Venafi’nin yeni bir raporuna göre, kuruluşların büyük çoğunluğu son 12 ayda en az bir bulutla ilgili siber güvenlik olayı yaşadı.
Artan karmaşıklığın ve bulut güvenliğinin gerçekte kimin sorumluluğunda olduğu konusundaki netlik eksikliğinin bu olaylara iki büyük katkıda bulunduğunu tespit etti.
Venafi’ye göre, firmaların %81’i geçen yıl bu tür en az bir olay yaşadı. Neredeyse yarısı (%45) dört olaydan zarar gördü.
Güvenlik ve operasyonel riskler
Çoğu zaman, çalışma zamanı (%34), yetkisiz erişim (%33), yanlış yapılandırmalar (%32), yama uygulanmamış büyük güvenlik açıkları (%24) veya başarısız denetimler (%19) sırasında güvenlik olayları yaşarlar.
Aynı zamanda, yalnızca yetkisiz erişim, güvenlik karar vericilerinin sahip olduğu en büyük operasyonel ve güvenlik endişelerinin ilk beş listesine girmeyi başardı. Ayrıca hesap, hizmetler ve trafik saldırıları (%35), kötü amaçlı yazılım ve fidye yazılımları (%31), gizlilik sorunları (%31) ve ulus devlet saldırıları (%26) vardır.
Venafi’de güvenlik stratejisi ve tehdit istihbaratı başkan yardımcısı Kevin Bocek, “Saldırganlar artık iş dünyasının bulut bilişime geçişiyle birlikte” diyor. “Bulutta saldırının en olgun hedefi kimlik yönetimi, özellikle de makine kimlikleridir. Bu bulut hizmetlerinin, kapsayıcıların, Kubernetes kümelerinin ve mikro hizmetlerin her biri, güvenli bir şekilde iletişim kurmak için TLS sertifikası gibi kimliği doğrulanmış bir makine kimliğine ihtiyaç duyar. Bu kimliklerden herhangi birinin güvenliğinin ihlal edilmesi veya yanlış yapılandırılması, güvenlik ve operasyonel riskleri önemli ölçüde artırır.”
Çalışma aynı zamanda işletmelerin bulut güvenliğinin gerçekte kimin sorumluluğunda olduğunu gerçekten bilmediklerini de göstermiştir. Kurumsal güvenlik ekipleri (%25), operasyon ekiplerinden (%23) hemen önce bulutta uygulama güvenliğini yönetme olasılığı en yüksek ekiplerdir. Neredeyse dörtte biri için (%22) bunun birden fazla ekip arasında paylaşılan ortak bir çaba olması gerekirken, %16’sı bunun geliştiricilerin bulut uygulamaları yazma sorumluluğunda olması gerektiğini düşünüyor.
Venafi, “güvenlik ekipleri ve geliştirme ekiplerinin çok farklı amaç ve hedefleri olduğu” için paylaşılan sorumluluk modellerinin benimsenmemesi gerektiğini ima ediyor gibi görünüyor. Geliştiricilerin hızlı hareket etmesi gerekirken, güvenlik ekipleri için görünürlük sorunları yaratır. Raporda, “Bu görünürlük olmadan, güvenlik ekipleri bu kontrollerin güvenlik ve yönetişim politikalarına karşı nasıl biriktiğini değerlendiremez” deniyor.
Rapor için incelenen kuruluşlar şu anda ev sahipliği yapıyor (yeni sekmede açılır) Uygulamalarının %41’i bulutta ve bu sayının önümüzdeki bir buçuk yılda %57’ye yükselmesini bekliyor.
