Yanlış yapılandırmaların doğurduğu sorunlar olukça endişe verici bir boyuta ulaşmış durumda. Open Worldwide Application Security Project’e (OWASP) göre bu sorun, en önemli güvenlik riskleri listesinin bir önceki baskısında altıncı sırada yer alırken bu baskıda ise beşinci sıraya yükseldiğini belirtiyor. OWASP analiz ettiği uygulamaların %90’ında yanlış yapılandırmalar tespit ederken yaptıkları Microsoft araştırması da yazılım ve cihazlardaki uygun olmayan konfigürasyonların fidye yazılımı saldırılarının %80’ine neden olduğunu ortaya koyuyor. OWASP’in açıklara ilişkin farkındalığı artırma çabalarına rağmen, özellikle bulut hizmetlerinin yükselişiyle birlikte bu yapılandırma sorunu devam ediyor. Yakın tarihli bir örnek, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan ve federal kurumların Office 365 ortamlarını önerilen güvenli yapılandırmalarla uyumlu hale getirmelerini gerektiren yönerge sorunun önemini ve ciddiyetini gözler önüne seriyor.
Dağıtık sistemlerin artan karmaşıklığı da yanlış yapılandırmaların çoğalmasında önemli bir rol oynuyor. Bu karmaşıklık, sistemlerin teknik özellikleri ve operasyonel gereksinimleri hakkındaki yanlış anlamalarla birleştiğinde, yönetilen bir hizmet sağlayıcı (MSP) olarak işinizi daha da zorlaştırıyor. Tam görünürlük eksikliği, düzenli olarak gözden geçirilmeyen varsayılan yapılandırmaların kullanımı ve sürekli izleme olmadan fark edilmeyecek yetkisiz değişiklikler gibi faktörler nedeniyle hibrit ve bulut ortamlarında yanlış yapılandırmaları tespit etmek inanılmaz derecede zor bir boyut kazanıyor. Ayrıca eski sistemler ve özel uygulamalar, genellikle gizli veya zorlu denetim yapılandırmaları içerdiğinden bu durumu daha da kötüleştiriyor ve düzeltici eylemi de engelliyor. Bu zayıflıkların sonuçları, güvenli yapılandırmalara dayanan birden fazla birbirine bağlı ortamla çalışan MSP işletmeleri için korkunç olabilir. Bir yandan, bu saldırılara maruz kalan kullancılara ödenen tazminatlar, bir yandan da GDPR ve HIPAA gibi düzenlemelere uyulmadığından gerçekleşecek yasal cezalar nedeniyle mali kayıpların yaşanması mümkün. Ayrıca yanlış konfigürasyonlar sebebiyle de müşterilerin güveninin sarsılması ve sözleşmelerin fesh edilmesi gibi sonuçlar doğurabilir.
‘’Bu Yaklaşım Operasyonel Başarı Sağlar ve Anahtar Rolünüzü Pekiştirir’’
Bu zorlukların üstesinden gelmek ve riskleri azaltmak için alınabilecek etkili önlemlerin olduğunu ifade eden WatchGuard Türkiye, Yunanistan ve MEA Bölge Müdürü Yusuf Evmez şu açıklamalarda bulundu:
‘’Kapsamlı bir strateji; sağlam güvenlik politikaları, iyi tanımlanmış erişim kontrolleri ve net olay müdahale prosedürleri içermelidir. Yapay zeka gibi otomatik araçlar olası yanlış yapılandırmaları ve yetkisiz değişiklikleri izleyip tespit edebildiğinden sunulan hizmete yapay zekayı da dahil etmek oldukça önemli. Aynı zamanda düzenli denetimler ve ekibiniz için sürekli eğitim, en iyi güvenlik uygulamalarının tutarlı bir şekilde uygulanmasını sağlar. Bu önlemlerin benimsenmesi, olayların önlenmesine yardımcı olur ve sizi ve MSP işinizi bir mükemmellik ve güvenilirlik ölçütü olarak konumlandırır. Karmaşık yapılandırmaları yönetme ve riskleri azaltma becerinizi göstermek müşterilerinizin güvenini güçlendirmesini sağlarken uzun vadeli ilişkileri sağlamlaştırır ve yeni iş fırsatlarının önünü açar. Bu yaklaşım operasyonel başarı sağlar ve anahtar rolünüzü pekiştirir.’’
Kaynak : 