Karmaşıklık Hala Güvenliğin Düşmanıdır


Kullanım Kolaylığı, Entegrasyon Kolaylığı Veri Korumasını Teşvik Eder

Coviant Software’in CEO’su Gregory Hoffer tarafından

1999’da ünlü siber güvenlik uzmanı Bruce Schneier, Güvenlik konusunda Schneier blog, “Güvenliğin en büyük düşmanı karmaşıklıktır. Bu, bilgisayarların başlangıcından beri doğruydu ve yakın gelecekte de doğru olması muhtemel.” Bu gönderi bağlamında Schneier, teknoloji ürünlerinin tasarımındaki karmaşıklıkların, ürünün güvenli olup olmadığını aynı anda test etmeyi zorlaştırdığını açıkladı. Yazılım, donanım veya birbirine bağlı sistemler, belirli bir işi yapmak için bir ürün oluşturdunuz ve yalnızca tamamlandığında güvenli olup olmadığı test edilebilir. Schneier, o zaman bile güvenlik testinin yüksek bir öncelik olmadığını gözlemledi.

“Bu, zaman alıcı ve pahalı bir süreç ve neredeyse hiç kimse bu süreçten geçmek zahmetine katlanmıyor. Olsalardı, çoğu sistemin analiz edilmesinin çok daha karmaşık olduğunu ve her yerde güvenlik açıkları olduğunu hemen anlarlardı,” diye devam etti Schneier.

Artık 1999 Değil

Tehdit aktörleri ve siber saldırılar yükselişte olmasına ve bir sorun olarak kabul edilmesine rağmen, artık yaygın olan “tasarım yoluyla güvenlik” yaklaşımı henüz revaçta değildi. Güvenlik kusurları, teknolojiyi kullanmanın kabul edilen bir parçasıydı; iş yapmanın maliyeti. 1999 tarihli bir makale CNN Bilim-Teknoloji on siber saldırılar, mali kayıpların “üst üste üçüncü yılda 100 milyon doların üzerine çıktığını” bildirdi. Ne kadar tuhaf. 2023’e hızlı ilerleyin ve bazı tahminler, siber suçların toplam maliyetinin şaşırtıcı bir şekilde 8 ABD dolarına ulaştığını gösteriyor. trilyon bu yıl.

Günümüz teknolojileri mükemmel olmaktan çok uzak, ancak siber güvenlik çoğu kuruluş için ilk akla gelen konu ve ağları ve verileri korumak için mevcut olan araç ve hizmetler dizisi, çeyrek asır önce yaygın olan görünüşte ilkel güvenlik duvarı ve virüsten koruma yaklaşımının çok ötesine geçiyor. Yine de karmaşıklık, güvenliğin düşmanı olmaya devam ediyor, ama sadece Bay Schneier’in tanımladığı şekilde değil.

Tasarım yaklaşımıyla güvenlik kullanılarak oluşturulmuş ve bilinen güvenlik açıklarının bulunmadığından emin olmak için test edilmiş olsa bile, teknolojinin kullanılması zor olduğunda insanların ürünü kullanmaktan kaçınmasına ve bunun yerine güvenli olmayan geçici çözümler bulmasına neden olarak kuruluş için daha fazla güvenlik sorunu yaratabilir. Bazen bu geçici çözümler, eski süreçleri terk etmeyi veya bu bir seçenek değilse, ilgili görevi tamamlamak için yeni bir yol yaratmayı inatçı bir şekilde reddetme olarak ortaya çıkar. Bu, yeni yol karmaşık olduğunda (aslında ya da sadece karmaşık olarak algılandığında) değişime verilen doğal bir tepkidir. Ve bu gerçekleştiğinde, karmaşıklığın güvenlikle olan düşmanlığı çirkin yüzünü gösterecektir.

Geçici Çözümler Anti-Güvenliktir

Bunu veri aktarımı alanında çok sık gördük. Ne yazık ki, güvenli olmaktan uzak, verileri bir yerden başka bir yere göndermenin kolay ve tanıdık yollarında bir eksiklik yoktur; bu nedenle, bu güvenli ancak karmaşık süreç personeli hayal kırıklığına uğrattığında, e-posta, dosya paylaşım araçları veya yardımcı programlar gibi daha kolay bir çözüm arayabilirler. tüketici sınıfı bulut hizmetleri. Büyükanneye çocukların dans resitalinin veya ailenin Büyük Kanyon’a yaptığı yaz gezisinin bir sürü fotoğrafını ve videosunu göndermek istediğinizde bunlar gayet iyi çalışıyor, ancak işle ilgili kritik dosyalar gönderirken bu işe yaramıyor. Bunlar, kuruluşların kişisel olarak tanımlanabilir bilgiler (PII), korunan sağlık bilgileri (PHI), fikri mülkiyet, finansal dosyalar ve sözleşmeden doğan yükümlülüklerle ilişkili veriler gibi hassas, hatta düzenlemelere tabi verileri göndermek için kullandıkları çözümler olduğunda, herkesi risk altına sokar.

