maruz kalma yönetimi şirketi Tenable®, bugün kamuya açık bulut depolamanın% 9’unun hassas veriler içerdiğini ortaya koyan 2025 Bulut Güvenliği Risk Raporunu yayınladı. Bu tür verilerin yüzde doksan yedisi kısıtlanmış veya gizlidir ve tehdit aktörleri için kolay ve öncelikli hedefler oluşturur.
Bulut ortamları, açığa çıkan hassas veriler, yanlış yapılandırmalar, temeldeki güvenlik açıkları ve şifreler, API anahtarları ve kimlik bilgileri gibi kötü depolanmış sırlar nedeniyle önemli ölçüde artan riskle karşı karşıyadır. 2025 Bulut Güvenliği Risk Raporu, verileri, kimliği, iş yükünü ve yapay zeka kaynaklarını etkileyen en önemli bulut güvenliği sorunlarına derinlemesine bir bakış sağlar ve kuruluşların riski proaktif olarak azaltmalarına ve kritik boşlukları kapatmalarına yardımcı olacak pratik azaltma stratejileri sunar.
Rapordaki önemli bulgular şunları içerir:
Çeşitli bulut kaynaklarında bulunan ve kuruluşları riske atan sırlar: Kuruluşların yarısından fazlası (%54) en az bir sırrı doğrudan Amazon Web Hizmetleri’nde (AWS) saklar Elastik Konteyner Hizmeti (ECS) görev tanımları – doğrudan saldırı oluşturma yol. Google Cloud Platform (GCP) Cloud Run (% 52) ve Microsoft Azure Logic Apps iş akışlarını (% 31) kullanan kuruluşlar arasında da benzer sorunlar bulundu. Endişe verici bir şekilde, tüm AWS Elastic Compute Cloud (EC2) bulut sunucularının %3,5’i kullanıcı verilerinde sırlar içerir — ec2’nin ne kadar yaygın kullanıldığı göz önüne alındığında büyük risk.
Bulut iş yükü güvenliği gelişiyor, ancak toksik kombinasyonlar devam ediyor: Kamuya açık, kritik derecede savunmasız ve oldukça ayrıcalıklı bir iş yükü olan “zehirli bulut üçlemesine” sahip kuruluşların sayısı% 38’den% 29’a düşerken, bu tehlikeli kombinasyon hala şunları temsil ediyor: önemli ve yaygın bir risk.
Kimlik Sağlayıcılarını (ÜİYOK’LER) tek başına kullanmak riski ortadan kaldırmaz: AWS kuruluşlarının %83’ü bulut kimliklerini yönetmek için ÜİYOK hizmetlerini kullanma konusunda en iyi uygulamaları uygularken, aşırı izin verilen varsayılanlar, aşırı yetkiler ve geçerli izinler onları yine de kimlik tabanlı tehditlere maruz bırakır.
Bulut güvenliği araştırma direktörü Ari Eitan, ”Son birkaç yıldır tanık olduğumuz güvenlik olaylarına rağmen, kuruluşlar hassas verilerden sırlara kadar kritik bulut varlıklarını önlenebilir yanlış yapılandırmalarla açığa çıkarmaya devam ediyor” dedi.
“Saldırganların yolu genellikle basittir: halka açık erişimden yararlanmak, gömülü sırları çalmak veya imtiyazsız kimlikleri kötüye kullanmak. Bu boşlukları kapatmak için güvenlik ekiplerinin ortamlarında tam görünürlüğe ve tehditler artmadan önce iyileştirmeyi önceliklendirme ve otomatikleştirme becerisine ihtiyaçları vardır. Bulut, sürekli, proaktif risk yönetimi gerektirir ve reaktif patchwork gerektirmez.”
Rapor, Ekim 2024’ten Mart 2025’e kadar analiz edilen, çeşitli genel bulut ve kurumsal ortamlardaki iş yüklerinden telemetriye dayalı, Güvenilir Bulut Araştırma ekibinin bulgularını yansıtıyor.
Daha fazla bilgi için tenable.com .
