Bulut güvenliği: Yerel uygulama koruması bir başlangıçtır

Bulut güvenliği söz konusu olduğunda alınması gereken önlemler, bir BT uzmanının işini daha da karmaşık hale getirmemelidir.

BT uzmanlarının, Google Workspace’in 3 milyar kullanıcısı ya da Microsoft Teams iş birliği uygulamasının 320 milyon kullanıcısı arasında sayılacağı kesindir. Başarılı bir dağıtım ve bazı güvenlik kurallarının oluşturulmasının ardından, ideal bir dünyada, kurumsal ekipler güvenli iş birliği ortamlarında çalışırken diğer kritik görevleri yerine getirmek için zaman kazanabilirler.

Bu teknoloji devleri yüksek teknolojili güvenliği doğrudan bulut uygulamalarına dahil etmişlerdir dolayısıyla endişelenecek bir şey yoktur, değil mi? Evet, yaygın olarak kullanılan bu bulut uygulamaları, korunmakta ve düzenli olarak güncellenmektedir ancak bu, dışarıdaki tüm tehditlere karşı bağışık bir bulut güvenliği sağladığınız anlamına gelmez. 

Tehdit aktörlerinin meşru bulut uygulamalarını kötüye kullandığı çok sayıda vaka var ancak bu sorunun bir çözümü de var. BT yöneticilerinin bulut güvenliği konusunda ek katmanlar uygulaması gerekiyor. Yöneticiler, doğru araçlarla bulut hizmetlerinden kaynaklanan saldırı yüzeyini en aza indirebilir, kurumsal iş birliği uygulamalarını ve e-postalarını tehditler gerçekleşmeden önce koruyan, önleme öncelikli bir yaklaşım benimseyebilir.

Büyüyen iştah

Dünyanın dört bir yanındaki şirketler sürekli olarak daha verimli çalışmanın yollarını arıyor ve (konumdan bağımsız olarak) genel bulut pazarındaki gelir 2019 ve 2023 yılları arasında iki kattan fazla arttı ve 2024 yılında 690,3 milyar dolara ulaşacağı tahmin ediliyor.   

Ancak pazar büyüdükçe tehdit aktörlerinin iştahı da artıyor. ESET, diğer taraftan Haziran 2021 ile Temmuz 2023 arasında, Microsoft 365 ve Google Workspace bulut ofis paketlerinin yerel korumasını atlayacak olan milyonlarca tehdidi tespit etti ve engelledi.

Engellenen tehditlerin çoğunluğunu kimlik avı ve spam mesajları oluşturuyor; son veriler bu eğilimin sona ermediğini gösteriyor. ESET H2 2023 Tehdit Raporu‘na göre spam yüzde 6 oranında arttı ve kurbanları kimlik avı web sitelerine gönderen kötü amaçlı HTML dosyaları (HTML/Phishing.Agent trojan) hala açık ara en çok tespit edilen e-posta tehdidi.

Genel olarak bu e-posta saldırıları, ESET tarafından tespit edilen tüm siber tehditlerin neredeyse dörtte birini (yüzde 23,4) oluşturuyor.  

ESET telemetri tarafından tespit edilen diğer bulut tehditleri arasında arka kapılar, casus yazılımlar, bilgi hırsızları ve indiriciler gibi çeşitli kötü amaçlı yazılım türleri yer alıyor.

Uygulamalarınız o kadar da güvenli değil

Gerçek hayattan örnekler, yasal bulut uygulamalarının ve hizmetlerinin kötü amaçlı yazılım dağıtmak, bu süreçlerin gizlenmesi ve kurumsal cihazlara uzaktan erişim sağlamak ve benzeri birçok durum için kötüye de kullanılabileceğini göstermektedir. 

ESET araştırmacıları, 2023 yılının ikinci yarısında Avrupa ülkelerindeki işletmeleri hedef alan bilinmeyen bir tehdit aktörünün yeni kimlik avı e-posta kampanyalarını fark etti. E-postalar, diğer kötü amaçlı yazılımları siber güvenlik araçlarından gizlemek için tasarlanmış bir hizmet olarak şifreleyici bir yazılım olan AceCryptor tarafından geliştirilmiş kötü amaçlı ekler içeriyordu. Başarılı olmaları halinde saldırganlar Rescoms’un (Remcos olarak da bilinir) uzaktan erişim aracını kullanabiliyor ve kurbanlarını gözetleyebiliyorlardı.

