Yaygın Cloud Zafiyetleri ve Güvenlik Riskleri Açıklandı

Cloud güvenlik açıkları, kötü niyetli aktörler tarafından istismar edilebilecek güvenlik kör noktaları veya giriş noktalarıdır.

Güvenlik açıklarının çoğunlukla çevre düzeyinde (güvenlik duvarları gibi) bulunabildiği geleneksel ortamların aksine, bulut güvenlik açıkları yanlış yapılandırmalar, erişim kontrolü, tanımlanmamış bir paylaşılan sorumluluk modeli, Gölge BT vb. gibi birden fazla alandan gelebilir.

Bir bulut ortamı doğası gereği birden fazla kullanıcı, iş ortağı, uygulama ve satıcı ile birbirine bağlıdır.

Böylesine geniş bir saldırı yüzeyi, bulut varlıklarının hesap ele geçirmeleri, kötü niyetli içeriden kişiler, hesap ele geçirmeleri, zayıf kimlik ve kimlik bilgisi yönetimi ve güvenli olmayan API'lerden gelen tehditlere maruz kaldığı anlamına gelir.

Tehditler ve güvenlik açıkları arasındaki bariz fark, aciliyetlerinde yatmaktadır.

Eğer bir güvenlik açığı arafta duran ve istismar edilmeyi bekleyen bir zayıflığı temsil ediyorsa, o zaman tehdit genellikle şu anda meydana gelen ve acil müdahale gerektiren kötü niyetli veya olumsuz bir olaydır.

Ardından, güvenlik açığı, kuruluşu bulut güvenliği tehditlerine ilk maruz bırakan şeydir.

Örneğin, bulut yanlış yapılandırmaları bir güvenlik açığını temsil eder, bu da zayıf erişim kontrollerine neden olabilir ve nihayetinde bir siber saldırı tehdidine yol açabilir.

Kısacası, güvenlik açığı bir zayıflıktır ve tehdit de bu zayıflıktan yararlanabilecek potansiyel eylem veya olaydır. Bulut kilitli bir kapı olsaydı, güvenlik açığı zayıf noktası olan bir kilit, tehdit ise birinin onu açmaya zorlaması olurdu.

Bulut altyapıları özünde çeşitli katmanlar ve bileşenler üzerine kuruludur; güvenlik açıkları her katmanda mevcut olabilir.

Yanlış veya aşırı izin verilen ayarların doğrudan bir sonucu olan yanlış yapılandırmalar, bir sistemi olması gerekenden daha az güvenli hale getirir. Bunlar bulut tabanlı konteynerlerde (yanlış yapılandırılmış S3 kovaları gibi), güvenlik duvarlarında veya yamalanmamış sanal makinelerde meydana gelebilir.

Yanlış yapılandırma örnekleri arasında özel olması gerekirken genel okuma ve yazma erişimi, güncel olmayan veya yamalanmamış izinler ve hatta şifreleme ayarlarının eksikliği yer alır.

Yanlış yapılandırmalar insan hatası, bilgi eksikliği veya kötü yazılmış otomasyon komut dosyaları nedeniyle meydana gelebilir ve veri kaybına veya sızıntılarına, bir saldırı durumunda itibarın zarar görmesine ve yasal standartlara uyulmamasına neden olabilir.

Yanlış yapılandırılmış bir web uygulaması güvenlik duvarının 100 milyondan fazla müşterinin hassas verilerini (Sosyal Güvenlik Numaraları dahil) içeren bir S3 kovasına yetkisiz erişimi mümkün kıldığı 2019 yılında CapitalOne'da durum böyleydi. CapitalOne bu ihlal nedeniyle 80 milyon dolar ceza ödemek zorunda kalmıştır.

Tanım gereği, bulut ortamları hızlı hareket eder, merkezi değildir ve genellikle güvenlik ekipleri tarafından tam olarak kontrol edilmez, bu nedenle belirli bir görünürlük eksikliği oluşur.

Bunun nedeni ya sağlayıcıların görünürlük için yalnızca temel araçlar sunması, daha derin izlemenin ekstra bir maliyet getirmesi ya da kuruluş içindeki ekiplerin yetersiz olması ve altyapıyı gerçekten izlemek için gereken buluta özgü becerilere sahip olmaması olabilir.

Kurumların güvenlik yerine hızı tercih etme eğilimi de buna katkıda bulunan bir faktördür.

