ETSI’nin Siber Güvenlik konusundaki yıllık amiral gemisi etkinliği, ETSI Güvenlik Konferansı, gerçekleşti yüz yüze itibaren 16 – 19 Ekim 2023, içinde ETSI, Sophia Antipolis, Fransa, ve 200’den fazla kişiyi bir araya getirdik. Bu yıl etkinlik şu konulara odaklandı: Güvenlik Araştırması ve Küresel Güvenlik Standartları iş başında. Etkinlik ayrıca aşağıdaki gibi daha geniş yönleri de değerlendirdi: Yeni nesil siber güvenlik standardizasyonunun ilgisini çekmek profesyoneller ve KOBİ’leri destekliyoruz.
ETSI Güvenlik Konferansı 2023’te bilgisayar ağları ve siber güvenlik alanında deneyimli bir uzman olan Dr. Galina Pildush ile konuştuk. Yirmi yılı aşkın deneyime ve endüstri standartlarına katkı konusunda etkileyici bir geçmişe sahip olan Dr. Pildush, Sıfır Güven Mimarisi (ZTA) hakkında değerli bilgiler sunmaktadır.
Sıfır Güven’e ve kavramın yıllar içinde nasıl geliştiğine kısa bir genel bakış sunarak başlayabilir misiniz?
Galina: Bu yüklü bir soru ve bunun hakkında uzun süre konuşabiliriz. Ancak perspektiften bakarsak Sıfır Güven aslında hiç kimseye veya hiçbir şeye güvenmediğiniz anlamına gelir. Yani mimariden bahsettiğimizde, mimari Sıfır Güven’in bileşenlerinden sadece bir tanesidir. ZT’nin birkaç aşaması var; burada tam olarak neyi korumak istediğinizi, yani yüzeyi tanımlamanız gerekiyor. Ardından, korumak istediğiniz yüzeyde ilgilendiğiniz akışlar neler olmalı? gibi akışlar geliştirirsiniz. Ardından ZTA Zero Trust Architecture’a varırsınız. Daha sonra güvenlik politikalarının ne olması gerektiğini (Sıfır Güven güvenlik politikaları) keşfedip tanımlarsınız çünkü bunları tam olarak nerede uygulayacağınızı bilirsiniz. Ve sonra izlersiniz, bakımını yaparsınız ve sonra yinelemeli olarak bunu tekrar yaşarsınız. Yani bu bir yinelemedir, bir döngüdür, dolayısıyla asla bitmez.
Karmaşık bir süreç gibi görünüyor. Karşılaşabileceğiniz temel zorluklar nelerdir?
Galina: Süreç karmaşık olarak algılanabilir, ancak bir kez incelemeye başladığınızda ve bu adımları çok dikkatli bir şekilde takip ettiğinizde, basit hale gelir. Çok fazla otomasyon kesinlikle yardımcı olacaktır. Zorluklar söz konusu olduğunda bu bir değişimdir ve değişim hayatımızdaki en sabit şeydir. İster iş, bakış açısı değişiklikleri ve/veya organizasyonel değişiklikler olsun ve/veya hangi organizasyon değişikliklerinin iş akışı değişikliklerine yol açacağı ve neleri korumanız gerektiği vb. Yani siz bunu yinelemeli olarak yaşadıkça otomatik hale gelir. Önemli olan bununla otomatikleştirilmiş araçları kullanmaktır.
Çok fazla değişiklik olduğundan bahsetmiştin. Zihniyet değişikliği gerektirdiği için bazı tepkiler aldınız mı? İnsanlar başlamakta tereddüt mü ediyor?
Galina: İlginç bir soru. Bazı insanlar Sıfır Güvenin bir kullanım durumu olduğunu öngörüyor ama öyle değil. Bu bir metodolojidir, bir stratejidir ve bana göre, eğer güvenliği sağlamak istiyorsanız, güvenliğin ne olması gerektiği konusunda çağrıda bulunmak istiyorsanız onu benimsemelisiniz çünkü ya ZT’yi güvenli hale getirmek için takip ediyorsunuz – ve Elbette %100 güvenlik diye bir şey yoktur; ancak en azından bunun ne olduğu veya güvenliğin olmadığı en iyi tanımıyla güvenlidir. Bana göre arada hiçbir şey yok.
Sürekli gelişen tehdit ortamına ZTA nasıl uyum sağlayabilir ve zaman içinde etkili kalabilir?
Galina: Çok basit. Eğer anlattığım bu metodolojiyi takip ederseniz, yinelemeli olarak tekrar geçersiniz – korumaya çalıştığım yüzey nedir, akışlar nelerdir – orası burası biraz değişti – şimdi mimarim değişmeli mi yoksa uyarlanmalı mı? Yani bu süreç, bu sevgi çemberi, Sıfır Güven sonsuzdur, bir tekrardır. Dolayısıyla bu süreci takip ederseniz işiniz kolaylaşır. Böl ve fethet.
