İş istihbaratı firması Gartner bu hafta, güvenliğe sıfır güven yaklaşımının tehditleri azaltmayı ve başarılı saldırıları daha az zarar verici hale getirmeyi vaat ettiğini, ancak şirketlerin sıfır güven ilkelerini uygulamanın kolay olacağını veya çoğu saldırıyı önleyeceğini beklememesi gerektiğini söyledi.
Sıfır güven mimarilerine ilgi yüksek olsa da, şu anda kuruluşların yalnızca yaklaşık %1’i sıfır güven tanımını karşılayan olgun bir programa sahiptir. Firma ayrıca, tüm kuruluşların yalnızca 10’da birinin 2026 yılına kadar olgun bir sıfır güven çerçevesi oluşturacağını ve o zamana kadar bu önlemlerin tüm saldırıların yaklaşık yarısının etkisini yalnızca bloke edeceğini veya en aza indireceğini tahmin ediyor.
Buna rağmen, Gartner’ın analist yardımcısı John Watts, %1’den %10’a çıkmanın önemli bir ilerleme olduğunu söylüyor.
“Bu nispeten büyük bir artış” diyor. “[Ten percent] düşük görünebilir, ancak aynı zamanda, şu anda müşterilerle konuştuğumuzda ve diğer sektör veri noktalarına baktığımızda, olgun ve ölçülebilir bir sıfıra sahip olduğunu gösterebileceğiniz pek çok büyük kuruluş yok gibi görünüyor. -güven programı.”
Cloud Security Alliance tarafından 2022’de yayınlanan bir ankete göre, sıfır güven girişimleri şirketler ve siber güvenlik ekipleri için ilham verici bir hedef olmaya devam ediyor. Yöneticilerin %80’i stratejinin en önemli öncelik olduğunu belirtiyor ve %77’si uygulama için bütçelerini artırıyor Haziranda. Microsoft tarafından 2021’de yayınlanan ayrı bir rapor, güvenlik liderlerinin %96’sının sıfır güveni başarıları için kritik bulduğunu ve %76’sının sıfır güven girişimini uygulama “sürecinde” olduğunu ortaya koydu.
Sıfır Güveni Eyleme Dönüştürmek
Birleşik uç nokta yönetimi sağlayıcısı Tanium’da Amerika Kıtası CISO’su Christopher Hallenbeck, şirketlerin ileriye dönük yollarını düşünürken, kapsamlı bir sıfır güven mimarisine ulaşmanın kolay olmadığını ve zaman alacağını anlamaları gerektiğini söylüyor.
“Sıfır güvene geçiş süreci bunaltıcı görünebilir ve genellikle felce neden olur” diyor. “Şaşırdım [forecasted] sayısı %10’a kadar çıkmaktadır. Pek çok kuruluşun sıfır güven özlemi olsa da, çok azı bunu tamamen benimsemek için bütünsel değişiklikler yaptı.”
Siber güvenlik ürün ve hizmetlerinin pazarlanmasında “sıfır güvenin” yaygın kullanımı göz önüne alındığında, kafa karıştırıcı da olabilir.
Önceki bir Insights raporunda Gartner, terimin aşırı hevesli kullanımına karşı çıktı. Firmada seçkin bir başkan yardımcısı ve analist olan Neil MacDonald, sıfır güvenin, kullanıcılara ve cihazlara verilen güven derecesinin açıkça verilmesini, sürekli olarak hesaplanmasını ve ardından yalnızca doğru miktarda erişime izin verecek şekilde uyarlanmasını gerektirdiğini söyledi. gerektiği gibi.
“Sıfır güven, belirli bir teknoloji veya mimari değil, bir düşünme biçimidir” dedi. “Bu gerçekten sıfır örtülü güven ile ilgili, çünkü kurtulmak istediğimiz şey bu.”
Analist firma bu haftaki gönderisinin bir parçası olarak, kurumsal bilgi işlem altyapısından örtülü güveni kaldırma kavramı iyi olsa da, mimarinin uygulanmasının zor ve zaman alıcı olduğunu ve tüm sorunları çözmediğini belirtti.
Hallenbeck, bu nedenle kuruluşların sıfır güven girişimlerini operasyonlarının belirli bölümlerine entegre etmeye geçmeleri gerektiğini belirtiyor.
“Sıfır güven altına almak için her sistemi yapılandırmanız ve en hassas bilgileri tutan sistemlere öncelik vermeniz gerekiyor” diyor. “Her şey, bir plan oluşturmak için neye sahip olduğunuzu bilmekle ilgilidir.”
Sıfır Güvenin Sınırlarını Bilin
Gartner’dan Watts, gerçekten de sıfır güvenin kapsamını ve sınırlarını bilmenin çok önemli olduğunu söylüyor. Sıfır güven uygulamalarında kullanılan mimari ve teknolojiler, yanal hareketi engellemek ve ilk ihlalin etkisini kontrol altına almak için iyidir. Ancak şirketler, sıfır güven hizmetinin tüketiciye dönük sistemlerden taviz verilmesini önlemesini beklememelidir.
Watts, tüketici tüketimine yönelik ve herkesin hizmeti bulup kullanmaya çalışabileceği İnternet’e maruz kalan hiçbir şeyin sıfır güven için aday olmadığını ve bir şirketin girişimleri kapsamında olmadığını söylüyor. Saldırganlar, geçen yıl Rockstar Games’in hedef odaklı kimlik avı ve dahili bir işbirliği platformu aracılığıyla ele geçirilmesi gibi bazı kimlik ve kimlik doğrulama tekniklerini şimdiden atlamaya başlıyor. Sıfır güven korumaları tarafından kontrol edilmeyen giriş noktaları bulmaya devam edecekler veya sıfır güvenin zayıflığına odaklanacaklar, diyor.
Firma aslında 2026 yılına kadar sıfır güvenin tüm siber saldırıların yarısından fazlasını engelleyemeyeceğini tahmin ediyor.
Tanium’dan Hallenbeck, yine de, sıfır güven çerçevelerini benimsemenin sonunda işe yarayacağını söylüyor. Olgun bir sıfır güven programına sahip bir şirket, “hangi sistemlerin [they] Bu şekilde, bir saldırgan sıfır güven korumasını atlasa bile kuruluş, saldırganın dahili sistemlere ve verilere erişimini sınırlayarak zararı sınırlayabilir.
Watts, “Her satıcının size tüm sıfır güven sorunlarınızı çözebileceğini söylediği bu aşamadan, kuruluşların artık daha fazla sıfır güven denetimi uyguladığı alana doğru ilerlemeye başlıyoruz” diyor. “Hem iyi hem de kötü bir gerçeklikle yüzleşiyorlar, değil mi? Ve her şey ne çok iyi ne de çok kötü.”