Hindistan’da giderek daha fazla işletme, bulut tabanlı çözümleri günlük operasyonlarına entegre ediyor. Bulut bilişim ne kadar kullanışlı olsa da, uygun şekilde güvenliği sağlanmadığı takdirde güvenlik açıklarına da açıktır.
Daha fazla kuruluşun hibrit ve çoklu bulut ortamlarına geçmesiyle, bulutun güvenliğini sağlamak zorlu bir zorluk haline geliyor. Kimlik yayılımı ve sıklıkla değişen politika katmanları da dahil olmak üzere bulut karmaşıklığı, erişim riskinin ve izinlerin anlaşılmasını son derece zorlaştırır.
Önümüzdeki 12 ay boyunca Hintli kuruluşlar bulutla ilgili tehditlerle ilgili artan endişelerini dile getirdi; yüzde 52’si özellikle siber risk açısından bulut saldırılarından endişe etti.
Bulutun güvenliğini sağlamaya yönelik teknoloji yeteneklerinden memnuniyet yalnızca yüzde 50 seviyesinde bulunuyor ve yüzde 30’dan fazlası siber savunmadaki standart uygulamalara tutarlı bir şekilde bağlı kalmıyor. Veriler bize PricewaterhouseCoopers International tarafından yayınlanan 2024 Global Digital Trust Insights’tan geliyor.
İlgili Makaleler
İngiltere, Apple’ı piyasadan çekilmeye zorlayabilecek yeni teknoloji yasasını geçirmeyi düşünüyor
Fransa büyük bir siber saldırı karşısında sarsılırken, Fransız vatandaşlarının yarısından fazlasının kişisel verileri çalındı
Büyük işletmeler bile bulut saldırılarından muaf değil. Dikkate değer bir örnek, 2023 yılının Haziran ayında, popüler bir Japon otomobil üreticisinin, yaklaşık 260.000 müşterinin verilerinin yanlış yapılandırılmış bir bulut ortamı nedeniyle çevrimiçi ortamda açığa çıktığını ortaya çıkarmasıyla meydana geldi.
Bu ihlal, yanlış yapılandırmanın buluttaki hem kullanıcı hem de hizmet hesabı kimliklerinin çokluğuyla bir araya gelmesiyle siber suçlular için nasıl bir geçit sağlayabileceğinin altını çiziyor. Aynı zamanda Kubernetes ve konteynerler gibi teknolojilerin yanı sıra veritabanları, ağ oluşturma ve sanallaştırma platformları gibi işlevlere yönelik hizmet tabanlı yaklaşımları içeren bulut tabanlı saldırıları tanımlamanın karmaşıklığını da vurguluyor.
Bu olay, pek çok olaydan yalnızca biri olarak hizmet ediyor ve Hint kuruluşlarına değerli dersler vererek, sağlam bir bulut güvenlik programının uygulanmasının zorunluluğunu vurguluyor.
Ders 1: Bulutun birleştirilmiş görünümü vazgeçilmezdir
Bulutta yerel uygulamalar, sanal makineler veya çıplak donanım gibi geleneksel platformlarda dağıtım için tasarlanmamıştır. Ölçeklenebilir bulut platformları ve altyapısı üzerinde çalışırlar ve birden fazla bulutta dağıtılacak şekilde tasarlanmışlardır; bu da kuruluşları yepyeni bir dizi güvenlik sorunuyla karşı karşıya bırakır.
Hintli kuruluşlar, bu platformlarda yönetilen varlıkları ve uygulamaları daha iyi güvence altına almak için bulutta yerel uygulama koruma platformlarını (CNAPP) benimsemekten yararlanabilir.
CNAPP, birden fazla ayrı aracı birleştirdiklerinden daha iyi bir bağlam sunarak öncelikli, eyleme geçirilebilir istihbarat sağlar, iyileştirme süresini azaltır ve kuruluşlara tüm bulutta yerel riskler, güvenlik açıkları ve yanlış yapılandırmalar karşısında güvenlik duruşlarına ilişkin konsolide bir görünüm sunar. Bulut güvenliği için çok noktalı ürünlerin kullanılması, yoğun şekilde silolanmış bir analiz üretebilir ve bir kuruluşun doğru bağlamı elde etme becerisini kısıtlayabilir.
CNAPP çözümleri bu siloları ortadan kaldırır ve daha fazla bağlam ve görünürlük elde edilmesine yardımcı olur.
Ders 2: İzleme ve tehdit tespiti karmaşık bir süreç olmamalıdır
Çoğu kuruluş birden fazla genel bulut sağlayıcısından yararlanır; bu, çoklu bulut ortamlarında güvenliği ve uyumluluğu yönetmeye yardımcı olmak için çok sayıda nokta aracı kullandıkları anlamına gelir.
Ancak her sağlayıcı için yerleşik araçlardan yararlanmak, güvenlik duruşuna ilişkin birleşik bir görünüm sağlamaz ve bu da risklerin anlaşılmasını ve ele alınmasını daha zorlu hale getirir. Bir kuruluş tek bir bulut hizmet sağlayıcısına bağlı olsa bile, araçların birleştirilmesi, işletme için esneklik ve dayanıklılık pahasına küçük faydalar sağlayabilir.
Ancak uygulamaların, şirket içi varlıkların, kimliklerin, yetkilendirmelerin ve çok daha fazlasının saldırı yüzeyinin tamamında doğru ve sürekli desteğe sahip olma konusunda hala önemli bir boşluk var. Bu, bir kuruluşun genel siber riskine katkıda bulunarak tehditlerin izlenmesini ve tespit edilmesini Sisifos görevi haline getirir.