Ancak görünürlük bir değer sağlayıcı değil de bir maliyet olarak görüldüğünde, saldırganlar bulut altyapısına sızabilir ve daha uzun süre fark edilmeden kalabilir.

Bir bulut ağı içinde bu kadar çok araç, gösterge tablosu ve günlük varken, neler olup bittiğine dair korelasyon kurmak ve eyleme dönüştürülebilir içgörüler elde etmek zordur.

Erişim yönetimi, hangi kullanıcının veya uygulamanın bir bulut varlığına erişebileceğini tanımlar.

Dijital kimliklerin yönetilmesini ve bulut hizmetlerine, uygulamalara ve verilere erişimin kontrol edilmesini içerir.

Hassas bilgilerin yetkili ellere geçmemesini sağlamak için bazı sınırların ve kısıtlamaların yürürlükte olması gerekir. Hesap ele geçirmelerinin yalnızca ABD'de 77 milyondan fazla kişiyi etkilediği bir dünyada, bazı uygulamalar çok önemli hale geliyor:

• MFA'nın (Çok Faktörlü Kimlik Doğrulama) Uygulanması
• En az ayrıcalıklı erişim ilkesini uygulamak (yalnızca görev gerektiriyorsa erişim izni vermek)
• İş işlevlerine göre erişimi yönetmek için rol tabanlı erişim kontrolünü kullanma

Aksi takdirde kuruluşlar veri ihlalleri, yönetmeliklere uyumsuzluk ve operasyonel aksaklıklar riskiyle karşı karşıya kalır.

Saldırganlar ele geçirilmiş bir hesap aracılığıyla bir sisteme sızabilir ve zayıf erişim politikalarını istismar edebilir, daha üst düzey kaynaklara veya sistemlere geçebilirler; amaç sistem üzerinde daha fazla kontrol elde etmek ve potansiyel olarak önemli hasara neden olmaktır.

Bir bulut altyapısı içinde API , farklı sistemlerin, hizmetlerin veya uygulamaların bulut ortamıyla etkileşime girmesine izin verebilir.

Bu da API'lerin verilere, altyapıya ve işlevselliğe erişimi kontrol edebileceği anlamına gelir.

Güvensiz bir API , erişim için geçerli bir kullanıcı veya belirteç gerektirmediği, gerekenden daha fazla erişim izni verdiği veya hassas verileri günlüğe kaydettiği anlamına gelebilir.

API'ler yanlış yapılandırılır veya açığa çıkarılırsa, saldırganlar tam kimlik bilgileri olmadan bile verilere (kullanıcı bilgileri, finansal bilgiler, sağlık kayıtları) erişebilir.

Peloton'un API 'sindeki bir güvenlik açığı, 2021'deherkesin özel profiller için bilekullanıcı hesabı verilerine erişmesine izin verdiğinde durum böyleydi. Pen Test Partners tarafından keşfedilen açık, kimliği doğrulanmamış isteklerin geçmesine izin vererek yaş, cinsiyet, konum, kilo, egzersiz istatistikleri ve doğum günleri gibi ayrıntıları açığa çıkardı.

Böylesine karmaşık bir veri tabanına erişim, doxxing, kimlik hırsızlığı veya sosyal mühendislik saldırılarına dönüşebilirdi.

Gölge BT, BT veya güvenlik departmanının bilgisi, onayı veya kontrolü olmadan bir kuruluş içinde yazılım, donanım veya diğer BT sistemlerinin kullanılması anlamına gelir.

Çalışanlar ya kolaylık sağlamak için ya da kötü niyetle, resmi olarak sağlanandan başka araçlar arayabilir ve kuruluşa önemli siber güvenlik riskleri getirebilir.

Uygulamada gölge BT şöyle görünebilir:

• Bir çalışanın hassas mühendislik belgelerini kişisel bulut depolama alanına yüklemesi.
• Endüstriyel sistemlerde sorun gidermek veya Kritik Altyapı'daki SCADA ortamlarına erişmek için yetkisiz uzaktan erişim araçları (AnyDesk gibi) kullanan kişiler.
• Kurumsal standartlar yerine doğrulanmamış platformlar (WhatsApp gibi) üzerinden görüntülü görüşmeler yapmak.

Kritik altyapı veya yüksek güvenlikli ortamlarda, gölge BT tehlikeli kör noktalar yaratabilir; veri sızıntısı, kötü amaçlı yazılım girişi veya mevzuata uyumsuzluk için yollar açabilir.

