Derinlemesine savunma siber güvenlikte yeni bir kavram değildir. Askeri terminolojiden alınmış olup, Ulusal Güvenlik Teşkilatı tarafından sistemleri birden fazla bağımsız koruma yöntemi kullanarak çeşitli saldırılara karşı korumak için oluşturulmuştur. Ancak pek çok kuruluşta yaygın olarak kullanılmasına rağmen, yeni saldırı türlerine, hedeflere ve yöntemlere karşı koruma sağlamak amacıyla kavram hâlâ adaptasyon gerektiriyor.
Veri güvenliği, siber güvenlik alanında pek de yeni olmayan bir fikir; sanki yüzyıllardır varmış gibi geliyor. Ancak verileri bulutta güvende tutmaktan bahsettiğimizde işler daha da karmaşıklaşıyor. Veri depolama için bulutu benimseyen kuruluşların sayısı arttıkça, hassas bilgilerin farklı kontrol mekanizmalarına sahip bir dizi teknolojide saklanması ve kuruluş içindeki çok sayıda ekip tarafından çeşitli amaçlarla kullanılması muhtemeldir. Sonuç olarak veriler farklı şekillerde ele geçirilebilir, dolayısıyla yeni koruma yöntemleri önemlidir.
Risk Azaltma ve Tehdit Tespiti
Derinlemesine savunmanın sıklıkla aşırı basitleştirilmiş bir kısmı, risk azaltma ve tehdit tespiti arasında yapılacak seçimdir. Riskin azaltılması tamamen saldırı yüzeyinin en aza indirilmesiyle ilgilidir. Veri güvenliği söz konusu olduğunda, bu, işlenen ve saklanan gereksiz hassas veri miktarının azaltılmasını, hassas bilgilere erişimin sınırlandırılmasını, bu bilgilerin kamuya açıklanmamasını sağlamayı vb. içerir. Diğer taraftan, tehdit tespiti, verinin konumundan sızdırılması veya fidye yazılımı etkinliği gibi gerçek kötü amaçlı davranışların belirlenmesine odaklanır. Derinlemesine savunma her ikisine de ihtiyaç duysa da, bunları bir araya getirdiğinizde en iyi sonuçları elde edersiniz.
Bu iki soruyu gündeme getiriyor:
- Neden sadece birini seçmiyorsunuz?
- Konu derinlemesine savunma olduğunda veri güvenliğini benzersiz kılan şey nedir?
Bu soruları cevaplamak için her yaklaşımın aşırı bir versiyonunu inceleyelim.
Veriler söz konusu olduğunda riski sıfıra indirmeyi deneyebilirsiniz, ancak bu genellikle işletmenin hassas verileri depolamasının sınırlandırılmasını veya verilere erişimin, inovasyonu teşvik etmesini engelleyebilecek düzeyde engellenmesini içerir. Verileri kimse kullanamazsa müşteri desteğine, yeni makine öğrenimi (ML) modellerinin eğitilmesine veya içgörü toplanmasına nasıl yardımcı olabilir? Sıfır risk genellikle gerçek dünyadaki iş durumlarında pek işe yaramaz.
Yalnızca tehdit tespitine odaklanan bir ekip, kendisini uyarılar arasında boğulurken ve sürekli değişen veri ortamlarına uyum sağlayamarken bulacaktır. Uyarı yorgunluğu zaten büyük bir sorun, öyleyse neden artık ihtiyacınız olmayan verilere şüpheli erişim konusunda uyarılar toplayasınız ki? Veya yedekli veya eski depolardaki veri açığa çıkma olaylarını, bunları ilk etapta kaldırmak yerine ele almak mı istiyorsunuz?
Kombine Yaklaşım
Risk azaltma ve tehdit tespitini birleştirmek, kuruluşlara her iki yaklaşımın en iyi yönlerini getirir. Riski kabul edilebilir bir düzeye, yani işletmenin gereksiz risk almadan faaliyet göstermesine olanak tanıyan bir düzeye indirerek başlayın. Bu, etkin olmayan veri depolarının silinmesini, gereksiz erişimin kaldırılmasını, harici erişimin sınırlandırılmasını ve şifreleme ve yedekleme ilkelerinin doğrulanmasını içerir. Bununla birlikte, gereksiz riskler almıyor olsanız bile, yine de izlenmesi gereken bazı riskler vardır: Yasal olarak verilen izinler, kimlik bilgilerinin tehlikeye atılması veya içeriden gelen tehditlerle kötüye kullanılabilir, önceden alakalı olan veriler geçerliliğini yitirir vb.
İçinde çalışılacak korkuluklar oluşturmak çok önemlidir, ancak bu önlemler kapsamında olup bitenleri yakından takip etmek de aynı derecede önemlidir.
Bu sadece riski azaltmak ve ardından tehditleri tanımlamakla ilgili değil. Riskin nerede minimum düzeyde olduğunu ve nerede daha büyük risklerin alınması gerektiğini anlamak, kuruluşların çabalarını tehditleri daha etkili bir şekilde önlemeye odaklamasına olanak tanır. Bu, ek ürünlerin dağıtılmasını veya daha etkili olması için ilk önce hangi uyarıların araştırılacağının seçilmesini içerebilir. Bir kuruluş hassas verileri belirli bir konumdan kaldırarak riski azaltabildiyse, bu konumun hassas verilerin sızması veya sızması açısından izlenmesi gerekli hale gelir. Veri ekibi belirli bir coğrafyada bulunuyorsa, başka yerden şüpheli veri erişimi konusunda uyarıda bulunmak çok daha önemli hale gelir. Bu, doğal olarak kuruluşun üstlendiği riskin (bilerek veya bilmeyerek) sürekli ve doğru bir şekilde anlaşılmasını gerektirir, böylece odak, bu kapsamda meydana gelebilecek tehditlere kayabilir.
İşte bunu gösteren birkaç örnek:
- SSN’ler gibi hassas verileri test ortamları veya veri bilimi ekibi gibi gerekli olmayan hizmetlerden kaldırmaya karar verirseniz sürekli sınıflandırma uyguladığınızdan ve onaylanan konumların dışında herhangi bir veri sızıntısı meydana gelirse uyarı verdiğinizden emin olun.
- En az ayrıcalık ilkesine dayalı erişim politikalarını tanımlarken, farklı veri türleri için farklı erişim politikaları oluşturun. Örneğin, AB verilerini ABD veri havuzlarından kaldırın.
İyi bir veri güvenliği yaklaşımı yalnızca statik yapılandırmaları analiz etmeye ve verilerin şu anda nasıl korunduğuna ilişkin kontrollere odaklanamaz ve bir veri sızıntısını yalnızca meydana geldiği anda tanımlamaya çalışamaz. İki yaklaşımı birleştirmeli ve birbirlerini tamamlayacak şekilde inşa etmelidir.