Bu hatalardan kaçınarak şirketinizi siber riske maruz bırakmadan bulut güvenliği yolunda büyük adımlar atabilirsiniz.
Bulut bilişim, günümüzün dijital ortamının önemli bir bileşenidir. BT altyapısı, platformları ve yazılımları günümüzde geleneksel şirket içi yapılandırmadan ziyade bir hizmet olarak (IaaS, PaaS ve SaaS kısaltmaları buradan gelmektedir) sunulmaktadır. Bu da küçük ve orta ölçekli işletmelere (KOBİ’ler) daha çok hitap ediyor.
Bulut, daha büyük rakiplerle oyun alanını eşitlemek için bir fırsat sunarak daha fazla iş çevikliği ve gelir gider dengesini bozmadan hızlı ölçeklendirme sağlar. Yakın tarihli bir raporda ankete katılan küresel KOBİ’lerin %53’ünün bulut için yıllık 1,2 milyon doların üzerinde harcama yaptıklarını söylemesinin nedeni bu olabilir; geçen yıl bu oran %38’di.
Ancak dijital dönüşüm riskleri de beraberinde getiriyor. KOBİ’ler tarafından en sık belirtilen ikinci ve üçüncü en önemli bulut zorlukları güvenlik (%72) ve uyumluluk (%71) olarak görünüyor. Bu zorlukların üstesinden gelmenin ilk adımı, küçük işletmelerin bulut dağıtımlarında yaptıkları ana hataları anlamak ve doğru bulut güvenliği sağlamaktır.
KOBİ’lerin yaptığı en önemli yedi hata
Açık olalım, bunlar sadece KOBİ’lerin yaptığı hatalar değil. En büyük ve en iyi kaynaklara sahip işletmeler bile bazen temel konuları atlıyor. Ancak bu kör noktaları ortadan kaldırarak, kuruluşunuz potansiyel olarak ciddi finansal veya itibar riskine maruz kalmadan optimize bulut güveliği yolunda büyük adımlar atabilir.
- Çok faktörlü kimlik doğrulama (MFA) kullanmamak
Statik parolalar doğası gereği güvensizdir ve her işletme sağlam bir parola oluşturma politikasına bağlı kalmaz. Parolalar kimlik avı, kaba kuvvet yöntemleri veya basitçe tahmin gibi çeşitli yollarla çalınabilir. Bu nedenle MFA, saldırganların kullanıcılarınızın SaaS, IaaS veya PaaS hesap uygulamalarına erişmesini çok daha zor hale getirecek ve böylece fidye yazılımı, veri hırsızlığı ve diğer olası sonuç risklerini azaltacaktır. Diğer bir seçenek de mümkünse parolasız kimlik doğrulama gibi alternatif kimlik doğrulama yöntemlerine geçmektir.
- Bulut sağlayıcısına (CSP) çok fazla güvenmek
Birçok BT lideri buluta yatırım yapmanın her şeyi güvenilir bir üçüncü tarafa yaptırmak anlamına geldiğine inanıyor. Bu sadece kısmen doğrudur. Aslında, bulutun güvenliğini sağlamak için CSP ve müşteri arasında paylaşılan bir sorumluluk modeli vardır. Nelere dikkat etmeniz gerektiği bulut hizmetinin türüne (SaaS, IaaS veya PaaS) ve CSP’ye bağlı olacaktır. Sorumluluğun çoğu sağlayıcıda olsa bile (örneğin SaaS’ta), ek üçüncü taraf kontrollerine yatırım yapmak işe yarayabilir.
- Başarısız yedekleme
Yukarıdakilere göre, bulut sağlayıcınızın (örneğin dosya paylaşma/depolama hizmetleri için) arkanızda olduğunu varsaymayın. Her zaman en kötü senaryo için plan yapmak faydalı olacaktır; bu senaryo büyük olasılıkla bir sistem arızası ya da siber saldırıdır. Kuruluşunuzu etkileyecek olan yalnızca veri kaybı değil, aynı zamanda bir olayın ardından gelebilecek kesinti süresi ve üretkenlik darbesidir.
- Düzenli yama yapmamak
Yama yapmazsanız bulut sistemlerinizi güvenlik açığı istismarına maruz bırakmış olursunuz. Bu da kötü amaçlı yazılım bulaşmasına, veri ihlallerine ve daha fazlasına neden olabilir. Yama yönetimi, şirket içinde olduğu kadar bulutta da geçerli olan temel bir en iyi güvenlik uygulamasıdır.
