Mikro-Segmentasyon Tek Başına Sıfır Güven Değildir veya Tam tersi
Brian Haugli – SideChannel CEO’su
Mikro segmentasyon Sıfır Güven değildir. Sıfır Güven stratejisini gerçekleştirmek için teknoloji bileşenidir. Bir mikro segmentasyon çözümünün uygulanmasının Sıfır Güven ortamına eşit olduğu konusunda satıcılar tarafından yanıltılmayın.
Sıfır Güven nedir?
Zero Trust, en son moda kelime olmanın yanı sıra, uygulanması gereken bir teknoloji değil, bir kavramdır. Bir organizasyonun tüm yönlerinde en az ayrıcalık yaratmak için stratejik bir girişimdir. Herhangi bir programda üçlünün 3 öğesini gerektirir: insanlar, süreç ve teknoloji. Genellikle ortamdaki kullanıcıların envanterine, yerinde uygulamalara ve destekleyici altyapıya ihtiyacınız vardır. Bu envanter olmadan Sıfır Güven’e doğru bir hareket imkansız olacaktır.
Mikro segmentasyon nedir?
Temel gereksinim, bir kaynaktan bir hedefe giden trafiğe açıkça izin vermek ve diğer tüm trafiği reddetmektir. Mikro segmentasyon, bir ağı veya erişimi mantıksal olarak ayrı segmentlere bölmek için bir teknoloji tarafından oluşturulur. İdeal hedef, yalnızca beklenen alanlara erişim sağlamaktır. Bir örnek, İK sistemlerine yalnızca uygun haklara sahip ve “bilinmesi gereken” İK profesyonelleri tarafından erişilebilir olmasını sağlamak olabilir. Bu teknik, düz ağlarda üretimi geliştirmeden veya kullanıcı gruplarından ayırırken kullanılabilir. Tarihsel olarak nasıl etkinleştirildiği, hantal VLAN’lar ve güvenlik duvarı kural kümeleri aracılığıyla olmuştur.
Mikro segmentasyon gerektiren çerçeveler
Herhangi bir saygın siber güvenlik programı, tanınan bir standart üzerine inşa edilecektir. Standartların ve çerçevelerin mikro segmentasyonu nerede görmeyi beklediğini vurgulamak için örnek olarak NIST Siber Güvenlik Çerçevesi (CSF) v1.1’i alalım. Girişte belirtildiği gibi, bir envanter olmadan Sıfır Güven imkansızdır.
NIST CSF, Varlık Yönetimi (ID.AM) kontrollerinde envanter ihtiyacını belirtir; Kuruluşun iş amaçlarına ulaşmasını sağlayan veriler, personel, cihazlar, sistemler ve tesisler, kuruluş hedeflerine ve kuruluşun risk stratejisine göreli önemleriyle tutarlı olarak tanımlanır ve yönetilir. “Çevremizde ticari faaliyetlerimizi destekleyen nelere sahip olduğumuzu ve bunların önemini biliyor muyuz?” sorusuna cevap vermemiz gerekiyor. İyi bir şekilde belgelenmek veya yönetilmek şöyle dursun, kaç şirketin bunu tanımlamamış olması şaşırtıcıdır.
NIST CSF, Kimlik Yönetimi, Kimlik Doğrulama ve Erişim Kontrolü (PR.AC) kontrol kategorisiyle bir envanterde bulunan varlıkların nasıl korunacağı konusunda daha da ileri gider; Varlıklara erişim, yetkili kullanıcılar, süreçler ve cihazlarla sınırlıdır ve yetkili faaliyetlere ve işlemlere yetkisiz erişim olarak değerlendirilen riskle tutarlı bir şekilde yönetilir. Artık bir envanter hazır olduğuna göre, bunu altyapıdaki kullanıcılar ve uygulamalar için gereken erişimi kontrol etmek için mi kullanıyoruz?
Spesifik olarak, NIST CSF’nin Koruyucu Teknoloji ve Erişim kategorileri içinde, PR.PT-3, yalnızca temel yetenekleri sağlayan sistemlerin konfigürasyonuna en az işlevselliği dahil etmenin uygulanması için çağrıda bulunur. Ayrıca, PR.AC-5, ağ bütünlüğünün ayırma veya segmentasyon yoluyla korunmasını bekler. Bu, mikro segmentasyonun çok önemli bir dizi kontrol üzerinde parladığı yerdir.