ZTA’nın özellikle uygun olduğu belirli endüstriler ve sektörler var mı, yoksa herkesin onu benimsemesi gerektiğini mi düşünüyorsunuz?
Galina: Bana göre herkes bunu benimsemeli. Eğer hükümeti düşünüyorsanız, eğer askeriyeyi, finansal kurumları düşünüyorsanız, bunlar onu tanımı gereği bile benimseyen adamlardır. Ancak bana göre bu sadece işletmeler ve kamu hizmetleri veya sağlık hizmetleri gibi kritik görev altyapıları olmamalı, aynı zamanda ağ operatörleri, özellikle mobil ağ operatörleri de olmalıdır. Bunun altını çiziyorum, çünkü ZTA’yı geçtikten sonra, Sıfır Güven Mimarisini tanımladığınız aşamaya geldiğinizde, bir sonraki adım Sıfır Güven güvenlik politikalarının ne olması gerektiğini tanımlamaktır, çünkü her yerde karışıklıklar olacaktır. Kipling’in altı sorusunun yanıtlanması gerekiyor: Kim, ne, nerede, ne zaman, neden ve nasıl? Buradaki fikir tüm bu soruları yanıtlayabilmektir. Mobil ağ operatörlerine bakarsanız, bazı tanımların biraz bulanık olduğunu ve bunun nedeninin, gerçek trafiğin gizlendiği, tam olarak neyin gönderildiği yerde konuşlandırılan mobil protokoller olduğunu görürsünüz. Meşru mu, meşru değil mi? Bütün bunları nasıl tanımlarım? Oldukça önemli. Ve elbette kripto da ZT’nin ayrılmaz bir parçası. ZT’nin bileşenlerinden biridir. Şimdi, bununla birlikte kriptoya güvenebilir misiniz? Elbette değil çünkü şifrelediğiniz şeyi doğrulamanız gerekiyor. Aksi takdirde yaptığınız şey, hiç kimsenin kriptoyu kıramaması koşuluyla, kötü amaçlı yazılımlar da dahil olmak üzere her şeyin güvenli bir şekilde gönderilmesini sağlamaktır.
ZTA bağlamında kuruluşlar ve siber güvenlik topluluğu arasındaki işbirliği ve paylaşım ne kadar önemli?
Galina: Bu kritik derecede önemli. Bilgi paylaşımı yaparken aynı zamanda bu bilgiyle tam olarak neyi kastettiğimizi de bilmeliyiz. Güvenlik sektöründe yaptığımız gibi, güvenlik açıklarının neler olduğunu paylaşıyor ve bu durumla ilgileniyoruz. Bazı şeyler, bu şeylerin hangi kuruluşlarda uygulandığına bağlı olarak özeldir. Ancak metodoloji, NIST belgesinden bahsediyorum, eminim SP 800-207’den haberdarsınızdır.[1]. Bu belge son derece iyi bir şekilde açıklamaktadır. Sadece bu değil, kuantum sonrası dünya – ZT orada da geçerli olacak. Sadece çizgiyi takip edecek, aynı problemler. İşlem gücü ne kadar hızlı olursa, o kadar heyecan verici olur çünkü penetrasyonlar daha hızlı gerçekleşir ve bilgi işlem çok daha hızlı olur. Ne olacağını henüz göremiyoruz. Her ne kadar insanlar kriptoloji ile kuantum açısından güvenli hesaplamalar üzerinde çalışıyor olsalar da, hala pek çok bilinmeyen var ve pek çok şeyi gerçekleştikçe keşfedeceğiz. Yani paylaşmak çok önemli, evet.
Son olarak, eğer kolektif bilgeliğinizi Sıfır Güven Mimarisinin benimsenmesine ilişkin tek bir tavsiyeye dönüştürebilseydiniz, bu ne olurdu?
Galina: Sıfır Güven’in lüks olmadığını söyleyebilirim. Benimsenmesi gerektiğini söyleyebilirim. Başka bir deyişle, geri dönelim – geri dönmekten nefret ediyorum – ama bir saniyeliğine geri dönelim. Güvenlik bir süre önce birçok kuruluş tarafından benimsenmiştir. Bir sigorta gibi. Olup olmayacağı meselesi değil, ne zaman olacağı meselesi. Dolayısıyla Sıfır Güven’in de aynı şekilde benimsenmesi gerektiğine güçlü bir şekilde inanıyorum. Ya her şeye sahipsiniz ya da güvenliğiniz yok. Bu sana verebileceğim bir bilgelik parçası.
[1] NIST Bilgisayar Güvenliği Kaynak Merkezi – SP 800-207, Sıfır Güven Mimarisi | CSRC