Kötü niyetli, ihmalkar veya tehlikeye atılmış içeridekileri tespit etmek, ilgili kullanıcı veya sistemin güvenilir yapısı nedeniyle daha zor olabilir.

Bu kişilerden kaynaklanan potansiyel zararlar veri ihlallerine, hizmet kesintilerine, mevzuat ihlallerine ve mali kayıplara yol açabilir.

Sıfır gün güvenlik açığı, keşfedildiği sırada mevcut bir düzeltmesi olmayan, önceden bilinmeyen bir güvenlik açığıdır ve satıcı farkına varmadan önce istismar edilebilir.

Bulut ortamlarında bu, bulut platformları API'leri, konteyner düzenleme sistemleri, SaaS uygulamaları veya bulutta barındırılan iş yüklerindeki güvenlik açıklarını içerir.

Bulutun dinamik, birbirine bağlı ve çok kiracılı yapısı, kusurların hızla yayılmasına ve birçok kaynağı etkilemesine izin verirken, kullanıcılar hızlı tespit için altyapıya yönelik gerekli görünürlükten yoksundur.

Ayrıca, bulut sistemlerinin yamalanması zaman alabilir ve Sıfır Günlere maruz kalma penceresini artırabilir.

2023 yılından itibaren bulutun yanlış yapılandırılmasının önlenmesinin şirketlerin yarısından fazlası için birincil endişe kaynağı olduğunu ortaya koyan bu rapor, olası sonuçların ciddiyetini gözler önüne seriyor.

Bulut güvenlik açıklarının en zarar verici sonuçlarından biri hassas verilerin açığa çıkması veya kaybolmasıdır.

Kuruluşlar müşteri kayıtlarını, özel bilgilerini veya operasyonel verilerini saklamak için genellikle bulut depolama çözümlerine güvenirler.

Dolayısıyla, bir ihlal kişisel kimliklerin, finansal bilgilerin, fikri mülkiyetin ve hatta ticari sırların çalınması anlamına gelebilir.

Bu tür olaylar, anlık etkilerinin ötesinde, uzun vadeli itibar kaybına ve müşteri güveninin sarsılmasına da yol açabilir.

Etkilenen bireyler hizmetleri bırakabilir ve ortaklar iş ilişkilerini yeniden gözden geçirebilir.

İhlal hızlı bir şekilde kontrol altına alınsa bile, soruşturma, iyileştirme, müşteri bilgilendirmesi ve olası davaların maliyeti, verimlilik kaybı ve marka erozyonunun fırsat maliyetleri de dahil olmak üzere milyonlarca dolara ulaşabilir.

Çoğu sektör, verilerin nasıl depolanması, erişilmesi ve korunması gerektiğine karar veren GDPR, HIPAA, PCI DSS veya CCPA gibi katı uyumluluk çerçeveleri tarafından yönetilmektedir.

Güvenlik açıkları yetkisiz erişime veya hassas veriler üzerinde yetersiz kontrole yol açtığında, şirketler bu yasaları ihlal etme riskiyle karşı karşıya kalır. Düzenleyiciler önemli para cezaları uygulayabilir, yasal işlemler başlatabilir veya operasyonel kısıtlamalar getirebilir.

Örneğin, Avrupa Birliği gibi yargı bölgelerinde, GDPR kapsamındaki cezalar yıllık küresel gelirin %4'üne kadar ulaşabilir ve bu da tek bir olayı bile yüksek riskli bir olaya dönüştürür.

Cloud güvenlik açıkları, kuruluşların güvenlik açığı risklerini azaltmak için tasarlanmış tüm metodolojileri geliştirebilecekleri kadar uzun süredir var.

Cloud altyapıları, düzenli olarak yeni hizmetler dağıtıldığı ve entegrasyonlar eklendiği için oldukça dinamiktir.

Bu değişikliklerin her biri, yanlış yapılandırma veya maruz kalma potansiyelini ortaya çıkararak güvenlik açığı değerlendirmesini devam eden bir görev haline getirir.

Kuruluşlar güvenlik açıklarını tespit edip yamalamaya başladıklarında bile, bazı sistemler güncellenmiş sürümlerle düzgün çalışmayabilir.

Bu gibi durumlarda, operasyonel süreklilik için belirli güvenlik açıklarının kalması gerekir ve bu da yönetimi önemli hale getirir.

