[By Rob McNutt, SVP at Forescout]
Sıfır güvene yönelik en büyük tehdit, olağan siber güvenlik şüphelilerinden oluşan bir grup arasında değildir. Yetenekleri hakkında gerçekçi olmayan beklentilere yol açan pazarlama yanıltıcılığıdır.
Sıfır güvenle “%100 Güvenlik” elde etme yeteneği caziptir ancak bu bir yanılgıdır. Kuruluşların bir tür tak-çalıştır çözümü olarak “kutuda sıfır güven” satın alabileceği fikri en iyi ihtimalle yanıltıcıdır. Benzer şekilde, sıfır güveni dağıtmak zaman alır ve sürekli yönetim gerektirir; “ayarlayıp unutamazsınız.”
Sıfır güveni uygulamaya çalışan bir kuruluşu olumsuz yönde etkileyebilecek bu yanlış anlamalardan bazılarını bir kenara bırakalım. Sıfır güvene dayalı pazarlama mitlerini yıkmanın zamanı geldi.
Efsane #1: Sıfır Güven Satın Alabileceğiniz Bir Üründür
Pazarlama iddialarının aksine sıfır güven, raftan satın alınabilecek bir ürün değildir. Birçok unsuru içeren mimari bir yaklaşımdır. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Sıfır Güven Olgunluk Modeline göre sıfır güvenin temelleri arasında kimlik, cihaz, ağ/ortam, uygulama iş yükü ve veriler yer alıyor.
Bu sütunların her birinin kendine özgü zorlukları ve gereksinimleri vardır ve bunların ele alınması birden fazla çözüm gerektirebilir. Örneğin, sıfır güven ağ gereksinimleri, kimlik doğrulama ve yetkilendirmeyi, en az ayrıcalıklı erişimi ve sürekli risk değerlendirmesini içerir. Çok faktörlü kimlik doğrulama (MFA), kimlik ve erişim yönetimi (IAM), ağ bölümleme, ağ izleme ve sıfır güven ağ erişimi (ZTNA) dahil olmak üzere çeşitli çözümler, bu gereksinimlerin karşılanmasına katkıda bulunur.
Maalesef ZTNA, sıfır güven ağını ve bir bütün olarak sıfır güveni olumsuz yönde etkileyecek kadar abartıldı.
Efsane #2: Sıfır Güven Ağ Erişimi %100 Ağ Koruması Sağlar
Sıfır güven ağı, sıfır güven mimarisinin çok önemli bir bileşenidir; ancak sektörün ZTNA'yı her şeyi kapsayan bir çözüm olarak pazarlama çabası, onun rolünü daha geniş bir çerçeve içinde birleştirmektedir.
ZTNA ilk erişim kontrolünü sağlarken, erişim verildikten sonra sürekli görünürlük ve kontrol sunma konusunda yetersiz kalıyor. ZTNA ayrıca güvenliği ihlal edilmiş kimlik bilgilerinin ve içeriden gelen saldırıların kurbanı olabilir.
Yazılım aracılarına güvenmek ve uç nokta trafiğinin şifresinin çözülmesi, özellikle Nesnelerin İnterneti (IoT) ve operasyonel teknoloji (OT) cihazlarının çeşitli ortamıyla ilgili olarak yönetim karmaşıklıkları yaratır.
Eğitim, ZTNA hakkındaki pazarlama iddialarını ortadan kaldırmanın anahtarıdır. Sıfır güven ağı, ZTN ve ZTNA gibi terimlerin hiyerarşisini anlamak, ZTNA'nın yalnızca bir bileşen olduğunu ortaya çıkarır. Erişim sunar ancak kapsamlı bir sıfır güven mimarisi için gerekli olan daha geniş görünürlük ve kontrolden yoksundur, hatta tam bir sıfır güven ağı bile sağlamaz.
Efsane #3: Sıfır Güven = Sıfır Risk
Sıfır güven uygulamasının riski denklemden çıkardığına dair bir görüş var ancak ne yazık ki gerçek bu değil. Varsayımsal olarak konuşursak, sıfır güvenin mükemmel bir şekilde uygulanması neredeyse tüm riskleri ortadan kaldırabilir, ancak gerçek şu ki mükemmelliğe ulaşmak imkansızdır.
Sıfır güveni uygulamak karmaşık ve devam eden bir süreçtir çünkü birbirine bağlı çok fazla parça vardır. Tamamen olgunlaşmış bir sıfır güven uygulamasına ulaşmış çok az kuruluş var. Ancak kör noktalara sahip olanlar arasında bile kör noktaları hesaba katmak ve belirli güvenlik açıklarını kapatmak zor olabilir.
Özellikle yönetilmeyen cihazlar, OT cihazları ve IoT cihazlarında görünürlük ve kontrol elde etmek, sıfır güven çözümleri uygulayan kuruluşlar için bile önemli bir risk teşkil edebilir. Tüm cihazlara ve uç noktalara yönelik görünürlük olmadığında, bunların kolektif güvenlik açıkları ve maruz kalma durumları bilinmemektedir.
Modern tehditlerin dinamik doğası ve modern kurumsal ağların sürekli gelişimi, sürekli risk değerlendirmesi ve sıfır güven politikalarının iyileştirilmesini gerektirmektedir. Sıfır güvenin riski tamamen ortadan kaldıramamasının bir başka nedeni de güvenlik ile üretkenlik arasındaki dengedir.
Kullanıcı deneyimi sıfır güven nedeniyle engelleniyorsa kullanıcılar gölge BT gibi daha az güvenli yöntemlere başvurabilir ve görünürlük eksikliği nedeniyle bilinmeyen riskler oluşturabilir. Ancak sıfır güven politikaları çok esnek olursa, güvenliği ihlal edilen kullanıcı hesapları etkili bir saldırı vektörü haline gelir.
Kuruluşlar, üretkenliği olumsuz etkilemeden sıfır güven politikalarını uygulamak için gereken ek bağlamı sağlayabilecek kapsamlı görünürlükten yararlanarak sıfır güven güvenliği ile kullanıcı deneyimi arasında bir denge kurmalıdır.
Tek Beden Hiçbirine Uygun Değil
Sıfır güven basit bir çözüm değil, dikkatle değerlendirilmesi gereken kapsamlı bir çerçevedir. Her biri güvenliğin önemli yönlerini ele alan birden fazla sütundan oluşur. Birden fazla kaynaktan elde edilen bilgilerin entegrasyonu, sıfır güven pazarlama mitlerinin ortadan kaldırılmasının ve nüanslarının daha iyi anlaşılmasının önemini göstermektedir.
Sıfır güvene gerçekçi bir zihniyetle yaklaşarak ve bunun çok yönlü temellerini kabul ederek kuruluşlar, pazarlama iddialarının genellikle dönüştürücü teknolojilerin gerçek özünü gölgede bıraktığı bir çağda siber güvenlik duruşlarını güçlendirebilirler.
Reklam