2022 yılı boyunca OilRig adlı bir siber casusluk grubu, kötü amaçlı iletişimini gizlemek için Microsoft Graph OneDrive, Microsoft Graph Outlook ve Microsoft Office EWS gibi yasal bulut hizmetlerinin Uygulama Programlama Arayüzünü (API) kötüye kullanan bir dizi indiriciyi aktif olarak geliştirdi ve kullandı. Örneğin ESET’in paylaştığı bir başka araştırmaya göre cihazlara zaten bulaşmış olan kötü amaçlı yazılımlar için gizli komutlar içeren taslak mesajlar oluşturmak üzere e-posta hesaplarını kötüye kullandılar.

Neyse ki bazen siber güvenlik uzmanları güvenlik açıklarını tehdit aktörlerinden daha erken buluyor. Haziran 2023’te, İngiltere merkezli güvenlik hizmetleri sağlayıcısı Jumpsec’in Red Team’i, hedef kuruluşun dışındaki bir hesap aracılığıyla Microsoft Teams’i kullanarak kötü amaçlı yazılım göndermenin kolay bir yolunu keşfetti. Red Team üyeleri yerleşik korumayı atlatarak sistemi harici bir kullanıcının aslında dahili bir hesap olduğunu düşünmesi için kandırmayı başardı.

Ek bulut güvenliği

Yukarıda açıklanan vakalar aracılığıyla bulut uygulamalarındaki yerel güvenliğin yeterli olmadığı açıktır. Bu büyüyen saldırı yüzeyini en aza indirmek için şirketler, bulutta barındırılan e-posta, iş birliği ve depolama için ek koruma katmanları ile Microsoft veya Google’ın yerleşik kontrollerini geliştirebilir. Bu ekstra koruma, saldırıları zarar vermeden önce önleyerek azaltmayı da hedeflemelidir.

Bulut güvenliği nasıl iyileştirilir?

• Spam filtreleme – Spam mesajlar, 2022 yılında dünya çapında her gün gönderilen ve alınan 333 milyar e-postanın yüzde 45‘inden fazlasını oluşturdu. Doğru filtreleme çözümü ile şirketler, çalışanlarının zamanından tasarruf edebilir ve kötü niyetli spam ile ilgili sorunlardan kaçınabilir. 
• Kimlik avı önleme – 2022’de siber saldırıya uğrayan her dört ABD şirketinden biri, ilk vektörün kimlik avı olduğunu fark etti. E-postalara eklenen kimlik avı bağlantılarını tanıyan otomatik bir araca sahip olmak işe yarayabilir. 
• Kötü amaçlı yazılımdan koruma taraması – İyi bir bulut güvenlik çözümü, kötü amaçlı yazılımların yürütülmesini veya yayılmasını önlemek için paylaşılan depolama alanındaki tüm yeni ve değiştirilmiş dosyaları otomatik olarak taramalıdır.
• Davranış analizi ve sandbox ortamı – Hızla gelişen BT dünyasında sürekli olarak yeni tehditler ortaya çıkmakta ve otomatik siber güvenlik araçlarının daha önce hiç görülmemiş saldırılara karşı hazırlıklı olması gerekmektedir. Bu, güvenli ve izole bir sanal alan ortamında şüpheli örneklerin derinlemesine davranış analizi ile yapılabilir. 

Tek platform

Elinizin altında bu kadar çok araç olması başka bir zorluk gibi görünebilir. Bu kadar sağlam bir bulut güvenliği sistemini nasıl yönetebilirsiniz?

Aslında BT ekiplerine her gün gelen uyarıların sayısı yöneticilerin sinirlerini bozmaya başladı bile. IBM tarafından yaptırılan ve Morning Consult tarafından tamamlanan Mart 2023 araştırmasına göre Güvenlik Operasyon Merkezi (SOC) ekip üyeleri tipik bir iş günü içinde incelemeleri gereken uyarıların yalnızca yarısına ulaşabiliyor.

Ancak bulut güvenliği için uygun bir çözüm, bazı süreçlerin otomatikleştirilmesi halinde işletmelerin siber güvenlik karmaşıklığını azaltabilir. İşte bazı örnekler:

• İş ortamındaki yeni kullanıcıların bir BT yöneticisi tarafından bir konsola manuel olarak eklenmesi gerekmez ancak hesapları oluşturulduktan sonra otomatik olarak korunur.
• BT yöneticileri, bir kontrol panelinde durumu sürekli kontrol etmek yerine yeni uyarılar hakkında anında bilgilendirilebilir.
• Karantinaya alınan şüpheli dosyalar tek bir yerden kolayca yönetilebilir ve gerektiğinde serbest bırakılabilir/silinebilir veya ayrı ayrı incelenebilir. 
• Çözümler, en çok kullanılan iki platform olan Microsoft 365 ve Google Workspace’te oluşturulan hesapları kapsayan on binlerce kullanıcıyla çok kiracılı yönetime olanak tanır.