KOBİ’lerin yaptığı yedi bulut güvenliği hatası

Bulut bilişim, günümüzün dijital ortamının kıymetli bir bileşeni. BT altyapısı, platformları ve yazılımları günümüzde bir hizmet olarak sunuluyor. Küçük ve orta ölçekli işletmelere daha çok hitap eden tahliller riskleri de beraberinde getiriyor. Siber güvenlik şirketi ESET, KOBİ’lerin yaptığı en değerli yedi bulut güvenliği yanlışını belirledi, hakikat bulut güvenliğine ait yapılması gerekenleri  sıraladı. 

Bulut tahlilleri KOBİ’lere daha büyük rakiplerle oyun alanını eşitlemek için fırsatlar sunuyor. Daha fazla iş çevikliği ve gelir sarfiyat istikrarını bozmadan süratli ölçeklendirme sağlıyor. Yapılan araştırmalar global ölçekte KOBİ’lerin yüzde 53’ünün bulut için yıllık 1,2 milyon doların üzerinde harcama yaptıklarını ortaya koyuyor. Lakin dijital dönüşüm riskleri de beraberinde getiriyor. KOBİ’ler tarafından belirtilen ikinci ve üçüncü en değerli bulut zorlukları güvenlik (%72) ve uyumluluk (%71) olarak görünüyor. Bu zorlukların üstesinden gelmenin birinci adımı, küçük işletmelerin bulut dağıtımlarında yaptıkları ana yanlışları anlamaktır.

KOBİ’lerin yaptığı en değerli hatalar

En büyük ve en âlâ kaynaklara sahip işletmeler bile bazen güvenlikle ilgili  temel hususları atlıyor. Bu kör noktaları ortadan kaldırarak, kuruluşunuz potansiyel olarak önemli finansal yahut prestij riskine maruz kalmadan bulut kullanımını optimize etme yolunda büyük adımlar atabilir.

Çok faktörlü kimlik doğrulama (MFA) kullanmamak Statik parolalar tabiatı gereği inançsızdır ve her işletme sağlam bir parola oluşturma siyasetine bağlı kalmaz. Parolalar kimlik avı, kaba kuvvet prosedürleri yahut basitçe kestirim üzere çeşitli yollarla çalınabilir. Bu nedenle MFA, saldırganların kullanıcılarınızın SaaS, IaaS yahut PaaS hesap uygulamalarına erişmesini çok daha sıkıntı hale getirecek ve böylelikle fidye yazılımı, data hırsızlığı ve öteki mümkün sonuç risklerini azaltacaktır. Öbür bir seçenek de mümkünse parolasız kimlik doğrulama üzere alternatif kimlik doğrulama usullerine geçmektir.

Bulut sağlayıcısına (CSP) çok fazla güvenmek Birçok BT önderi buluta yatırım yapmanın her şeyi sağlam bir üçüncü tarafa yaptırmak manasına geldiğine inanıyor. Bu yalnızca kısmen doğrudur. Bulutun güvenliğini sağlamak için CSP ve müşteri ortasında paylaşılan bir sorumluluk modeli vardır. Nelere dikkat etmeniz gerektiği bulut hizmetinin cinsine (SaaS, IaaS yahut PaaS) ve CSP’ye bağlı olacaktır. Sorumluluğun birden fazla sağlayıcıda olsa bile  ek üçüncü taraf denetimlerine yatırım yapmak işe yarayabilir.

Başarısız yedekleme Bulut sağlayıcınızın (örneğin evrak paylaşma, depolama hizmetleri için) ardınızda olduğunu varsaymayın. Her vakit en berbat senaryo için plan yapmak yararlı olacaktır; bu senaryo büyük olasılıkla bir sistem arızası ya da siber taarruzdur. Kuruluşunuzu etkileyecek olan sadece data kaybı değil, tıpkı vakitte bir olayın akabinde gelebilecek kesinti müddeti ve üretkenlik darbesidir.

