Mobil cihazların benimsenmesinin bir sonucu olarak geleneksel uç nokta kavramları aşınıyordu ve bulut anlaşmayı imzaladı. Veri, bir kuruluşun en değerli varlığıdır. Bir kuruluş bulutu tamamen benimsediğinde, geleneksel uç noktalar atılabilir hale gelir. Modern uygulamalar, yalnızca onaylanmış bir veri merkezinin sınırlarından kontrol edilen iş istasyonlarından değil, herhangi bir cihazdan, herhangi bir yerden tüketilir. Uç noktaların masaüstü bilgisayarlar, dizüstü bilgisayarlar veya sunucular yerine API’lere veya hizmetlere başvurma olasılığı daha yüksektir. Kuruluşlar, güvenlik stratejilerini bu gerçekliğe uyarlamalıdır, aksi takdirde kendilerini olay, ihlal veya itibar kaybı riskine maruz bırakırlar.
Bulut Saldırı Modelleri Farklıdır
Saldırı kalıpları, bulutun benimsenmesi ve mobilizasyonu ile gelişti. Kalıcılık için uç noktaları tehlikeye atan saldırı düzenlerinin güvenlik izleme mekanizmalarını tetikleme ve güvenlik ekiplerini uyarma olasılığı daha yüksektir. Saldırganların, fidye yazılımı bulaşmasının kör çekiç yaklaşımına başvurmasına gerek yoktur. Kimlik bilgilerini tehlikeye atmak, hizmetleri kötüye kullanmak ve aynı derecede başarılı ve karlı olan hassas verileri sızdırmak için çok sayıda başka yönteme güvenebilirler. Bir uç noktaya asla dokunmayan saldırı örnekleri şunları içerir:
- Ayrıcalık yükseltme veya hesap devralma (ATO) için erişim kimlik bilgilerini kötüye kullanma
- Kripto para hırsızlığı veya zararı kuruluşa ait olmak üzere kötü niyetli bir şekilde kripto para madenciliği
- Serbestçe izin verilen bulut depolama hizmetlerine erişimden yararlanma
- Kullanıcı kimlikleri yerine makine kimliklerini hedefleme
- Bulut sağlayıcı meta veri API’lerinden altyapı verilerini sifonlama
Bulut ortamı etkileşimlerinin toplanması ve analizi, güvenlik ekiplerine tehdit algılama ve yanıt (TDR) sağlamak ve dijital adli tıp ve olay yanıtını (DFIR) desteklemek için bağlam sağlar. Sürekli analiz, güvenli yapılandırmalar ve iş yükü davranışları için temelleri bilgilendirir. Bu taban çizgilerinden sapmalar, çevresel sapma veya potansiyel uzlaşma göstergeleridir. Görünüşte birbirine bağlı bir dizi olay karmaşık bir saldırı zincirinin parçası olduğunda, güvenlik ekiplerinin uygun bir müdahaleye öncelik verebilmesi için bu olayın hızla ortaya çıkarılması gerekir. Heterojen ortamlar ve teknoloji yığınları arasında veri toplama ve korelasyon gerektirdiğinden, uygulamada çözülmesi zor bir problemdir. Saldırılar, hedeflenen verilerin nerede bulunduğuna veya hizmetlerin nerede çalıştığına bağlı olarak şirket içi ve bulut ortamlarında da geçebilir.
Kuruluşların Geleneksel Araçlarla Başarısı Düşük
Kuruluşlar, modern mimarilerde SecOps’u etkinleştirmek için bir dizi güvenlik teknolojisi uygular, ancak bunların tümü güvenlik açıklarına neden olur. Ortak yaklaşımlar şunları içerir:
- Uç nokta algılama ve yanıt (EDR): Uç noktalar hiç bulunmayabilir ve iş yükleri yalnızca kısa aralıklarla devam eder. Aracılar, özellikle de ağır olarak algılananlar, teknik olarak mümkün değildir veya kullanılabilirlik endişeleri yaratır. Bir kapsayıcı iş yüküne veya bulut hizmetine dizüstü bilgisayar veya Windows iş istasyonu gibi davranamazsınız.
