2024 yılında, bulut güvenliği stratejilerini değerlendiren CISO¹‘ların, koddan buluta proaktif korumalar sağlayabilen uçtan uca bir çözüme öncelik vermesi gerekiyor.

2023, bulut güvenliği açısından hareketli bir yıldı. MOVEit dosya aktarım sunucusu uygulamasında kapsamlı bir sıfır günlük güvenlik açığının keşfi ve yatay hareket için bulut kimlik bilgilerini hedef alan saldırganların sayısındaki artış gibi birden fazla yüksek profilli olay gördük . Genel olarak, şirketlerin yarısından fazlası (%58) 2023’te bulut tabanlı kimlik avı saldırıları yaşadı ve %30’u bulut altyapılarına yönelik hedefli saldırılar bildirdi. Ayrıca, tehdit aktörleri uygulama yaşam döngüsünün daha erken dönemlerinde “sola kaymaya” devam ettikçe DevOps veri iletişim yollarının ve bulut depolama çözümlerini hedef alan yeni saldırı taktiklerinde de artış oldu.

Bu iç görüler, karmaşık çoklu bulut ortamlarını korumanın ne kadar zor olabileceğinin altını çiziyor. Ancak, bir adım geri çekilip geçen yılın en büyük bulut güvenliği trendlerinden bazılarını inceleyerek, en son düşmanca taktikler, teknikler ve prosedürlerin bir adım önünde kalmak için gelecekteki korumaları daha iyi geliştirebiliriz.

2023’ün en önemli trendlerinden haberdar olarak, 2024’te bulut güvenliği stratejinizi nasıl uyarlayabileceğinizi öğrenmek için hadi okumaya devam.

2024’te izlenecek 3 temel bulut güvenliği trendi

1. Kuruluşlar, buluttaki tüm uygulama yaşam döngüsü boyunca güvenliği birleştirmeyi hedefliyor. Giderek daha fazla şirket bulut odaklı bir yaklaşımı benimserken, veri güvenliği duruş yönetimi, DevOps güvenlik duruş yönetimi, harici saldırı yüzeyi yönetimi, konteyner güvenliği ve daha fazlası gibi daha önce ayrılmış yeteneklerin tek bir bulut güvenlik şemsiyesi altında toplandığını görüyoruz.

Saldırganlar “sola kaydığında” ve kod açıklarını hedef aldığında, uygulama geliştirmenizi en baştan güvence altına almak kritik önem taşır. Bunu yapmak için, kuruluşlar güvenliği DevOps sürecine entegre etmeli ve güvenlik ekiplerine artan görünürlük ve politika yönetimi uygulaması sağlamalıdır. Bunu bireysel nokta çözümleriyle başarmaya çalışmak yerine, birçok şirket bulut tabanlı uygulama koruma platformları (CNAPP²‘ler) biçiminde tedarikçi konsolidasyonuna öncelik veriyor. Şirketlerin yüzde kırkı 2023’te bir CNAPP kullandığını bildirdi ve bir diğer yüzde 45’i 2024’ün sonuna kadar bir tane uygulamayı planlıyor.

Bunun nedeni, CNAPP’lerin güvenlik ve geliştirici ekiplerinin güvenlik politikalarını tek bir merkezi panodan inceleyip uygulayabileceği birleşik bir komuta merkezi görevi görmesidir. Bu, yalnızca tüm bulut işletmeniz genelinde güvenlik sinyallerini ilişkilendirmeye ve bağlamlandırmaya yardımcı olmakla kalmaz, aynı zamanda uygulama geliştirmenin en erken aşamalarından dağıtım ve çalışma zamanına kadar daha kapsamlı koruma sağlar. Bu yetenek, kuruluşların siber güvenlikteki devam eden “sola kayma” eğilimine karşı koyması için kritik öneme sahiptir.

2. Üretken AI, bulut güvenliğinde kritik bir ihtiyaç olarak ortaya çıkıyor. AI ayrıca 2023’te öne çıktı ve muhtemelen 2024’te bulut güvenliğinin kritik bir sağlayıcısı olmaya devam edecek. En büyük avantajlarından biri, AI’nın yöneticilerin günlük olarak aldığı binlerce güvenlik sinyalini hızlı bir şekilde analiz edebilmesi ve önceliklendirebilmesidir; bu da ekiplerin gerçek zamanlı tehdit algılama ve otomatik yanıt durumuna gelmesine yardımcı olur.

