ABD Ulusal Güvenlik Ajansı (NSA), ABD federal hükümetinin BT ağlarını ve sistemlerini güvence altına almak için sıfır güvene ilişkin en son kılavuzunu yayınladı. Bu, NSA’dan çıkan ve hem kamu hem de özel sektörde kurumsal BT ortamlarının güvenliğini sağlamak için en iyi uygulama olarak uygulanabilecek “pratik ve eyleme geçirilebilir” öneriler sağlayan iki kılavuz belgeden ilkidir.
içinde Sıfır güven astar Belgede, NSA bir “sıfır güven zihniyeti” tanımlıyor; bu, BT ortamı trafiğinin, kullanıcıların, cihazların ve altyapının tehlikeye girebileceğini varsaymak anlamına geliyor. Bunu başarmak için kılavuz, BT güvenlik ekiplerini tüm erişim istekleri için sıkı bir kimlik doğrulama ve yetkilendirme süreci oluşturmaya teşvik ediyor.
Devletin BT sistemlerinin bütünlüğünü güvence altına alma bağlamında, böyle bir stratejinin, her erişim talebini titizlikle doğrulayarak, yetkisiz değişiklikleri önleyen, kötü amaçlı kod girme riskini azaltan ve yazılım ile tedarik zincirlerinin bütünlüğünü sağlayan ağların güvenlik duruşunu iyileştirdiğini söyledi.
NSA’nın sıfır güvene ilişkin ana çıkarımı, ağ bağlantısı veya iç kaynaklara erişim talep eden kullanıcılara veya cihazlara asla güvenmemektir. NSA kılavuzu, ağdaki tüm faaliyetlerde en az ayrıcalık ilkesine bağlı kalarak dinamik kimlik doğrulama ve açık onayın kullanıldığı istisnasız doğrulamayı gerektirir.
Özellikle, NSA’nın en son kılavuzu, BT güvenlik ekiplerinin, bir ihlalin olduğu bir BT ortamında çalıştıklarını varsaymaları gerektiğini öne sürüyor; bu, bir düşmanın ortamda zaten var olduğu varsayımıyla kaynakları işletmek ve savunmak anlamına geliyor.
NSA, BT güvenlik ekiplerinin varsayılan olarak reddetmeyi planlamaları ve tüm kullanıcıları, cihazları, veri akışlarını ve istekleri yoğun bir şekilde incelemeleri gerektiğini söyledi. Bu, BT güvenlik ekiplerinin şüpheli etkinlik açısından tüm yapılandırma değişikliklerini, kaynak erişimlerini ve ortam trafiğini sürekli olarak günlüğe kaydetmesi, incelemesi ve izlemesi gerektiği anlamına gelir.
Kılavuz aynı zamanda açık doğrulamayı da tavsiye ediyor. Bu, tüm kaynaklara erişimin, NSA’nın “bağlamsal erişim kararları için güven seviyeleri” olarak adlandırdığı şeyi türetmek için kullanılan hem dinamik hem de statik mekanizmalar kullanılarak tutarlı bir şekilde doğrulandığı anlamına gelir.
Sıfır güven uzmanı, CTO ve AppOmni’nin kurucu ortağı Brian Soby, yönergeler hakkında yorum yaparak şunları söyledi: “Kılavuz boyunca, kaynak erişiminin ve yapılandırma değişikliğinin sürekli günlüğe kaydedilmesi, denetlenmesi ve izlenmesinin yanı sıra katmanlar arasında kapsamlı görünürlük vurgulanıyor.
“Açık bir şekilde okuyun, NSA birçok programın kaba kontrol noktaları ve sınırlı sinyaller etrafında oluşturulduğunu öne sürerken, asıl risk kurumsal uygulamalarda, özellikle de hassas verilerin ve iş akışlarının bulunduğu SaaS’ta yaşanıyor.”
Soby’nin yeni yönergelere ilişkin anlayışı, sıfır güvenin, yalnızca ağ dizini hizmetleri yoluyla kimlik doğrulama yeteneklerine ve başarılı kimlik doğrulamanın onlara verdiği yetkiye güvenmek yerine, kullanıcıların ne yapıp ne yapamayacağının kapsamlı bir şekilde anlaşılmasını gerektirdiğidir.
“Modern SaaS’ta etkili erişim, uygulama yerel izinleri, paylaşım kuralları, yetkilendirilmiş yönetim, koşullu kontroller ve üçüncü taraf OAuth izinleri tarafından şekilleniyor olsa da, pek çok güvenlik programı hâlâ gerçek yetkilendirmenin yerine dizin gruplarını ve basit rolleri ikame ediyor.”
NSA’nın kaynak erişimini ve konfigürasyon değişikliğini izlemeye verdiği önemin, kaba kimlik soyutlamalarına güvenmenin, BT güvenlik ekiplerini açığa çıkaran ve kötüye kullanıma olanak sağlayan eylemler ve izin değişiklikleri konusunda kör bıraktığı anlamına geldiğini belirtti.
“Bu boşluk aynı zamanda şu anda gördüğümüz ihlaller ve kampanyalarla da rahatsız edici derecede örtüşüyor” diye ekledi.
Örnek olarak Soby, UNC6040 ve UNC6395 olarak takip edilen gruplara bağlı son saldırıların, saldırganların, SaaS ortamlarından verilere ulaşmak ve verileri çıkarmak için, tehlikeye atılmış OAuth belirteçleri ve üçüncü taraf uygulama erişimi de dahil olmak üzere SaaS kimliklerini ve entegrasyonlarını kötüye kullanarak geleneksel, ön kapı merkezli kontrolleri nasıl atlayabileceklerini gösterdiğini söyledi.
Soby, “Bu ışık altında, NSA’nın rehberliği daha keskin bir sonucu destekliyor: Kullanıcı etkinliklerini, davranışlarını ve uygulamalar içindeki yetkilerin önemliliğini gerçekten anlayamayan kimlik güvenliği programları, sıfır güven ilkeleriyle eşleşmez” dedi. “Bunlar genellikle etkili olmaktan ziyade performansa dayalı hale geliyor ve güvenlik operasyonları merkezi ekipleri, uygulama içinde anlamlı saldırgan faaliyetleri gerçekleştiğinde oturum açma gibi genel sinyallerle sıkışıp kalıyor.”