Bazı kuruluşlar, bazı mevcut bileşenleri, açık kaynaklı yazılımları ve BT ekibinden birinin yaratıcılığını bir araya getiren bir şirket içi dosya paylaşım süreci oluşturarak sorunu kendilerinin çözebileceklerine inanıyor. Bir kez daha, sorun genellikle ortaya çıkan çözümün, kullanımını caydırabilecek şekilde biraz karmaşık olmasıdır. Kendin yap araçları nadiren onları oluşturan kişi tarafından belgelenir ve bu kişi kuruluştan ayrıldığında, hastalandığında veya tatile gittiğinde kaçınılmaz olarak sorunlara yol açar.

Dikkate alınması gereken başka bir nokta da şudur: Bir şey bozulduğunda, önemli bir yazılım parçası eskidiğinde ve desteklenmediğinde veya bir ticaret ortağı standartlarını değiştirdiğinde ne olur? Kodu yazan BT’deki adam şirketten ayrıldıktan on yıl sonra kaka hayranı vurduğunda, destek için nereye gidersiniz? Birinden miasmik bir kod yapbozunu, hata düzeltmelerini, uzantıları ve beceriksizce cıvatalanmış değişiklikleri denemesini ve çözmesini istemek çok fazla. Ayrıca şirket içi çözümler, dosya güvenliğini sağlamak ve geçerli herhangi bir düzenlemeye uygunluğu kanıtlamak için gerekli özelliklerden yoksundur. Bir dosya kaybolursa ve bunun şifrelenmiş olduğunu kanıtlayamazsanız, verilerin güvenliğinin ihlal edildiği varsayılmalıdır.

Güvenliği Kolaylaştırın

Ve son olarak, ticari olarak yönetilen bir dosya aktarım ürünü seçildiğinde bile, uygulamayı zorlaştıran ve kullanımı kafa karıştırıcı hale getiren doğal karmaşıklıklar olabilir. Hem standart olması gereken özellikler hem de gereksiz bazı özellikler olmak üzere çok fazla özelleştirme, ihmal veya komisyon yoluyla yanlış anlama şansını artırır. Ve sonra, sezgisel yukarıdan aşağıya tutarlı uygulamalar yerine işi yapmak için gereken tüm işlevselliği aldığınızdan emin olmak için satıcıya özgü “sözde kodlama” dili gerektiren çok yaygın aşağıdan yukarıya uygulamalar var. kodsuz etik ile.

Amaç, bir kuruluşun işlerini güvenli bir şekilde yürütmesine yardımcı olması beklenen bir ürün sunmak olduğunda, kullanımı zor bir ürün sunarak bu çabaları baltalamaya yardımcı olmaz. Bir alaycı, karmaşıklığın bir hata değil, müşterinin maliyetli bir destek sözleşmesi satın almasını ve nihayetinde batık maliyet yanılgısına kurban gitmesini sağlamak için tasarlanmış bir özellik olup olmadığını merak edebilir. Bu, (yakın görüşlü değilse) iyi bir iş stratejisi olabilir, ancak siber güvenliğe yönelik sağlam bir yaklaşım değildir.

Hepimiz Güvenlik Paydaşlarıyız

Beyaz Saray’ın son Ulusal Siber Güvenlik Stratejisi Amerika Birleşik Devletleri, ortak tehditlere karşı koymak, küresel İnternet özgürlüğünü korumak ve güçlendirmek, ulusötesi dijital baskıya karşı korumak ve doğası gereği daha dayanıklı ve savunulabilir bir ortak dijital ekosistem inşa etmek için, gelişmekte olan işbirliği modelini ölçeklendirmek için çalışacak. ulusal siber güvenlik paydaşlarının uluslararası toplumla işbirliği yapmaları.”

Her teknoloji satıcısının ulusal siber güvenliğimizi güçlendirmede bir paydaş olduğuna inanıyoruz. Bu nedenle, her teknoloji satıcısı, tasarımı gereği güvenli olan ve kurulumu ve kullanımı kolay olacak şekilde tasarlanmış ürünler yapmak için çalışmalıdır. Güvenlik, kullanıcı için sinir bozucu olmamalıdır. Atlanabilecek veya unutulabilecek önemli adımların üstesinden gelmek için süreç otomasyonu gibi şeyler kullanarak güvenlik deneyimini ürünlerimizin ayrılmaz bir parçası ve kullanıcı için kolay hale getirme becerisine sahibiz. yalnızca ürünlerimizin gerçekleştirdiği işlevleri kolaylaştırmak değil, ürünlerimizi kullanan kişi ve kuruluşları daha üretken kılmak.

yazar hakkında

Gregory Hoffer YazarGregory Hoffer, güvenli, yönetilen dosya aktarım platformu Diplomat MFT’nin üreticisi olan San Antonio merkezli Coviant Software’in CEO’sudur. Greg’in kariyeri, yirmi yılı aşkın süredir başarılı organizasyonel liderlik ve ödüllü ürün geliştirmeyi kapsamaktadır. Federal Bilgi İşleme Standartları (FIPS), DMZ Ağ Geçidi, OpenPGP ve büyük dosyaları ve aktarılan verileri korumak için gerekli olan diğer özellikleri gerçekleştirmeye yardımcı olan çığır açan teknoloji ortaklıklarının kurulmasında etkili oldu.

Daha fazla bilgi için çevrimiçi olarak Coviant Software’i ziyaret edin veya şu adresi takip edin: Coviant Yazılımı Twitter ve LinkedIn’de.





Source link