John Linford, Forum Direktörü, Açık Grup Güvenlik Forumu ve Açık Güvenilir Teknoloji Forumu
Açık Grup Güvenliği ve Açık Güvenilir Teknoloji (OTTF)
Hızlı değişimler ve değişen trendler ile tanınan bir sektörde bile, son birkaç yılda siber güvenlik zeitgeistinde Sıfır Güven’in büyümesi dikkat çekicidir. Yakın zamana kadar sadece filizlenmekte olan bir kavramdı ve şimdi dünyadaki hemen hemen her güvenlik ekibinin yol haritasında.
Bu bir abartı değil. Geçen yaz yayınlanan Okta’nın dördüncü yıllık Sıfır Güven Durumu raporu, ankete katılanların %97’sinin “tanımlanmış bir Sıfır Güven girişiminin yürürlükte olduğunu veya önümüzdeki birkaç ay içinde böyle bir girişime sahip olmayı planladığını” ortaya koydu. Bu, ilk baskıdaki sadece %16’lık bir artış ve buna benzer başka bir büyüme hikayesi düşünmek zor.
Öyleyse, şu andan itibaren uygulama aşamasında olduğumuzu ve herkesin eski ağ ucu modelini sürekli, parçalı kimlik doğrulamayla değiştirmekten yakında fayda sağlayacağını bilerek Sıfır Güven için zaferi şimdi mi ilan etmeliyiz?
Bu maalesef erken olabilir. Sıfır Güven ile ilgili güzel bir şey, bazı teknolojik yeniliklerle karşılaştırıldığında, temel prensibini tanımlamanın çok basit olmasıdır. Önceki paragraf, bunu ifade etmenin bir yolunu verdi ve buna, ağ merkezli yaklaşımlar yerine veri ve varlık merkezli güvenliğe geçiş veya erişimi reddetmek yerine yalnızca gerektiğinde erişim sağlama açısından da doğru bir şekilde bakabiliriz. gerektiğinde.
Bu örtüşen tanımlar – ve dolaşımda olan başkaları da var – yutturmaca için verimli bir zemin. Bu, Okta’yı yanıtlayanların %97’sinin planlarında ve projelerinde ‘Sıfır Güven’ terimine sahip olabileceği anlamına gelirken, gerçek bir Sıfır Güven Mimarisinin (ZTA) nihai olarak neye benzemesi gerektiği veya olacağı hakkında sorulacak gerçek sorular var.
Teoride basitçe ifade edilmesine rağmen, Sıfır Güven’in gerçek uygulaması daha zor olabilir. Hem işletmeler hem de kullanıcılar için, güvenlik uygulamaları derinlemesine yerleşik olabilir ve değiştirilmesi zor olabilir. Kuruluşlar, üzerinde yeniden çalışılması gerekebilecek çok çeşitli güvenlik araçlarına ve süreçlerine sahiptir ve daha da önemlisi, kullanıcıların geleneksel süreçlere oldukça aşina olmaları ve bu yeni kültüre uyum sağlamak için kararlı çaba ve iletişim gerektirmeleri gerekir.
Bununla birlikte, harcanan çaba buna değer, çünkü siber tehdidin değişen doğası, hızla geleneksel güvenlik çevre modelinin onunla mücadele etme yeteneğini geride bırakıyor. Kötü niyetli aktörler, çevre bir kez aşıldığında ağlar içindeki değer noktalarına yatay olarak hareket etme konusunda her zamankinden daha yetenekli hale geliyor ve güvenlik ekiplerinin bu hasarı iyileştirmek için yapabileceği çok şey var.
Aynı zamanda, bu geleneksel çevrenin şeklini tanımlamak daha da zorlaşıyor. Değişen çalışma kalıpları, kişisel cihazların dahili ağlara erişmesini sağlamak için artan bir baskı olduğu anlamına gelirken, işletmeler ve müşteriler arasındaki dijitalleştirilmiş ilişkiler, bir zamanlar tamamen farklı olan sistemler arasında giderek daha fazla köprü kurulmasını gerektiriyor.
Tüm bunlar, içeridekiler ve dışarıdakiler arasındaki sınırların bulanıklaştığı anlamına geliyor – bunu bir sınır olarak düşünmenin önemli ölçüde daha az kullanışlı veya gerçekçi hale geldiği ölçüde. Bunun yerine, kullanıcının, varlığın veya verilerin çevre olduğu etkili bir ZTA’ya ihtiyacımız var.
Neyin gerçekte Sıfır Güven olduğuna (ve bir o kadar da önemlisi, neyin olmadığına) dair ortak bir anlayışa ihtiyacımız var. Sıfır Güven’i takip eden herhangi bir kuruluş, piyasaya sürdükleri sistemlerin gelecekteki güvenlik tehditlerinin taleplerini gerçekten karşılayacağından emin olmak için sağlam, açık, test edilmiş, satıcıdan bağımsız metodoloji tanımlarına güvenme konumundan başlamalıdır.
NIST® 800-207 dahil olmak üzere yaygın olarak kullanılan tanımlar mevcuttur ve The Open Group, başarılı bir Sıfır Güven stratejisi için nelerin müzakere edilemez olduğunu özetleyen Sıfır Güven Emirleri başlıklı net, okunabilir bir kılavuz yayınlamıştır. Ayrıca, işletmeler, satıcılar, hükümet ve akademi arasında etkili güvenlik sağlamak için ZTA’nın farklı unsurlarının nasıl etkileşimde bulunması gerektiği konusunda ortak bir anlayış oluşturmaya yardımcı olacak kendi standart ZTA çerçevemizi geliştirme sürecindeyiz.
Sıfır Güven’e doğru hızlı ve büyük ölçekli bir hareket olması, açık olmak gerekirse, son derece cesaret verici bir gelişmedir: dijital güvenlik ihlallerinin maliyetleri yıldan yıla güvenilir bir şekilde artmaktadır ve yeni bir müdahale ihtiyacı açıktır. . ZTA’yı doğru yapmak için önce onu doğru bir şekilde tanımlamamız gerekir.
yazar hakkında
John Linford, Açık Grup Güvenlik Forumu ve Açık Güvenilir Teknoloji Forumu’nun Forum Direktörüdür. The Open Group personeli olarak John, Open Güvenilir Teknoloji Forumu liderlerini ve katılımcılarını, The Open Group’un kaynaklarını kullanarak işbirliğini kolaylaştırmak ve çıktılarını yayınlamak için The Open Group Standartları sürecini takip etme konusunda desteklemektedir. John, Haziran 2019’da The Open Group’a katılmadan önce San Jose Eyalet Üniversitesi’nde Öğretim Görevlisi olarak çalıştı ve Ekonomi dersleri verdi.
John, Open FAIR™ sertifikasına sahiptir ve risk analistlerinin Open FAIR risk analizini nasıl uygulayacaklarını anlamalarına yardımcı olmak amacıyla bir Open FAIR risk analizi gerçekleştirmek için en iyi uygulamaları sunan Open FAIR Risk Analizi Süreç Kılavuzu’nun (G180) baş yazarıdır. metodoloji.