- Yanlış bulut yapılandırması
CSP’ler yenilikçi bir gruptur. Ancak müşteri geri bildirimlerine yanıt olarak sundukları çok sayıda yeni özellik ve yetenek, birçok KOBİ için inanılmaz derecede karmaşık bir bulut ortamı yaratabilir. Bu da hangi yapılandırmanın en güvenli olduğunu bilmeyi çok daha zor hale getirir. Yaygın hatalar arasında bulut depolamayı herhangi bir üçüncü tarafın erişebileceği şekilde yapılandırmak ve açık portları engellememek yer alıyor.
- Bulut trafiğinin izlenmemesi
Günümüzde bulut (IaaS/PaaS) ortamınızın ihlal edilmesinin “eğer” değil “ne zaman” gerçekleşeceğinin önemli olduğu yaygın bir görüştür. Bu durum, işaretleri erkenden tespit etmek ve bir saldırıyı kurumu etkileme şansı bulmadan önce kontrol altına almak için hızlı tespit ve müdahaleyi kritik hale getirmektedir. Bu da sürekli izlemeyi bir zorunluluk haline getirir.
- Kurumsal verileri şifrelemede başarısız olmak
Hiçbir ortam %100 ihlal edilemez değildir. Peki kötü niyetli bir taraf en hassas dahili verilerinize veya yüksek düzeyde düzenlenmiş çalışan/müşteri kişisel bilgilerinize ulaşmayı başarırsa ne olur? Verilerinizi olduğu yerde ve aktarım sırasında şifreleyerek, ele geçirildiklerinde bile kullanılamayacağından emin olursunuz.
Doğru bulut güvenliği
Bu bulut güvenliği risklerinin üstesinden gelmenin ilk adımı, sorumluluklarınızın nerede olduğunu ve hangi alanların CSP tarafından ele alınacağını anlamaktır. Ardından CSP’nin buluta özgü güvenlik kontrollerine güvenip güvenmediğinize veya bunları ek üçüncü taraf ürünlerle geliştirmek isteyip istemediğinize karar vermeniz gerekir. Aşağıdakileri göz önünde bulundurun:
- Dünyanın önde gelen bulut sağlayıcıları tarafından sunulan bulut hizmetlerinde yerleşik olarak bulunan güvenlik özelliklerine ek olarak e-posta, depolama ve iş birliği uygulamalarınız için bulut güvenliğinizi ve korumanızı geliştirmek üzere üçüncü taraf güvenlik çözümlerine yatırım yapın
- Hızlı olay müdahalesi ve ihlalin kontrol altına alınması/iyileştirilmesi için genişletilmiş veya yönetilen tespit ve müdahale (XDR/MDR) araçları ekleyin
- Güçlü varlık yönetimi üzerine inşa edilmiş sürekli risk tabanlı bir yama programı geliştirin ve uygulayın (yani, hangi bulut varlıklarına sahip olduğunuzu bilin ve ardından bunların her zaman güncel olmasını sağlayın)
- Kötü niyetli kişilerin eline geçse bile korunmasını sağlamak için bekleyen (veri tabanı düzeyinde) ve aktarılan verileri şifreleyin. Bu aynı zamanda etkili ve sürekli veri keşfi ve sınıflandırması gerektirecektir
- Net bir erişim kontrol politikası tanımlayın; güçlü parolalar, MFA, en az ayrıcalık ilkeleri ve belirli IP’ler için IP tabanlı kısıtlamalar/izin listeleri zorunlu kılın
- Ağ segmentasyonu ve diğer kontrollerin yanı sıra yukarıdaki unsurların çoğunu (MFA, XDR, şifreleme) içerecek bir Sıfır Güven yaklaşımını benimsemeyi düşünün
Yukarıdaki önlemlerin birçoğu, şirket içinde uygulanması beklenen en iyi uygulamalarla aynıdır. Detaylar farklı olsa da yüksek seviyede öyledir. En önemlisi, unutmayın ki bulut güvenliği yalnızca sağlayıcının sorumluluğunda değildir. Siber riski daha iyi yönetmek için bugün kontrolü ele alın.
İlgili makale: 2022 ESET KOBİ Dijital Güvenlik Duyarlılık Raporu