Bulut uygulamalarının ve yazılımlarının popülaritesi son yıllarda önemli ölçüde artmıştır. Ancak bulut hizmetlerini kullanmak işletmeler ve çalışanlar için faydalı olsa da yeni siber güvenlik risklerini de beraberinde getiriyor.
Bulut uygulamalarını kullanarak herhangi bir yerden oturum açma yeteneği çalışanlar için uygundur, ancak aynı zamanda bir dizi çalıntı parolayla hassas bilgilere erişebilecek siber suçlular için potansiyel yeni bir fırsattır. Saldırganların, fidye yazılımı saldırıları ve diğer kötü amaçlı yazılım kampanyaları başlatmak için bulut hizmetlerini kötüye kullanması bile mümkündür.
Ancak, şirketinizin bulut güvenlik stratejisinin hem üretkenliği artırabilmesi hem de kullanıcıları ve ağı siber saldırılardan ve olaylardan koruyabilmesi için atılması gereken adımlar ve kaçınılması gereken hatalar vardır.
1. Hesaplara güvenli erişim
Bulut uygulamaları, kullanıcıların verilerine her yerden erişmesine izin verirken, siber suçlular için de birincil hedeftir. Kendinizi korumak için yapmanız gereken ilk şey, güvenli bir parola kullanmak ve basit, yaygın veya yeniden kullanılan parolalardan kaçınmaktır. Basit bir parola, kullanıcının hesabını kilitleme riskini etkili bir şekilde azaltır. Ancak bu yaklaşım aynı zamanda siber suçluları da teşvik eder – özellikle bir e-posta adresinin veya kurumsal uygulamanın ihlali, izinsiz girenlere ayrıcalıklarını yükseltme ve sistemler üzerinde ek kontrol kazanma fırsatı veriyorsa.
Ayrıca, bir bulut hesabının güvenliği ihlal edildiğinde, şirket bunu çok geç fark eder – veriler genellikle zaten çalınmıştır veya sisteme fidye yazılımı zaten yüklenmiştir.
Bu nedenle, bulut hizmetlerine erişim hesaplarının, hem güçlü, benzersiz bir parola hem de çok faktörlü kimlik doğrulama ile uygun şekilde güvence altına alınması gerekir. Bu nedenle, şifre ihlal edilmiş, sızdırılmış veya tahmin edilmiş olsa bile, hesabın ele geçirilmesini ve kötüye kullanılmasını engelleyen ek bir engel vardır.
Bir kuruluşun çalışanlarına bir şifre yöneticisi sunması da mümkündür. Bu, ihlal edilme olasılığı daha düşük olan daha uzun ve daha karmaşık şifreler oluşturmayı kolaylaştıracaktır.
2. Krallığın anahtarlarını her kullanıcıya vermeyin
Bulutun avantajı, tüm kullanıcılara tek bir yerde çeşitli hizmetler ve araçlar sunmasıdır. Ancak her kullanıcının farklı ihtiyaçları vardır ve herkesin her şeye erişmesi gerekmez. Özellikle yönetici haklarına sahip bir hesabı hackleyen veya kontrolünü ele geçiren yetkisiz bir kullanıcı tarafından kolayca kötüye kullanılabileceklerinden, tüm kullanıcılara yüksek ayrıcalıklar vermekten kaçının.
Bu nedenle BT ekiplerinin, yönetici ayrıcalıklarına yalnızca gerçekten ihtiyaç duyanlar tarafından erişilebildiğinden ve yönetici ayrıcalıklarına sahip herhangi bir hesabın uygun şekilde güvence altına alındığından, böylece saldırganların üst düzey hesaplara erişip kötüye kullanamaması için ek hesaplar oluşturması zorunludur. örneğin faaliyetlerini gizlice yürütmek için kullanabilirler.
Standart kullanıcıların kendi ayrıcalıklarını yükseltme veya yeni hesap oluşturma yetkisine sahip olmaması da önemlidir.
