Bulut güvenliği: kuruluşlar verileri nasıl koruyor?

Bulut güvenliği ile, sistemin sınırı, fiziksel ağınızın sınırı değil, onu kullanan kişiler olmaktan çıkar.

Bulut hizmetlerinde veya kurumsal ağlarda büyük ihlaller gördüğünüzde, tehlikeye atılan genellikle kuruluşun dış sınırları değil, daha çok bir bireyin kimliğidir.

Verizon Veri İhlali Araştırmaları Raporu 2017, tehdit ortamındaki dalgalanmalara ayak uydurabilmek için güvenliğin sürekli olarak değişmesi gerektiğini kanıtlıyor. Bilgisayar korsanlığıyla ilgili ihlallerin %81’inin çalınan veya zayıf parolalardan yararlandığı göz önüne alındığında, kimliğin yeni bir odak noktası olması şaşırtıcı değil.

Değişen sınırlar

Güvenlik açısından kuruluşlar için sınırlar nasıl değişiyor? Son on yılda, güvenlik sınırları o kadar değişti ki, görünmez hale geldi veya en azından zar zor tanınabilir hale geldi. Yeniden tanımlanmış durumunda güvenlik artık kimlik, kimlik doğrulama ve hesap güvenliği ile başlar.

CTO CensorNet’ten Richard Walters’a göre, bulut tabanlı hizmetlerin benimsenmesi kısmen suçlanıyor, çünkü yapılandırılmamış veriler artık bulut depolama uygulamalarında bulunuyor. 

“İş artık bir yer değil. Bu bir aktivite” diyor. “Kullanıcılar, hangi cihazı uygun ve yakınsa onu kullanarak, konumlarından bağımsız olarak uygulamalara ve verilere 7/24 anında erişim beklentisine sahipler. Tam bir şeyler yapacağımızı düşündüğümüzde, bulut sunucularına bağlanan milyonlarca IoT cihazı geldi. Şeylerin kimliği, insanların kimliği kadar önemli hale geliyor.”

BT’nin bir şirketin fiziksel sınırlarının ötesine geçmesi, güvenliğin yalnızca ağa giriş ve çıkışları korumak yerine uygulamaları, verileri ve kimliği korumaya odaklandığı hedef direklerinin hareket ettiği anlamına gelir.

Barracuda Networks EMEA genel müdürü Wieland Alge, “Bu, geleneksel güvenlik duvarlarının rolünü kökten değiştiriyor” diyor.

“Uzmanlar, bir süredir, özel güvenlik duvarlarının sonunda ağ ekipmanı tarafından emileceğini ve bir yönlendiricinin özelliği haline geleceğini tahmin ediyordu. Artık altyapıları aşağıdan yukarıya inşa ettiğimiz için, fiziksel olarak nerede olduklarına bakılmaksızın her şey kullanıcılar ve uygulamalara erişimleriyle başlar; güvenlik duvarlarının yalnızca kullanıcı ve uygulama farkında olması değil, aynı zamanda korudukları ilgili varlıklarla aynı çevikliği ve dağıtım esnekliğini göstermesi gerekir.”

Modern dijital dünyada güvenlik, daha çok bir kale gibi olan geleneksel kurumsal bilgi işlemin aksine açık bir şehir gibi mi? 

Bir kalenin sarmal merdivenleri, sağ elini kılıç kullanan savunuculara avantaj sağlamak için saat yönünde döner. Memset’in güvenlik şefi Thomas Owen’a göre, bu tür incelik ve derinlemesine savunma (artı motte ve bailey, hendek, kale vb.), siber güvenlik sanatının bulunduğu noktadır. 

“Kimlik federasyonu veya Tenable.io veya HackerOne gibi dış kaynaklı/kitle kaynaklı Hizmet olarak Güvenlik özelliklerinin benimsenmesindeki artış, demokratikleşmeden ve üçüncü tarafların güveninde bir artıştan bahsediyor, ancak yama konusunda tembelseniz veya gevşek erişim kontrolüne sahipseniz, yine de saldırıya uğrayacaksınız” diyor.

“Açık şehirlerde hala güven çemberleri, polisler/uygulayıcılar, kesinlikle özel alanlar, yasalar vb. var. On yıllardır ‘tek bir kale duvarının’ yeterli olduğu bir yerde bulunmadık.”

