RSA için AsiaPac Saha CTO’su (güçlü kullanıcı kimlik doğrulaması dünyasının öncülerinden biri) olan Craig Dore, sıfır güven ve bunu bir kuruluşun güvenlik stratejisine başarılı bir şekilde nasıl dahil edebileceği hakkında birçok efsane ve yanlış anlama olduğunu söylüyor.
“Bilgisayar güvenliği, tarihsel olarak, o ön kapıdan geçip ağınıza girme konusunda büyük bir varsayımda bulunmuştur. Kapıda kontrol edildikten sonra kaledeki herhangi bir odaya girebilirsiniz. Sıfır güven, çevreyi kaldırır. Kim olduğunuz veya erişim izniniz olup olmadığı hakkında hiçbir varsayımda bulunmaz. Ofiste olmanız ve bir bilgisayarda olmanız, o şeye erişmeniz gerektiği anlamına gelmez.”
Dore, sıfır güven ve kimlik doğrulama ile kimlik yönetiminin önemi söz konusu olduğunda üç ana efsane olduğunu söylüyor.
“Sıfır güven bir ürün değildir. Bu bir felsefe veya zihniyettir ve bilgisayar güvenliğine bir yaklaşımdır. Bunu bir ürünle yapamazsınız. Kuruluşa sihirli bir şekilde sıfır güveni getirecek bir dizi ürün satın alamazsınız.”
Dore, sıfır güvenin temel ilkelerinden birinin “asla güvenmemek ve her zaman doğrulamak” olduğunu söylüyor. İki numaralı efsane, sıfır güveni benimsemenin, güçlü kimlik doğrulama ihtiyacını ortadan kaldırmadığıdır. Dore, bir kaynağa her erişildiğinde kimliğinizi doğrulamanız gerekeceğinden, bunun durumu daha da kritik hale getirdiğini söylüyor.
“Belirli bir kaynağa erişen kişinin kimliğini, güvenli bir şekilde sağlanan güçlü bir kimlik doğrulama aracıyla doğrulamanız gerekir. Bunu yapmazsanız, her zaman toplum mühendisliği veya orada olan diğer istismarlar etrafında yaşadığımız aynı sorunları devam ettirirsiniz” diyor Dore.
Sıfır güven hakkındaki üçüncü büyük efsane, erişim yönetiminin daha az önemli olduğudur. Ancak Dore, zıt doğru.
“Yalnızca yetkili bir uygulamaya veya yetkili bir kullanıcıya göre yetkilendirmeyi kontrol etmekle kalmaz, aynı zamanda bunu otomasyondan yararlanarak mümkün olan en kısa sürede yapmanız gerekir. Erişim yetkilendirmeleri nosyonu, sıfır güven bağlamında her zamankinden daha önemli hale geliyor.”
Otomasyon başarılı bir şekilde uygulandığında Dore, kuruluşların güvenlik personelinin her erişim talebini her zaman doğrulaması için çok kolay bir mekanizmaya sahip olacağını söylüyor. İnsan güvenlik ekipleri, artan sayıda kullanıcı, cihaz, yetki ve ortamdan kaynaklanan ayrıntıların üstesinden gelemez. Bunun yerine kuruluşlar, her yetkilendirme talebini doğrulamak ve sıfır güvene doğru ilerlemek için gereken kaba taneli analizi yapmak için yapay zekaya ihtiyaç duyar. Risk motorları, kullanıcıların davranışlarını değerlendirebilir ve bağlamsal bilgileri hesaba katarak bu isteklerin oluşturduğu potansiyel riski üçgenleyebilir: örneğin, kullanıcı genellikle yaptığı gibi aynı IP adresini, cihazı ve oturumu aynı anda mı kullanıyor? Risk tabanlı kimlik doğrulama, güvenlik ve rahatlığı dengeler: çoğu kullanıcı için görünmez olacak ve tipik davranışlar kapsamındaki erişim isteklerini hızlandıracak ve durum gerektiriyorsa, adım adım kimlik doğrulamasıyla en yüksek riskli erişim isteklerini sorgulayacaktır.
Dore, “Buradaki nihai hedef, güvenliği artırmak ve tehditlerin saldırılara ve ihlallere dönüşme riskini azaltmak için kuruluşunuzdaki güvenlik kontrollerinin otomasyonunu geliştirmektir” diyor.