3. Bulut hizmetlerinin kullanımını izleyin
İşletmeler çok çeşitli bulut bilişim hizmetleri kullanır, ancak ne kadar çok uygulama kullanırlarsa bunları takip etmek o kadar zorlaşır. Ve kötü niyetli kullanıcıların ağa tespit edilmeden girmesi için bir ağ geçidi sağlayabilir.
BT departmanlarının hangi bulut hizmetlerinin kullanıldığını ve bunlara kimlerin erişimi olduğunu takip edecek araçlara sahip olması çok önemlidir. Kurumsal bulut hizmetlerine yalnızca kuruluş için çalışan kullanıcılar erişebilmelidir. Birisi şirketten ayrılırsa, erişim kaldırılmalıdır.
Ayrıca bulut hizmetlerinin yapılandırmasını kontrol etmek ve internetteki herkesin erişemeyeceğinden emin olmak gerekir. Bu ücretsiz erişim, kaba kuvvet saldırıları girişimine yol açabilir veya siber suçlular, uygulamalara erişim elde etmek için kimlik avı veya çalıntı kimlik bilgilerini kullanmaya çalışabilir. En kötü durumda, yanlış yapılandırılmış ve açık bir bulut uygulaması, oturum açma verileri gerektirmeyebilir, bu da herkesin erişebileceği anlamına gelir. Hangi uygulamaların açık olduğunu ve yalnızca onlara ihtiyacı olanların bunlara erişebileceğini bilmek önemlidir.
4. Güvenlik güncellemelerini yükleyin
En önemli siber güvenlik önlemlerinden biri, güvenlik güncellemelerini ve yamalarını mümkün olan en kısa sürede uygulamaktır. Siber suçlular, ağlara sızmak ve bir siber saldırı için zemin hazırlamak için rutin olarak bilinen güvenlik açıklarından yararlanmaya çalışırlar.
Bulut yazılımı farklı değildir. Güvenlik açıkları orada keşfedilebilir ve hızlı bir şekilde uygulanması gereken güvenlik yamalarını alırlar.
Büyük bulut tabanlı ağları çalıştıran BT departmanları, güvenliğin kullandıkları bulut hizmeti veya uygulama sağlayıcısı tarafından halledildiğini düşünebilir, ancak durum her zaman böyle değildir. Yazılım ve bulut uygulamalarının da yamaya ihtiyacı vardır ve ağın güvenlik açıklarından yararlanmaya çalışan siber suçlulara karşı dayanıklı olmasını sağlamak için bu çalışmanın hızlı bir şekilde yapılması hayati önem taşır.
5. Çevrimdışı yedeklemeler yapın
Bulutun ana avantajı, kullanıcıların verilerine ve yazılımlarına yalnızca bir düğmeyi (çoğu durumda) ve nerede olurlarsa olsunlar ve hangi cihazı kullanıyorlarsa kullansınlar kullanarak erişebilmeleridir. Bununla birlikte, verilere her zaman erişilebilir olmayabilir: arızalar meydana gelebilir veya siber saldırılar verileri veya erişimlerini değiştirebilir.
Bulut hizmetlerine erişim sağlayan bir hesap siber suçlular tarafından ele geçirildiğinde, veriler silinebilir veya rehin tutulabilir – örneğin, fidye yazılımı çeteleri tarafından kullanılan yaygın bir taktik, bulutta depolanan yedekleri silmektir.
Hesaplarınız iyi korunuyor olsa bile – ve öyle olmalıdır – yedekleri çevrimdışı olarak depolamak iyi bir fikirdir. Böylece, örneğin bir siber saldırı sonrasında buluttaki verileriniz kaybolur veya erişilemezse, yedeklerden geri yükleyebileceksiniz.
Geri yükleme noktasının mümkün olduğunca yeni olması için düzenli yedeklemeler yapmak önemlidir. Ancak bunları düzenli olarak test etmeyi unutmayın. Sonuçta, gerçekten ihtiyacınız olduğunda çalışmıyorlarsa, yedekleri tutmanın bir anlamı yoktur.
Kaynak : ZDNet.com