Güvenlik ekiplerinin bu istisnaları belgelemek, ilgili riskleri değerlendirmek ve güvenlik açığını ağdan izole etmek gibi uygun kontrol stratejilerini uygulamak için yapılandırılmış bir yaklaşıma ihtiyacı vardır.

CSPM, altyapının yanlış yapılandırmalara, politika ihlallerine ve aşırı izin verilen erişim kontrollerine karşı taranmasını içerir.

CSPM, yazılım kusurlarına odaklanmak yerine, verilerin açığa çıkmasına veya uyumluluk hatalarına yol açabilecek mimari ve yapılandırma risklerini (yanlış yapılandırılmış S3 kovaları, şifrelenmemiş depolama veya IAM aktarımları) ele alır.

CSPM, bulut ortamlarına gerçek zamanlı görünürlük, uyumluluk çerçevelerine (CIS, PCI veya GDPR gibi) karşı otomatik kontroller ve yanlış yapılandırma konusunda uyarı sağlar.

CNAPP platformları, Cloud Güvenliği Duruş Yönetimi Cloud İş Yükü Koruma Platformları (CWPP) ve güvenlik açığı yönetimini tek bir çerçevede birleştirerek birden fazla koruma katmanını bir araya getirerek bulut güvenliğini geliştirir.

Altyapı yapılandırmasından iş yükü davranışına ve çalışma zamanı tehditlerine kadar uygulama yaşam döngüsü boyunca daha derin bilgiler sunarlar.

CNAPP'ler, ana bilgisayar tabanlı algılama, davranışsal izleme ve güvenlik açığı taramasını doğrudan sanal makinelere, kapsayıcılara ve sunucusuz ortamlara yerleştirerek diğer güvenlik araçlarıyla entegre olabilir.

Şirket içi ortamlarda, güvenlik açıkları büyük olasılıkla çevre düzeyinde ortaya çıkacaktır; kuruluşun dahili, güvenli ağı ile harici, genellikle güvenilmeyen ağ arasındaki sınır.

Şirket içi güvenlik açıkları eski yazılımlar, yanlış yapılandırılmış sunucular, donanım arızaları ve hatta fiziksel güvenlik ihlalleri anlamına gelebilir.

Ancak bulut ortamlarında, kimlik ilk ve en kritik güvenlik sınırı haline geldiğinden, güvenlik duvarları ve ağlar artık sabit bir çevre oluşturmamaktadır.

Temel güvenlik ilkeleri geçerliliğini korusa bile bulut, özellikle sorumluluk, görünürlük ve varlıkların değişkenliği konularında yeni dinamikler ortaya çıkarmaktadır.

Cloud ortamları, tehlikenin yetkisiz fiziksel erişim, içeriden saldırılar veya çevre ihlalleri gibi iyi anlaşılmış risklerde yattığı şirket içi ortamların aksine, çoğunlukla dinamik, API tehditlere maruz kalmaktadır.

Temel farklılıklar arasında, ihlallerin önde gelen nedeni olarak yanlış yapılandırmaların yaygınlığı, genellikle geleneksel tarama araçlarından kaçan kısa ömürlü kaynakların (konteynerler, sunucusuz işlevler) varlığı ve kimlik tabanlı saldırıların daha sık görülmesi ve saldırganlar tarafından tercih edilmesi yer almaktadır.

Ayrıca, çoğunlukla daha önce tartışılan paylaşılan sorumluluk modeli nedeniyle güvenlik sorumlulukları da bulutta değişmektedir.

Bu çerçevede kuruluşlar, dosya işleme etrafındaki tüm mantık dahil olmak üzere verilerin, uygulamaların, yapılandırmaların ve kimliklerin güvenliğini sağlamaktan sorumludur:

• Yüklenen dosyaları doğrulama ve temizleme.
• Nesne veya kova düzeyinde erişim izinlerini yapılandırma.
• Verilerin aktarım sırasında ve beklemede şifrelenmesi.
• Bulut depolama etkileşimlerinde izleme ve tehdit tespitinin uygulanması.

Son olarak, bulutun hızına ve karmaşıklığına ayak uydurmak için güvenlik liderlerinin hem tehditlerin dilini hem de değişen doğasını anlaması gerekir.

DevOps, güvenlik ve liderlik ekipleri arasında ortak bir kelime dağarcığı, koordineli savunma için temeldir ve tüm ekip üyeleri aşağıdaki gibi temel endüstri terimleri etrafında hizalanmalıdır: