Bizi takip edin

Makale

Bulut Bilişime Yönelik Siber Tehditler

tarihinde yayımlandı

Bulut bilişim; paylaşımına izin verilen verilerin ‘bulut’ adı verilen internet ortamında tutulması ve belli prosedürlerle (izinlerle) söz konusu ortama giriş yapılarak kullanımını esas alan bilişim hizmetleri şeklinde özetlenebilir.

Örneğin yaygın kullanıma sahip Google Drive, en temel bulut bilişim platformları arasında. Bu nedenle de bulutun kolayca anlaşılmasına katkı sağlayabilir…

Google Drive, internete bağlı akıllı telefon, bilgisayar, vb. üzerinden kullanıcı adı/şifre kombinasyonuyla giriş yapılabilen bir tür kişisel depolama alanı. İnternet üzerinden erişim sağlanan ve yönetilen bu depolama alanına verilen izinler kapsamında veri yükleyebiliyor, yüklü verileri cihazlarınıza indirebiliyor, başka kullanıcılarla paylaşabiliyorsunuz. Veriler üzerinde çeşitli düzenlemeler yapabiliyorsunuz, vb.

Bulut bilişim 4 farklı kullanım amacına sahip, bunlar;

  • Genel Bulut (Public Cloud)

İnternet üzerinden dileyen herkesin kullanabildiği, yönetimi ve işletimi hizmet sağlayıcıya ait olan sınıf. Google Drive, Yandex.Disk gibi. 

  • Özel Bulut (Private Cloud)

Kurumlara yönelik olarak gelişmiş güvenlik özelliklerine sahip sınıf. Hizmet, kurumun kendisinde ya da hizmet sağlayıcıda olabilir. Kurum dışından erişime kapalıdır. Windows Azure, Google Apps gibi.

  • Topluluk Bulutu (Community Cloud)

Belirli bir topluluğun yazılım ile erişim sağlayabildiği verileri kapsayan bulut bilişim sınıfı. Özel Bulut’a göre farkı ise birden çok işletme tarafından kullanılabilmesi.

  • Melez Bulut (Hybrit Cloud)

Genel ve Özel Bulut hizmetlerinin aynı anda kullanımını temel alır.

Bulut bilişim ile ilgili bir diğer öne çıkan bilgi de hizmet modelleri. Bu kapsamda Bulut Yazılım Hizmeti (SaaS), Bulut Platform Hizmeti (PaaS) ve Bulut Altyapı Hizmeti (IaaS) kavramları geliyor. İsimlendirmelerle yakın tanımlar sunan bu kavramlardan Bulut Yazılım Hizmeti’nde gerekli her şey servis sağlayıcısı tarafından karşılanır. Bulut Platform Hizmeti’nde platform hizmet sağlayıcı tarafından karşılanırken gerekli yazılımlar müşteri tarafından karşılanır. Son olarak Bulut Altyapı Hizmeti’nde müşteri, gereksinimi olan depolama, ağ kaynağı gibi bilişim kaynaklarını yapılandırarak kullanabilir. Bulut altyapısına müdahale edemez ama diğer bileşenleri yönetebilir diyebiliriz.

Tehditler

İnternete bağlanabilen herhangi bir cihazla ulaşılan veriler, verilerin ücretsiz ya da düşük maliyetlerle depolanması, istenilen an erişilebilir olması gibi öne çıkan özellikleri ile

Bulut Bilişim dijital hayatın önemli bir parçası halini aldı. Son raporlar bu yönde aralıksız bir gelişim yaşanacağına işaret ediyor. Günümüzde Bulut Bilişim, Facebook’tan Skype’a, Google Docs’tan WhatsApp’e kadar sayısız kuruluşun da temelini oluşturuyor. Google, IBM gibi büyük ölçekli hizmet sağlayıcılar, güvenliğe büyük önem verip geniş kaynaklar ayırıyorlar, öte yandan küçük servis sağlayıcılar açısından risk unsurunun nispeten yüksek olduğu kaydediliyor.

Bu kapsamda bulut bilişime yönelik en önemli tehditler ise şöyle sıralanıyor.

  • Veri İhlali
  • Yetersiz Kimlik Bilgisi ve Erişim Yönetimi
  • Güvenliksiz Arayüzler ve API’ler
  • Sistem Güvenlik Açıkları
  • Hesapların Ele Geçirilmesi
  • Kötü Niyetli Personel
  • Hedef Odaklı Tehditler
  • Veri Kaybı

Başlıkları ana hatlarıyla inceliyoruz…

  • Veri İhlali

Hedefli bir saldırı, yazılım açıkları ya da insan hatası kaynaklı veri ihlalleri ile kişisel, finansal bilgilerden telif haklarına farklı konseptteki birçok bilginin kötü niyetli kişilerin eline geçmesi söz konusu olabilir. Her ne kadar hizmet sağlayıcılar, veri ihlali sorunlarının önüne geçmek için yoğun çaba harcasa da bu tehdit her an için mevcut ve dinamik siber güvenlik stratejilerini gerekli kılıyor.

  • Yetersiz Kimlik Bilgisi ve Erişim Yönetimi

Verilerin, yetersiz kimlik bilgisi ya da erişim yönetimi gibi nedenlerle yetkisiz kişilerin eline geçerek istismara açık olması durumu. Kötü parola gibi nedenlere ek olarak yetersiz yönetim sistemleri, çok katmanlı yetkilendirme prosedürlerinde eksikler gibi unsurlar da bu noktada öne çıkar. 