- Genişletilmiş algılama ve yanıt (XDR): TDR’ye meşhur bir mutfak lavabosu yaklaşımı olan XDR, her tür olay verisini ilişkilendirmeyi amaçladı. Gerçekte, XDR araçları, dizüstü veya masaüstü bilgisayarlara odaklanan geleneksel uç nokta köklerini paylaşır. EDR’yi yeni nesil EDR (NG-EDR) olarak düşünmek en iyisidir.
- Güvenlik bilgileri ve olay yönetimi (SIEM): SecOps’un omurgası olan SIEM’ler maalesef çok fazla günlük ve olay akışı için bir çöplük haline geliyor. Kuruluşlar, fidye yazılımı veya kimlik avı saldırıları gibi güvenlik olaylarını uyarmak için SIEM’lerine güvenir. Depolama maliyetleri genellikle bir sorun teşkil eder, analistler tarafından veriyi ayrıştırmak için harcanan zamandan bahsetmiyoruz bile. SOC modernizasyon çabaları, güvenlik olayları için sinyal-gürültü oranını iyileştirmek için genellikle SIEM örneklerine yapılan beslemelerin sayısının azaltılmasını vurgular.
Bulut Algılama ve Yanıt Adresleri Boşluklar
Modern uygulama tasarımları, tehdit gelişimi ve geleneksel güvenlik yaklaşımlarının zayıflıkları, TDR ve DFIR’yi desteklemek için farklı yeteneklere duyulan ihtiyacı vurgulamıştır. Kuruluşlar, güvenlik stratejilerinde başarılı olmak için artan yeteneklere ihtiyaç duyarlar. Endüstrideki bazıları bu yeniliği etiketlemeye başladı yeteneklerin gruplandırılması bulut algılama ve yanıt (CDR). CDR’nin özellikleri şunları içerir:
- Ana bilgisayar telemetrisini, iş yükü telemetrisini ve bulut olay kaynaklarını alıp analiz ederek geleneksel, bulut ve bulutta yerel ortamlarda görünürlüğü birleştirin.
- Hizmet profili oluşturma, esnek ve özelleştirilebilir kurallar ve makine öğrenimi tabanlı algılamalara dayalı otomasyonla ortalama algılama süresi (MTTD) güvenlik olaylarını iyileştirin.
- Kuruluşun benzersiz ortamları için bağlama dayalı rehberlikle ortalama yanıt verme süresini (MTTR) iyileştirin.
- AWS CloudFormation, Terraform veya Kubernetes YAML gibi otomatik olarak oluşturulan “kod olarak” biçimlerle düzeltme ve onarım süresini hızlandırın.
- Güvenlikle ilgili olmayan ve SecOps sistemleriyle API entegrasyonları aracılığıyla geliştirme, operasyon ve güvenlik ekiplerinin iş akışları arasında köprü oluşturun.
SecOps’un şu anki durumu bazen bana, uygulayıcıların dijital dönüşümle ilk kez boğuştuğu eski uygulama güvenliği ve altyapı güvenliğini hatırlatıyor. DevOps uygulamaları, otomasyona büyük önem verir. Güvenli uygulamaları hızla yıkıp yeniden dağıtabiliyoruz, ancak SecOps yaklaşımlarının da bu gerçeklik için gelişmesi gerekiyor. CDR yetenekleri, modern mimarilerde güvenlik operasyonlarını sürdürmesi gereken kuruluşlar için ileriye giden bir yoldur.
yazar hakkında
Sysdig’de Siber Güvenlik Stratejisi Direktörü Michael Isbitski, beş yıldan fazla bir süredir siber güvenlik konusunda araştırma yapıyor ve danışmanlık yapıyor. Bulut güvenliği, konteyner güvenliği, Kubernetes güvenliği, API güvenliği, güvenlik testi, mobil güvenlik, uygulama koruması ve güvenli sürekli teslimat konularında bilgilidir. Güvenlik girişimlerinde ve işlerini desteklemede dünya çapında sayısız kuruluşa rehberlik etti. Mike, araştırma ve danışmanlık deneyiminden önce, uygulama güvenliği, güvenlik açığı yönetimi, kurumsal mimari ve sistem mühendisliğine odaklanan 20 yılı aşkın uygulamacı ve liderlik deneyimiyle BT’nin ön saflarında birçok zor ders aldı.