“Kapıyı kilitleyip pencereyi açık bırakmak” sözünü hiç duydunuz mu? Bu, güvenliğinizin yalnızca en zayıf halka kadar iyi olduğu anlamına gelir. Bu BT için de geçerlidir.
Eski sistem güvenliği, bulut güvenliğiyle nasıl karşılaştırılır? Google uzakta ve anket üstüne anketin, bulut güvenliğinin veri merkezlerindeki daha geleneksel sistemlerde güvenlikten daha üstün veya çok daha üstün olduğunu söylediğini göreceksiniz.
Neden? Niye? Eski sistemlerimizi veri merkezlerimizde tutuyoruz, değil mi? Bu onları daha güvenli yapmaz mı?
Tam olarak değil. Son 10 yılda, genel bulut tabanlı güvenliğe yönelik Ar-Ge harcamaları, hem üçüncü taraf satıcılar hem de elbette genel bulut sağlayıcılarının kendileri (hiperscaler) tarafından daha geleneksel platformlara yapılan yatırımları çok aştı. Normalde eski güvenliği güncellemek ve geliştirmek için harcanan para, bulut tabanlı her şeye akıtıldı.
Güvenlik teknolojisi sağlayıcılarını suçlayamazsınız. Gelirin yukarı doğru hareket etmesini sağlamak için gelişmekte olan pazarlara odaklanmaları gerekiyor. Ancak, buluta bu odaklanmanın istenmeyen bir sonucu vardır; yani, şirkete bağlı olarak, günümüzde iş verilerinin %80’inin depolandığı eski sistemlere dikkat edilmemesi.
Bu blogun başlığını gözden kaçırdıysanız, kurumsal BT güvenlik zincirindeki en zayıf halka artık uzak sistemler değildir (değerli iş verilerine erişmek için genel bulutları kullanmak). Yaklaşık 10 yıldır sevgi hissetmeyen ve genel bulutlardan çok daha fazla güvenlik açığı bulunan güvenlik teknolojisine sahip eski sistemler. Böylece tercih edilen saldırı vektörü olurlar.
Sorun şu ki, kuruma dışarıdan gelen saldırılara odaklanırken, bağlantılı bir sistemden yararlanan saldırıları veya sistemler arası saldırıları gözden kaçırıyoruz. Bu durumda, bulut tabanlı platforma bağlı olan ancak sistemler arası güvenlik konusunda aynı savunmalara sahip olma olasılığı düşük olan eski platforma kolay erişimi kaçırıyoruz.
Böylece eski sistemler, dolaylı olarak bulut tabanlı sistemlere ve verilere ulaşmak için hacker saldırılarının tercih edilen yolu haline gelir. Eski sisteme girmek, genel bulutlardaki sistemlere ve verilere erişmenin daha kolay bir yoludur.
Bu yeni değil. Ev bilgisayarları, daha gevşek güvenlikleri olduğu için akıllı TV’ler aracılığıyla saldırıya uğradı. Fabrika katındaki robotlar gibi Nesnelerin İnterneti cihazları, diğer dahili sistemlere erişim sağlamak için kullanıldı.
Bu konuda ne yapmalısınız? Cevap, eski sistemlerde güvenliği yükseltmek olabilir, ancak Ar-Ge finansmanının bulut tabanlı sistemlere kayması nedeniyle bu mümkün olmayabilir. Ancak, en az sayıda güvenlik açığıyla çalıştığınızdan emin olun ve test ve denetimler dahil olmak üzere güvenlik yazılımınızı ve güvenlik yapılandırmalarınızı güncelleyin.
Bundan sonrası, sistemlerarası güvenlikle ilgilenme meselesidir. Genel buluttaki sistemlere bağlanan tüm sistemlere “sıfır güven” yaklaşımı öneriyorum. Bunun, eski buluttan buluta ve tekrar geri gibi sistemler arası iletişimleri gerçekleştirirken pahalı bir karmaşıklık katmanı eklediğini anlıyorum. Ancak, tehlikede olan şey göz önüne alındığında, bulut verilerimizi (kilitli kapı) eski sistemlerden (kilitsiz pencere) kurtarmanın tek yolu budur.
Telif Hakkı © 2022 IDG Communications, Inc.
Kaynak : https://www.infoworld.com/article/3664411/legacy-systems-are-the-new-attack-vectors-for-hackers.html#tk.rss_all