Düzenli yama yapmamak Yama yapmazsanız bulut sistemlerinizi güvenlik açığı istismarına maruz bırakmış olursunuz. Bu da makus emelli yazılım bulaşmasına, bilgi ihlallerine ve daha fazlasına neden olabilir. Yama idaresi, şirket içinde olduğu kadar bulutta da geçerli olan temel bir en yeterli güvenlik uygulamasıdır.

Yanlış bulut yapılandırması Bulut sağlayıcıları yenilikçi bir kümedir. Lakin müşteri geri bildirimlerine karşılık olarak sundukları çok sayıda yeni özellik ve yetenek, birçok KOBİ için inanılmaz derecede karmaşık bir bulut ortamı yaratabilir. Bu da hangi yapılandırmanın en inançlı olduğunu bilmeyi çok daha güç hale getirir. Yaygın yanılgılar ortasında bulut depolamayı rastgele bir üçüncü tarafın erişebileceği halde yapılandırmak ve açık portları engellememek yer alıyor.

Bulut trafiğinin izlenmemesi  Günümüzde bulut ortamınızın ihlal edilmesinin “eğer” değil “ne zaman” gerçekleşeceğinin kıymetli olduğu yaygın bir görüştür. Bu durum, işaretleri erkenden tespit etmek ve bir saldırıyı kurumu etkileme talihi bulmadan evvel denetim altına almak için süratli tespit ve müdahaleyi kritik hale getirmektedir. Bu da daima izlemeyi bir mecburilik haline getirir.

Kurumsal dataları şifrelemede başarısız olmak Hiçbir ortam yüzde 100 ihlal edilemez değildir. Pekala makûs niyetli bir taraf en hassas dahili bilgilerinize yahut yüksek seviyede düzenlenmiş çalışan yahut müşteri ferdî bilgilerinize ulaşmayı başarırsa ne olur? Datalarınızı olduğu yerde ve transfer sırasında şifreleyerek, ele geçirildiklerinde bile kullanılamayacağından emin olursunuz.

Doğru bulut güvenliği

Bulut güvenliği risklerinin üstesinden gelmenin birinci adımı, sorumluluklarınızın nerede olduğunu ve hangi alanların bulut sağlayıcıları (CSP) tarafından ele alınacağını anlamaktır. Akabinde CSP’nin buluta mahsus güvenlik denetimlerine güvenip güvenmediğinize yahut bunları ek üçüncü taraf eserlerle geliştirmek isteyip istemediğinize karar vermeniz gerekir. Aşağıdaki hususları  göz önünde bulundurun:

• Dünyanın önde gelen bulut sağlayıcıları tarafından sunulan bulut hizmetlerinde yerleşik olarak bulunan güvenlik özelliklerine ek olarak e-posta, depolama ve iş birliği uygulamalarınız için bulut güvenliğinizi ve korumanızı geliştirmek üzere üçüncü taraf güvenlik tahlillerine yatırım yapın.
• Hızlı olay müdahalesi ve ihlalin denetim altına alınması yahut güzelleştirilmesi için genişletilmiş, yönetilen tespit ve müdahale (XDR/MDR) araçları ekleyin.
• Güçlü varlık idaresi üzerine inşa edilmiş daima risk tabanlı bir yama programı geliştirin ve uygulayın (yani, hangi bulut varlıklarına sahip olduğunuzu bilin ve akabinde bunların her vakit yeni olmasını sağlayın)
• Kötü niyetli bireylerin eline geçse bile korunmasını sağlamak için bekleyen (veri tabanı düzeyinde) ve aktarılan dataları şifreleyin. Bu birebir vakitte tesirli ve daima data keşfi ve sınıflandırması gerektirecektir.
• Net bir erişim denetim siyaseti tanımlayın; güçlü parolalar, MFA, en az ayrıcalık unsurları ve belli IP’ler için IP tabanlı kısıtlamalar/izin listeleri zarurî kılın.
• Ağ segmentasyonu ve öteki denetimlerin yanı sıra üstteki ögelerin birçoklarını (MFA, XDR, şifreleme) içerecek bir Sıfır İtimat yaklaşımını benimsemeyi düşünün

Kaynak: (BYZHA) Beyaz Haber Ajansı