Güvenlik yöneticilerinin zaman alıcı ve kritik gözden kaçan sinyallere yol açabilen farklı uyarıları ayıklaması yerine, makine öğrenimi büyük miktardaki verilerdeki kalıpları belirlemek, ilgili sinyalleri yanlış güvenlik uyarılarından ayırmak ve uyarıları kuruluş üzerindeki potansiyel etkilerine göre önceliklendirmek için kullanılabilir. Bu, güvenlik ekiplerinin günlük uyarı selinde boğulmak yerine dikkatlerini düzeltmeye odaklamalarını sağlar.

Üretken AI’daki yeni gelişmeler, verimlilik ve ölçek yaratırken daha genç güvenlik yöneticilerinin becerilerinin artırılmasına da yardımcı olabilir. Örneğin, şirketlerin neredeyse yarısı (%46) , 2023’te bulut ortamlarında DevSecOps’u uygulamak için gereken güvenlik uzmanlığından yoksun olduğunu bildirdi. Bir CNAPP’nin parçası olarak yerleştirildiğinde, üretken AI proaktif olarak düzeltmeler önerebilir ve yöneticileri şirketin önceden tanımlanmış güvenlik politikalarına uygun şekilde olay müdahalesi boyunca yönlendirebilir.

3. CISO’lar giderek daha katı uyumluluk ve risk ifşa gereklilikleriyle karşı karşıya. Son olarak, 2023’te siber güvenlik yöneticilerine karşı bir dizi yüksek profilli dava görüldü. Mayıs ayında, Uber’in eski CSO³‘su Joseph Sullivan, 2016’da yolculuk paylaşım şirketinin veri ihlalinin örtbas edilmesindeki rolü nedeniyle üç yıl denetimli serbestlik cezasına çarptırıldı ve 50.000 dolar para cezasına çarptırıldı. Daha yakın zamanda, Kasım ayında SEC, SolarWinds ve CISO’su Timothy Brown’a şirketin 2020 siber saldırısıyla ilgili dolandırıcılık ve iç kontrol hataları nedeniyle çığır açıcı bir dava açtı.

Özellikle SolarWinds davası, federal hükümetin siber güvenlik olaylarını ele alış biçiminde önemli bir dönüm noktasını temsil ediyor; çünkü şirketlerin, içeriden eğitim veya diğer ciddi mali suçlarda olduğu gibi siber güvenlikle ilgili uygunsuz davranışlardan da sorumlu tutulabilmesinin önünü açıyor.

2024’e doğru ilerlerken, CISO’lar yetersiz personel ve sıkılaşan bütçelerin halihazırda var olan baskısının yanı sıra giderek daha sıkı endüstri düzenleme gereklilikleri ve artan medya incelemesiyle karşı karşıya kalmaya devam edecek. Birçok güvenlik lideri, ayrı bir nokta çözümü benimsemek zorunda kalmadan daha sağlam uyumluluk ve yönetişim kontrolleri uygulamak istiyor. CNAPP’ler, güvenlik ekiplerinin ortamlarının yapılandırmalarını sürekli olarak gerekli endüstri düzenlemelerine eşleyebilecekleri merkezi bir çözüm olarak hareket ederek yardımcı olabilir. Bu ayrıca, güvenlik yönetici ekipleri için kapsamlı görünürlük ve raporlama sağlarken tüm çoklu bulut ve hibrit ortamlarda tutarlı güvenlik standartlarının sağlanmasına yardımcı olur.

Bulut güvenliğini değerlendirirken birleşik bir CNAPP çözümünü göz önünde bulundurun

CISO’lar 2024’te bulut güvenlik stratejilerini değerlendirirken, satıcı konsolidasyonu en önemli önceliktir. CISO’lar, birden fazla nokta çözümünü yönetmekle gelen ek yükü idare etmeye gerek kalmadan tüm bulut varlıkları boyunca koddan buluta koruma sağlayabilen bütünsel bir güvenlik çözümü ister. Şirketler, daha önce silolanmış güvenlik araçlarını tek bir şemsiye altında birleştiren birleşik bir CNAPP çözümü benimseyerek iki önemli avantaj elde eder.

