırmaları farklı biçimlerde olabilir:
- Erişim sınırlandırmalarının olmaması.
- Aşırı serbest güvenlik grubu ilkeleri.
- İzin kontrollerinin olmaması.
- Yanlış anlaşılmış internete bağlanabilirlik yolları
- Yanlış yapılandırılmış sanallaştırılmış ağ işlevleri
Yanlış bulut yapılandırması nasıl düzeltilir?
Kuruluşlar için önemli olan, sorunları otomatik olarak ve en kısa sürede bulup onarmaktır. Ama bunu başaramıyorlar. Bir rapora göre, bir saldırgan yanlış yapılandırmaları 10 dakika içinde algılarken kuruluşların sadece %10’u bu sorunları aynı süre içinde giderebiliyor. Kuruluşların yarısı (%45) yanlış yapılandırmaları bir saat ile bir hafta arasında bir süre içinde düzeltiyor.
İyileştirmek için neler yapılabilir?
İlk adım, bulut güvenliğinin paylaşılan sorumluluk modelini anlamaktan geçiyor. Bu hangi görevlerle hizmet sağlayıcının (CSP) ilgileneceğini ve nelerin müşterinin görev alanına girdiğini gösterir. CSP’ler bulutun güvenliğinden (donanım, yazılım, ağ bağlantısı ve diğer altyapı) sorumlu olsa da, müşteriler de bulutta güvenliğin sorumluluğunu üstlenmek zorunda. Bu sağlandıktan sonra şunlar yapılabilir;
- İzinleri sınırlandırın: Kullanıcılara ve hesaplara en düşük ayrıcalığı verme ilkesini uygulayın ve böylece riske maruz kalma olasılığını en aza indirgeyin.
- Verileri şifreleyin: Bir sızıntının etkisini hafifletmek için iş açısından önemli ya da denetime tabi verilere güçlü şifreleme uygulayın.
- Yetkilendirmeden önce uyumu denetleyin: Kod olarak altyapıya öncelik verin ve geliştirme yaşam döngüsünde, ilke yapılandırmasını olabildiğince erken otomatik hale getirin.
- Sürekli denetleyin: Bulut kaynakları herkesin bildiği gibi kısa ömürlü ve değişkendir ve uyum gereksinimleri de zaman içinde değişir. Bu da, ilkeye dayalı sürekli yapılandırma denetimlerini gerekli hale getirir. Bu süreci otomatikleştirmek ve kolaylaştırmak için Bulut Güvenliği Durumunun Yönetimi (CSPM) araçlarını kullanmayı düşünün.
Doğru strateji sayesinde bulut güvenliği riskini daha etkili yönetebilecek ve personeli başka yerlerde daha verimli olacakları şekilde özgür kılabileceksiniz. Kaybedecek zaman yok çünkü tehdit aktörleri korunmasız bulut verilerini bulmakta her geçen gün daha ustalaşıyor.