Kuruluşların ihtiyaç duyduğu şey, potansiyel bulut güvenliği tehditlerinin ve güvenlik açıklarının izlenmesini, tespit edilmesini ve iyileştirilmesini basitleştiren ve merkezileştiren, ortalama iyileştirme süresini (MTTR) azaltan ve genel güvenliği artıran hepsi bir arada bir CNAPP çözümüdür.
Tüm bulutta yerel uygulamalar ve güvenlik araçları etrafında oluşturulmuş, birden fazla hibrit ve çoklu bulut platformunda görünürlük sağlayabilen tek bir platformda birleştirilmiş bir zeka ekosistemi sunar ve geleceğe yönelik bulut güvenliği yatırımlarına bağlamsal bir görünüm sunar.
Ders 3: DevOps ve Güvenlik ekiplerinin daha fazla işbirliğine ihtiyacı var
Bulut güvenliği söz konusu olduğunda kuruluşların karşılaştığı en büyük zorluklardan biri geliştirme, DevOps, BT ve güvenlik ekipleri arasındaki işbirliğidir. DevOps ve BT, teslimat hızıyla görevlendirilirken, yazılım geliştirme ve dağıtım sürecinin sonunda güvenlik ekiplerine sıklıkla danışılır; bu da, güvenlik açıklarının ve yanlış yapılandırmaların, siber suçlulara ve halka açık diğer kötü niyetli aktörlere maruz kalmadan önce düzeltilmesini zorlaştırır. .
CNAPP çözümleri gibi birleştirilmiş araçlar, sorunları iş akışında daha erken tanımlayarak ve ilgili ekipleri kendi yerel geliştirme ve dağıtım ortamlarında uyararak güvenlik ve DevOps ekipleri arasındaki işbirliğini geliştirmeye yardımcı olur, süreci otomatikleştirirken aynı zamanda bu ekipleri güvenlik uzmanı olmaya ve öğrenmek zorunda bırakmaz. yeni araçlar.
Her iki ekip de geliştirme yaşam döngüsü boyunca güvenliği yönetmek için aynı platformu kullandığında, tüm saldırı yüzeyi boyunca sürekli risk yönetimi sağlamak, darboğazları ortadan kaldırmak ve pazara sunma süresini artırmak için güvenlik DevOps sürecine entegre edilebilir.
Ders 4: Ekiplerde yeterli sayıda personel bulunmadığında bulut güvenliği iş yükü azaltılmalıdır
Siber güvenlik yeteneklerini işe almak ve elde tutmak artık Hintli kuruluşların en önemli öncelikleri arasında yer alıyor. Hindistan’daki on kuruluştan dördü, yetersiz personele sahip siber güvenlik ekipleriyle boğuşuyor ve bu durum, yalnızca personel sıkıntısının ötesine geçiyor. ISACA’nın 2023 küresel Siber Güvenliğin Durumu Raporu’na göre, ülkedeki kuruluşların yüzde 68’i yetenekleri siber güvenlik ekipleri bünyesinde tutma konusunda zorluklarla karşılaşıyor.
Büyük bir beceri açığıyla boğuşan bir sektör olarak, bulut güvenliğiyle mücadeleye yönelik ilave iş yükü, maliyeti ve karmaşıklığı artırıyor. CNAPP çözümleri otomatik görünürlük ve bağlam sağlayarak zamandan tasarruf sağlar ve bulutta yerel uygulamaların ve iş yüklerinin güvenliğinin sağlanmasına ilişkin genel maliyeti azaltır.
Rekabetçi kalabilmek için kuruluşların bulut güvenliği iş yüklerini azaltmaları ve risk iştahlarına ve düzenleyici yükümlülüklere uygun olmalarını sağlamaları gerekiyor. Hiçbir işletme geliştirici zamanının tamamını güvenlik görevlerine harcamak istemez.
Başarılı kuruluşlar, en kritik yanlış yapılandırmaları tespit ederek ve en büyük riski oluşturanların iyileştirilmesine öncelik vererek iş verimliliğini artırmalıdır.
Bulutun güvenliğini sağlamak, kuruluşların 2024’te karşılaşacağı en karmaşık zorluklardan biridir. Doğru CNAPP araçlarıyla kuruluşlar, tüm hibrit, çoklu bulut saldırı yüzeyi genelinde riski azaltan ve en kritik varlıkları olan veri kümelerini koruyan bilinçli risk yönetimi kararları alabilirler. ve fikri mülkiyetler.
Önümüzdeki yıl, kuruluşların, saldırıları başarılı olmadan önce önlemek ve tüm kuruluş için genel siber riski azaltmak amacıyla temel siber güvenlik işlevlerini otomatikleştirmeye ve genişletmeye yardımcı olmak için bulut güvenlik çözümlerine uyumlu yatırımlar yapması gerekiyor.
Yazar, Tenable’ın Baş Güvenlik Stratejistidir ve güvenlik açığı yönetimi ve dünya çapındaki yöneticilere ve güvenlik uzmanlarına Siber Maruziyet konusunda uzmanlığa sahiptir. Yazar, BT ve bilgi güvenliği organizasyonları için teknik ve teknik olmayan güvenlik çözümlerinin tasarlanması, uygulanması ve yönetilmesi konusunda onlarca yıllık deneyime sahiptir.