  • Güvenliksiz Arayüzler ve API’ler

Arayüzler ve API’lerin (Application Programming Interface – Uygulama Programlama Arayüzleri), yeterli güvenlik önlemlerine sahip olması gerekir. Aksi taktirde veri hırsızlıkları ile karşılaşılabilir. Arayüzlerdeki güvenlik açıkları, siber saldırılara maruz kalarak veri kayıplarına kaynaklık edebilir.

  • Sistem Güvenlik Açıkları

Güvenlik açıkları eğer sistemde söz konusuysa hizmet aksatılması, kontrolün ele geçirilmesi, veri hırsızlığı gibi sorunlar meydana gelebilir. Temelde sistemlere izinsiz girilmesi ile sonuçlanan güvenlik açıkları, birden fazla kişi ve kuruluşa ait verinin risk altında olmasını beraberinde getirebilir.

  • Hesapların Ele Geçirilmesi

Hesapların ele geçirilmesi, oltalama saldırıları, yazılım açıklarından yararlanma gibi yöntemlerle birlikte siber korsanların odak noktalarından biri. Bu noktada atılabilecek en temel adımlar ilgili personel açısından şifrelerin sıklıkla değiştirilmesi ve diğer güçlü parola stratejileri şeklinde.

Kullanıcı adı / şifre kombinasyonu ile birlikte tercih edilmesi gereken ikincil faktör de (OTP) bu noktada devreye alınması gereken önemli güvenlik adımları arasında.

  • Kötü Niyetli Personel

Sisteme giriş yetkisi bulunan çalışan, eski çalışan ya da müşteri tarafından atanmış yetkilinin erişim yetkisini kullanarak, bilerek veya bilmeyerek verilere erişim sağlaması ve zarar vermesi. İngilizce’de Malicius Insiders şeklinde kavramlaşmıştır.

  • Hedef Odaklı Tehditler

Ulusal sırları da kapsayacak şekilde yapılan üst düzey saldırılar. Bilgi çalmak ve zarar vermeyi esas alır. Siber saldırı genellikle geniş gruplar tarafından yapılır, plan karmaşık ve detaylıdır.

  • Veri Kaybı

Siber saldırı kaynaklı olabileceği gibi ‘yanlışlıkla’ verinin silinmesi gibi insan hatası unsurlarını da içerir. Doğal afet gibi konular da bu kapsamda yer alır. Bu noktada müşteriler açısından kendilerine sunulan hizmetle ilgili ‘veri kaybı’ sorumlulukları çok iyi şekilde incelenmeli.

Bu yöntemlere ek olarak diğer tehditler arasında hizmet dışı bırakma, istismar, kötüye kullanım, veri silme işleminin gerektiği gibi yapılmaması, bulut bilişim hizmetlerindeki sanallaştırılmış ortamlara yönelik yasa dışı erişim ve saldırılar da sayılabilir.

Etiketler:
Okumaya Devam Et

Son Eklenenler

Online Alışverişte Sahte Ürünlerle Kurulan Tuzaklar
Haberler6 gün önce

Online Alışverişte Sahte Ürünlerle Kurulan Tuzaklar

“Phish ‘n’ Ships” adı verilen oltalama saldırısında 1.000’den fazla güvenilir alışveriş sitesinde sahte ürün listeleriyle kredi kartı bilgilerinin ele geçirildiği...
Son Gelişmeler2 hafta önce

Yapay Zeka ve Dolandırıcılık: ChatGPT-4o ile Yeni Nesil Riskler
Haberler3 hafta önce

Yöneticilerin %70’i Çalışanlarında Siber Güvenlik Açığı Olduğunu Bildirdi
Daha Fazla Görüntüle

Videolar

Yardım Paketi – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!
Videolar4 sene önce

Yardım Paketi – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!

Gerçek yardımseverler kişisel bilgilerinizi istemezler! Kişisel bilgilerinizi gerçek hayatta olduğu gibi internette de kimseyle paylaşmayın, oltaya gelmeyin! Dolandırıcıların ekmeğine taş...
Videolar4 sene önce

Uygulama Dükkanı – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!
Videolar4 sene önce

Oyuncu Koltuğu – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!
Daha Fazla Görüntüle

Haberler

Siber Saldırılara Davetiye Çıkaran Parola Alışkanlıkları
Haberler4 hafta önce

Siber Saldırılara Davetiye Çıkaran Parola Alışkanlıkları

Güvenlik teknolojilerindeki gelişmelere rağmen, pek çok birey ve kurum, güvenli olmayan kimlik doğrulama yöntemlerine bağlı kalmaya devam ediyor. Bu eski...
Haberler1 ay önce

VPN Kullanmanın Faydaları ve Dikkat Edilmesi Gerekenler
Haberler1 ay önce

Yatırım Dolandırıcılığına Karşı Bilinçli Yatırımcı Olmak
Daha Fazla Görüntüle

Güvenlik Önerileri

Zararlı Yazılımlardan Nasıl Korunursunuz?
Güvenlik Önerileri1 sene önce

Zararlı Yazılımlardan Nasıl Korunursunuz?

Zararlı yazılım, kuruluşların ve bireylerin karşılaşabileceği en yaygın siber güvenlik tehditlerinden birisidir. Zararlı yazılımlardan korunmak için geliştirilen yazılımlar her ne...
Güvenlik Önerileri1 sene önce

Sesiniz En Büyük Savunmasızlığınız Olabilir
Güvenlik Önerileri1 sene önce

Kart Verileriniz Açığa Çıktığında Ne Yapmalısınız?
Daha Fazla Görüntüle