Skyhigh Networks’ün Avrupa Baş Sözcüsü Nigel Hawthorn, kale tabanlı siber güvenlik yaklaşımıyla ilgili bir başka sorunun da, güvence altına alınması gereken birçok anahtarın olması olduğunu söylüyor.

“Ağlara erişimi olan her çalışan potansiyel bir tehdittir. Kötü niyetli davranmaya başlayabilirler veya daha sonra krallığın anahtarlarına sahip olan siber suçlular tarafından bilgilerinin çalınmasını sağlayabilirler. Sürekli artan kimlik bilgisi hırsızlığı ile, kale yaklaşımı kullanan hiçbir şirket gerçekten güvenli değildir ”diyor.

Bilgisayar korsanlarının kimlik kazanmasını durdurma

Hawthorn, işletmelerin bir çalışanın kimlik bilgilerinin ne zaman çalındığını tespit etmede daha iyi olmaları gerektiğini söylüyor.

Sorunun, birçoğunun hala bir şirket e-posta adresi ve şifresine sahip olma temelinde erişim verilmesiyle tek bir kimlik doğrulama sürecine dayanması olduğunu söylüyor. Örneğin, Bangladeş Merkez Bankası’ndaki 81 milyon doların çalındığı ‘soygun’, bilgisayar korsanlarının birkaç çalışanın SWIFT giriş bilgilerini almasından sonra gerçekleşti. Bankanın daha sıkı kimlik kontrolleri olsaydı, saldırı hafifletilebilirdi.”

Exabeam Tehdit Araştırması direktörü Barry Shteiman’a göre en iyi yaklaşım, kredi kartı şirketlerinin sahtekarlığı nasıl tespit edip önlediğine benzer şekilde çalışan davranışsal analizdir.

“Her bir kişi için bir normal aktivite taban çizgisi oluşturur, ardından her yeni aktiviteyi taban çizgisiyle karşılaştırır. Visa’nın İngiltere merkezli bir tüketicinin Pekin’de ilk kez bir TV satın almasını engellemesi gibi, şirketler de geçerli ancak çalıntı kimlik bilgilerini kullanmaya çalışan bilgisayar korsanlarını tespit edecek.”

Ulusal bir perakendeci olan bir müşteriyle, aniden İK departmanındaki bir çalışanın perakende mağazalarındaki 1.500 satış noktası sistemine erişmeye çalıştığını gördüğünü söylüyor.

“Daha önce hiç yapmamıştı. Aslında, departmanındaki hiç kimse bunu daha önce yapmamıştı. Tatilde olduğu ve kurumsal kimlik bilgilerinin çalındığı ve bir bilgisayar korsanı tarafından kredi kartı bilgilerini çalmak için kullanıldığı ortaya çıktı. Şifre geçerliydi, bu nedenle soru ‘bu sisteme erişebilir mi’ değil, bunun yerine ‘ bu sisteme erişmeli mi?’ idi” diyor Shteiman.

Gelişen güvenlik modelleri

Abacode siber güvenlik direktörü Jeremy Rasmussen, önümüzdeki birkaç yıl içinde güvenlik modellerinin bulut tabanlı izleme ve kontrolleri içerecek şekilde güncellenmesi gerektiğini söylüyor.

“Genellikle, bulutta barındırılan sistemler için paylaşılan bir güvenlik sorumluluğu vardır. Bulut hizmeti sağlayıcısı, temel alınan altyapının güvenliğinden sorumludur. Ancak, işletim sisteminden uygulamalara kadar bu altyapıda depolanan her şeyi korumak, bireysel organizasyonun sorumluluğundadır” diyor.

Hawthorn, bulut ve uygulamalar operasyonlar için daha hayati olmaya devam ettikçe, işletmelerin bunları firmanın bir uzantısı olarak görmeye başlaması gerektiğini söylüyor.

“Veri kontrollerinin, işletmenin ağ çevresinde durmak yerine bulut uygulaması düzeyinde uygulanması gerekiyor. Şirketler ve bulut üçüncü tarafları, GDPR nedeniyle paylaşılan bir sorumluluk modeline zorlanıyor, bu nedenle yolculuğunun neresinde olursa olsun verileri korumaya daha fazla odaklanılacak.”

Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.

One thought on “Bulut güvenliği: kuruluşlar verileri nasıl koruyor?

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.