Bulut Bilişim Güvenliği Birliği (Cloud Security Alliance − CSA) ve HP (NYSE: HPQ), bulut bilişim hizmetleri için risk oluşturan potansiyel tehditlerle ilgili yeni araştırma bulgularını geçtiğimiz günlerde San Francisco‘da bir konferansta duyurdu.
HP‘nin sponsor olduğu araştırma, şirketlerin mevcut ve ileride ortaya çıkabilecek tehditlerden haberdar olarak, iş süreçleri ve verileri bulut bilişim yapısında güvenli bir şekilde koruyabilmeleri için bilgilendirilmesi amacını güdüyor.
Bu araştırma sonucunda, Bulut Bilişimin Güvenliğini Tehlikeye Sokan En Önemli Tehditler Raporu adlı bir makele ortaya çıktı. Makalenin amacı günümüzde en gelişmiş bulut bilişim sistemlerini kullanan 29 şirketi mevcut tehditlere karşı uyarmak ve sorunlarına çözüm üretmek.
Şirketlerin karşısındaki en büyük tehditler
Bulut Bilişim Güvenliği Birliği şu anda bu sistemi kullanan şirketleri eğitip, geleceğe daha iyi bir referans hazırlamak istiyor. Birliğin çalışmaları arasında, şirketlerin Zeus Botnet ve InfoStealing Truva atlarından nasıl korunacakları ve bulut bilişim sistemindeki bilgilerin gizliliğini nasıl koruyacaklarını öğretme faaliyetleri bu bulunuyor.
Rapora göre, bu kategorideki bütün tehditler kötü amaçlı yazılımlardan kaynaklanmıyor. Ofis dışındaki bulut bilişim kaynaklarına ulaşmayı sağlayan yazılımların birbiriyle iletişim kurmasını sağlayan API‘ler de güvenlik riski oluşturuyor.
Sosyal ağlar geliştikçe daha çok sayıda site uygulama programcılığı arayüzlerini (API’ler) kullanıyor. API‘ler değişik kaynaklardan alınan verilerden yeni veriler ve bilgiler türetmek üzere farklı yazılımlar arasında etkileşim kurulmasını sağlıyor. Bir bulut bilişim sisteminde birden çok API kullanılabiliyor ve bu API’lerden yalnızca birinde güvenlik açığı olması bile bütün sistemi riske sokabiliyor. Bulut bilişim risklerinin en büyük kısmını da yukarıda değinilen kötü amaçlı yazılımlar ve API’ler oluşturuyor.
Rapora göre ise bulut bilişimin önündeki en büyük tehlikeler ise şunlar;
- Kötü amaçlı şirket personeli
- Paylaşımlı teknolojiye dayalı riskler
- Veri kaybı ve veri sızıntısı
- Hesap / hizmet ve trafik çalma