2021 yılında yayınlanan “Siber Güvenlik Risk Yönetimi: NIST Siber Güvenlik Çerçevesini Kullanarak Temel Bilgilerde Ustalaşmak” kitabından.
“Birçok sistem bileşeni birden fazla işleve hizmet edebilir, ancak bir aygıtın tek bir işleme hizmet ettiği en az işlevsellik ilkesi (örneğin, bir sunucu bir e-posta sunucusu veya bir web sunucusu olabilir, ancak ikisi bir arada olamaz), yetkileri daha iyi yönetmenize yardımcı olabilir. cihazın desteklediği hizmetlere ayrıcalıklar. Ayrıca, tek bir cihaz üzerinden birden fazla hizmet sunmak riski artırır… Son olarak, gereksiz bağlantı noktalarını veya protokolleri kaldırmak, cihazlarınızın en düşük işlevsellik durumunu en üst düzeye çıkarmaya yardımcı olabilir.”
Mikro segmentasyon uygulaması, mevcut olmaması gereken bağlantı noktası ve protokollere erişimi kaldırarak ortamlardaki saldırı yüzeyini azaltır.
Mikro segmentasyon eksikliğinden yararlanan tehditler
Standartlara dayalı bir program oluşturmak bir şeydir, ancak programın azaltmak veya durdurmak için oluşturulduğu mevcut tehditleri hesaba katmalıyız. Siber sadece savunma ihtiyaçlarını ele almak veya saldırgan tehditleri hesaba katmak değildir. Fidye yazılımı bugün toplumumuzda yaygındır ve hem yerel hem de ulusal düzeyde çok yaygın bir haber öyküsüdür. Neden bu kadar yıkıcı olduğuna baktığımızda, acıya neden olan tek bir sistemin şifrelenmesi değil, etkisinin bu kadar çok sistem üzerinde olmasıdır. Bunun düz ağlardan veya çalışma grupları arasında segmentasyon eksikliğinden olmasına izin verilir. Düzgün uygulanan bir mikro segmentasyon teknolojisi, güçlü bir yönetilen politikayla birleştiğinde, fidye yazılımlarının bir ortamdaki yanal hareketini önemli ölçüde azaltır ve hatta durdurur.
Buradan nereye gidiyoruz?
Yanıtlanacak ilk soru, NIST CSF gibi bir standarda göre oluşturulmuş bir siber programınız olup olmadığıdır. Ardından, kuruluş toplantınızın ilgili kontrollerin her birinin nasıl olduğu üzerinedir. Düzeltmelerinizi ve azaltmalarınızı tanımlarken, kontrollerde tespit edilen boşlukları ele almak için bir mikro segmentasyon çözümü planınıza girmelidir. Bunlar, Sıfır Güven’e doğru yürüyüşteki ilk adımlarınız.
yazar hakkında
Brian Haugli, SideChannel’in CEO’sudur. SideChannel, orta ölçekli şirketlerin varlıklarını korumalarına yardımcı olmak için üst düzey siber güvenlik programları oluşturmaya kendini adamıştır. SideChannel, bu şirketlerin siber suçlara karşı savunmalarını pek çok biçimde güçlendirmek için yetenekli ve deneyimli yetenekler olduğuna inandığı kişileri kullanır. SideChannel’in üst düzey bilgi güvenliği görevlileri ekibi, sektörde 400 yılı aşkın birleşik bir deneyime sahiptir. SideChannel bugüne kadar müşterileri için 50’den fazla çok katmanlı siber güvenlik programı oluşturmuştur. Sidechannel.com’da daha fazla bilgi edinin.
Brian, yirmi yıldır güvenlik programları yürütüyor ve sektöre gerçek bir uygulayıcı yaklaşımı getiriyor. Kuruluşlar için bilgi güvenliği ve veri koruma konularını ele almak için daha gerçekçi bir yol yaratır. Savunma Bakanlığı, Pentagon, İstihbarat Topluluğu, Fortune 500 ve diğerleri için programlar yönetti. Brian, NIST rehberliği, tehdit istihbaratı uygulamaları ve stratejik organizasyonel girişimler konusunda tanınmış bir konuşmacı ve uzmandır.
Brian’a çevrimiçi olarak (EMAIL, TWITTER, vb.) ve şirket web sitemiz https://sidechannel.com/ adresinden ulaşılabilir.