Öncelikle, CNAPP’ler CSPM⁴, bulut iş yükü koruma platformları (CWPP’ler), DevOps güvenliği ve bulut altyapı hak yönetimi (CIEM) genelindeki iç görüleri entegre ederek bulut uygulamalarınız ve altyapınız için daha bütünsel korumalar sağlar. Bu yalnızca daha derin, daha bağlamsallaştırılmış güvenlik öğrenimleri sağlamakla kalmaz, aynı zamanda şirketlerin bulut tabanlı uygulamalar, sanal makineler, veriler, bulut iş yükleri ve daha fazlası genelinde tüm olası saldırı yollarını haritalayabilecekleri proaktif risk yönetimi konumuna gelmelerini sağlar. Buradan, gelecekteki riskleri daha kolay belirleyebilir ve saldırganlar güvenlik açığından yararlanma şansına sahip olmadan önce bunları düzeltebilirler. Bu, şirketlerin bulut güvenliğine yaklaşım biçiminde önemli bir adım değişikliğidir, çünkü tüm bulut mülkünde risk derecelerini proaktif olarak anlamalarına ve buna göre yanıt vermelerine olanak tanır

İkinci olarak, CNAPP’ler geliştirici ekipleri ve güvenlik yöneticileri arasında bir köprü görevi görür. Geliştiriciler, kodlarına yerleştirmeleri gereken güvenlik politikalarını görüntülemek için CNAPP’leri ortak bir gösterge paneli olarak kullanabilirler. Bazı CNAPP’ler bunu bir eklenti yeteneği olarak sunar, ancak Microsoft’ta bu, Github, Azure DevOps ile yerel araç entegrasyonları aracılığıyla yapılır ve GitLab’a da genişletilir. Bu, geliştiricilerin güvenlik en iyi uygulamalarını takip ederken tercih ettikleri araçta çalışabilmelerini sağlar. Benzer şekilde, güvenlik yöneticileri, güvenliği baştan itibaren koda yerleştirmek ve tüm ilgili politikaların sektör standartlarına göre ayarlanıp uygulandığından emin olmak için CNAPP’leri kullanabilirler.

Microsoft’un CNAPP çözümü olan Defender for Cloud, güvenlik ekiplerini en son iç görülerle güçlendirmek için lider tehdit istihbaratını ve 65 trilyon günlük güvenlik sinyalinin ölçeğini kullanır. Bu, güvenlik yöneticilerinin mevcut saldırı vektörlerini belirlemek ve bunları bilinen en iyi uygulamalara göre düzeltmek için ihtiyaç duydukları iç görülerle donatılmasını sağlar.

Sonuç olarak, CISO’lar 2024’te bulut güvenliği stratejilerini değerlendirmeyi düşündüklerinde, dikkate alınması gereken birden fazla önemli faktör vardır. Bulut güvenliğinin tanımı daha ayrıntılı ve ayrıntılı hale geldikçe, CISO’ların koddan buluta kapsamlı, proaktif korumalar sağlayabilen ve aynı zamanda yönetişim ve uyumluluk gibi kritik yetenekleri entegre edebilen uçtan uca bir çözüme ihtiyaçları vardır. Ayrıca, güvenlik ekiplerinin saldırganların hızında hareket edebilmesini sağlamak için yapay zeka ve makine öğrenimindeki en son gelişmelerden yararlanmak için kolaylaştırılmış bir yola ihtiyaçları vardır. Doğru birleşik CNAPP çözümü, CISO’ların bulut güvenliği stratejilerini günümüzün en acil ihtiyaçlarını karşılayacak şekilde geliştirmelerine yardımcı olabilir.

Daha fazla bilgi edinmek için bizi burayı ziyaret etmenizi tavsiye ederim.

Barış YILMAZ

1. Baş Bilgi Güvenliği Yöneticisi (Chief Information Security Officer) (CISO), şirketlerin dijital güvenliğinden sorumlu üst düzey bir profesyoneldir. ↩︎
2. CNAPP, bulut güvenliği tehditlerini önleme, algılama ve karşılık vermeye yönelik güvenlik ve uyumluluk özelliklerini birleştiren hepsi bir arada bir platform için ilk kez 2021’de Gartner tarafından kullanılan terimdir. ↩︎
3. CSO, İngilizce Chief Security Officer kelimelerinin baş harflerinden oluşmaktadır ve Güvenlik Bölümü Başkanıdır. CSO, güvenlik stratejisi ve programları geliştirerek uygular ve yönetir. Fikri mülkiyetin korunması ve iş operasyonları ile ilgili süreçlerin geliştirilmesinde liderlik yapar. ↩︎
4. Bulut güvenlik duruşu yönetimi (CSPM), çeşitli bulut ortamlarında/altyapılarında yanlış yapılandırmaları aramak için görünürlük, kesintisiz izleme, tehdit algılama ve düzeltme iş akışlarını otomatikleştirerek riski tanımlar ve düzeltir: Hizmet olarak altyapı (IaaS) ↩︎