enflasyonemeklilikötvdövizakpchpmhp
DOLAR
9,2620
EURO
10,7921
ALTIN
526,44
BIST
1.410
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
Bursa
Sağanak Yağışlı
17°C
Bursa
17°C
Sağanak Yağışlı
Pazartesi Sağanak Yağışlı
17°C
Salı Sağanak Yağışlı
17°C
Çarşamba Parçalı Bulutlu
18°C
Perşembe Parçalı Bulutlu
20°C

Dijital dönüşüm yanlışları ve veri sızıntısı

Dijital dönüşüm yanlışları ve veri sızıntısı
29.09.2021
0
A+
A-

Dijital dönüşüm, belki birçok kuruluşun hayatını kurtardı ama yanlış bulut yapılandırmaları önemli güvenlik sorunlarına yol açtı. IBM’in 2020 yılı raporuna göre, 2019 yılında ihlal edildiği rapor edilen 8,5 milyar kaydın yüzde 85’i yanlış yapılandırılmış bulut sunucularına ve sistemlere dayanıyor. Siber güvenlik şirketi ESET bulut yapılandırmasında nelere dikkat edilmesi gerektiğini inceleyerek önerilerini paylaştı.

Şirketler, dijital dönüşümü küresel ekonomik krizden çıkmanın anahtarı olarak görüyorlar. Yeni müşteri deneyimlerini ve operasyonel verimliliklerini güçlendirmek amacıyla tasarlanan uygulamalar, iş süreçlerini destekleyen bulut yatırımları, bu projelerin merkezinde yer alıyor. Gartner’e göre, 2021 yılında küresel genel bulut hizmetleri harcamaları yüzde 18,4 artarak yaklaşık 305 milyar dolara çıkacak. 2022 yılında da artışın yüzde 19 olacağı tahmin ediliyor.

Veri ihlallerinin maliyetleri artıyor

IBM tarafından yayınlanan rapora göre ise veri ihlali maliyetleri geçen yılın raporunda 3,86 milyon Amerikan dolarıyken, bu yıl bu maliyet yüzde 10 artarak 4,24 milyon Amerikan doları oldu. 50 ila 65 milyon tutarındaki “mega ihlaller” için ise, bu maliyet 2020 yılında 392 milyon Amerikan dolarıyken, yüzde 2 artışla 401 milyon Amerikan doları seviyesine geldi. Rapora göre çalıntı kullanıcı bilgileri ihlallerin en büyük nedenleri arasında yer alıyor. Müşterilerin kişisel verileri (parolalar ve isimler de dahil) bu olaylarda ifşa olan en yaygın veri türlerinden ve ihlallerin yüzde 44’ünü oluşturuyor.

Yanlış yapılandırmalar hassas verileri kötü amaçlı aktörlere maruz bıraktığı için insan hatasının kapılarını aralıyor. Geçen yıl bir İspanyol otel rezervasyonu yazılımı geliştiricisinin neden olduğu ve milyonlarca insanı etkileyen sızıntı gibi, bu kayıtlar bazen kişi tanımlayabilir bilgiler (PII) içerebiliyor.

Hibrit uygulamalar kargaşaya yol açabilir

Korunmasız veritabanlarını tarayan tehdit aktörlerinin sayısı gün geçtikçe artıyor. Geçmiş yıllarda veritabanları silindi, haraca bağlandı, dijital ağ tarama kodu ile hedef alındı. Gözetim eksikliği, yetersiz ilke farkındalığı, sürekli takip olmayışı, yönetilmesi gereken çok fazla sayıda bulut API’si ve sistemi olması sorunu ortaya çıkaran nedenler arasında yer alıyor. Kuruluşlar birden fazla hibrit bulut ortamına yatırım yaptıkları için özellikle sonuncusu çok etkili. Tahminlere göre, bugün şirketlerin yüzde 92’sinin çoklu bulut stratejisi varken, yüzde 82’si hibrit bulut stratejisine sahip ve bu da karmaşayı arttırıyor.

Yanlış bulut yapılandırmaları farklı biçimlerde olabilir:

Erişim sınırlandırmalarının olmaması.

Aşırı serbest güvenlik grubu ilkeleri.

İzin kontrollerinin olmaması.

Yanlış anlaşılmış internete bağlanabilirlik yolları

Yanlış yapılandırılmış sanallaştırılmış ağ işlevleri

Yanlış bulut yapılandırması nasıl düzeltilir?

Kuruluşlar için önemli olan, sorunları otomatik olarak ve en kısa sürede bulup onarmaktır. Ama bunu başaramıyorlar. Bir rapora göre, bir saldırgan yanlış yapılandırmaları 10 dakika içinde algılarken kuruluşların sadece yüzde 10’u bu sorunları aynı süre içinde giderebiliyor. Kuruluşların yarısı (%45) yanlış yapılandırmaları bir saat ile bir hafta arasında bir süre içinde düzeltiyor.

İyileştirmek için neler yapılabilir? 

İlk adım, bulut güvenliğinin paylaşılan sorumluluk modelini anlamaktan geçiyor. Bu hangi görevlerle hizmet sağlayıcının (CSP) ilgileneceğini ve nelerin müşterinin görev alanına girdiğini gösterir. CSP’ler bulutun güvenliğinden (donanım, yazılım, ağ bağlantısı ve diğer altyapı) sorumlu olsa da, müşteriler de bulutta güvenliğin sorumluluğunu üstlenmek zorunda.Bu sağlandıktan sonra şunlar yapılabilir;

İzinleri sınırlandırın: Kullanıcılara ve hesaplara en düşük ayrıcalığı verme ilkesini uygulayın ve böylece riske maruz kalma olasılığını en aza indirgeyin.

Verileri şifreleyin: Bir sızıntının etkisini hafifletmek için iş açısından önemli ya da denetime tabi verilere güçlü şifreleme uygulayın.

Yetkilendirmeden önce uyumu denetleyin: Kod olarak altyapıya öncelik verin ve geliştirme yaşam döngüsünde, ilke yapılandırmasını olabildiğince erken otomatik hale getirin.

Sürekli denetleyin: Bulut kaynakları herkesin bildiği gibi kısa ömürlü ve değişkendir ve uyum gereksinimleri de zaman içinde değişir. Bu da, ilkeye dayalı sürekli yapılandırma denetimlerini gerekli hale getirir. Bu süreci otomatikleştirmek ve kolaylaştırmak için Bulut Güvenliği Durumunun Yönetimi (CSPM) araçlarını kullanmayı düşünün.

Doğru strateji sayesinde bulut güvenliği riskini daha etkili yönetebilecek ve personeli başka yerlerde daha verimli olacakları şekilde özgür kılabileceksiniz. Kaybedecek zaman yok çünkü tehdit aktörleri korunmasız bulut verilerini bulmakta her geçen gün daha ustalaşıyor.