‘Herhangi bir cihaz üzerinden, herhangi bir yerden çalışma’ kavramı yeni değil ancak Kovid-19 salgını, uzaktan çalışmanın güvenlik zorluklarını net bir şekilde odağa taşıdı.
Pek çok kuruluş için acil sorun, birdenbire ev merkezli bir işgücünün (birçoğunun yakın ofis ortamından uzakta çalışma deneyimi olmayan) BT güvenliğinden ödün vermeden bağlantıda kalmasını ve üretkenliğini sürdürmesini sağlamaktı.
Çalışanlar evde çalışırken hem şirket içi hem de bulut hizmetlerinin yanı sıra cihazdaki yerel mobil uygulamalara erişim sağlamanın artan karmaşıklığı, güvenli bir VPN’in artık günlük operasyonlar için yeterince güçlü olmadığı anlamına geliyordu; ek araç ve uygulamalarla desteklenmesi gerekiyordu. (VPN sunucuları, uzaktan erişimi engelleyen bir ağ üzerinde tek bir arıza noktası olabilir; bir VPN istemcisi kurma ihtiyacı ise cihaz değiştirme yeteneğini sınırlar. VPN istemcileri aynı zamanda yoğun işlem de yapabilir, bu da uygulamaları ve hizmetleri çalıştırmak için daha az belleğin kullanılabileceği anlamına gelir. .)
Bu, tüm kuruluşların sıfır güven yaklaşımını ve ‘asla güvenme, her zaman doğrula’ mantrasını benimsemesi ihtiyacını vurguladı. Veriler bir kuruluşun en büyük varlığıdır ve sıfır güven ilkeleri, altyapı, ağlar, uygulamalar, uç noktalar ve kimlik yönetiminden oluşan katmanlı bir çerçeve kullanarak verileri korur.
Kimlik ve erişim yönetimi (IAM)
Tüm kullanıcılar için yönetilen kimlik, sıfır güvenin temel ilkesidir ve çok faktörlü kimlik doğrulama (MFA) ile tek oturum açmanın (SSO) sağlanması kritik bir bileşendir. MFA, kullanıcının kimliğini sık sık tek kullanımlık bir şifre, SMS, biyometrik, cihazdaki kimlik doğrulama uygulaması veya ses tanıma uygulaması aracılığıyla onaylamasını gerektirir. Şirketin akıllı telefonları mevcut değilse ve kimliğin kişisel bir cihazda doğrulanması gerekiyorsa, bunun hassas bir şekilde ele alınması gerekir; bu, bazı kullanıcıların bir zorunluluk olmasına rağmen sınırı aştığını düşünebilir.
En az ayrıcalıklı erişim yetkilendirmesi kavramı, kullanıcılara yalnızca işlerini yapmak için gereken sistem erişiminin verilmesini sağlar; düzenli erişim ve ayrıcalık incelemeleri ve yeniden sertifikalandırmalar, bunun her kullanıcı için takip edilmesini sağlar. Aşırı sistem erişimi için zaman zaman istisna erişim talepleri veya itfaiyeci oturum açma işlemleri gerekli olabilir, ancak bu yalnızca kısa vadeli olmalıdır.
IDAM araçları, risk tabanlı veya politika tabanlı erişimi uygulayacak şekilde yapılandırılabilir. Burada, bir kullanıcının konumu veya ağ erişim noktası, kullanıcının güvenli bir ofis ağından oturum açması, MFA’ya ihtiyaç duyması veya örneğin bir kahvehanede olduğu gibi halka açık Wi-Fi’nin tamamen engellenmesi nedeniyle sistem erişim gereksinimlerinin gevşetilip gevşetilmeyeceğini etkileyebilir. mağaza veya havaalanı bekleme salonu kullanılıyor.
Güvenlik uç noktaları
Sıfır güven ilkeleri aynı zamanda kuruluş genelindeki tüm uç noktaların ve uygulamaların güvenliğinin sağlanmasını da gerektirir.
Uç noktalar kullanıcı cihazları, IoT cihazları, yazıcılar ve sunucular gibi kurumsal ağa bağlı cihazlar vb. olabilir. Uygulamalar, e-posta, elektronik tablolar, zaman kayıt araçları, proje yönetimi platformları ve İK gibi üretkenlik uygulamalarından iş yerinin ayrılmaz bir parçasıdır. sistemler, sektöre özel özel uygulamalara (örneğin petrol ve gaz ve kamu hizmetleri) ve ayrıca işletmeler ve bireyler tarafından kullanılan sosyal medya ve akış uygulamalarına kadar.
Evden çalışırken sanal olarak işbirliği yapma ihtiyacı, birçok işletmenin ilk kez cihazlarda (uç noktalarda) işbirliği yazılımını uygulamasını gerektirdi. Ancak bu her zaman kolay olmadı; Örneğin yaygın olarak kullanılan Zoom uygulaması, ‘Zooombombing’ riskini ve kullanıcı verilerinin açığa çıkma potansiyelini artıran zayıf uçtan uca şifreleme nedeniyle ilk zorluklarla karşılaştı. CISO’ların, operasyonel yeteneklerden ödün vermeden şirket verilerini koruyan işbirliği yazılımı için yeni kullanım koşulları taslağı hazırlaması gerekiyordu.
Şirket cihaz yönetimi
Cihazlar şirkete aittir veya kişiseldir (Kendi Cihazınızı Getirin veya BYOD). Hangi kategoriye girerse girsin masaüstü, dizüstü, tablet, akıllı telefon olsun tüm cihazların güncel bir işletim sistemine, güncel uygulamalara sahip olması, güvenli bir şekilde yönetilmesi, şirket verilerinin güvende tutulması ve kurulumunun yapılmış olması gerekir. böylece sistem erişimi konuma bağlıdır.
Şirket tarafından yönetilen tüm masaüstü ve dizüstü bilgisayarlar, özel veya genel kablosuz ağdan erişimin güvenli bir kurumsal VPN aracılığıyla yönlendirilmesini garanti etmek için bir VPN istemcisinin kurulumunu gerektirir ve merkezi yazılım yönetimi araçları, işletim sistemi güncellemelerini, uygulama kurulumlarını ve yazılım düzeltme eklerini dağıtabilir. Kötü aktörler tarafından kullanılabilecek bir virüsün veya güvenlik açığının ortaya çıkması için kullanıcının yalnızca kamuya açık bir alandan yazılım veya uygulama yüklemesi yeterli olduğundan, birçok şirket masaüstünü ‘kilitliyor’ ve yüklenen tüm uygulama ve hizmetlerin güvenli olduğundan emin olmak için uygun araçları kullanıyor. şirket onayladı.
Güvenli bir VPN’e ek olarak, mobil cihaz yönetimi (MDM) de şirket tabletleri ve akıllı telefonlar için çok önemlidir. Bu, şirketlerin her cihazı belirli bir sahibine kaydettirmesine, işletim sisteminin (OS) güncel tutulmasını sağlamasına, uyumlu olmayan cihazların şirket uygulamalarına ve hizmetlerine erişimini engellemesine, yüklenebilecek uygulamaları kontrol etmesine, uygulamaların onaylı sürümlerini beyaz listeye almasına olanak tanır. ve ele geçirilen veya çalınan cihazları silin.
BYOD yönetimi
BYOD, en büyük baş ağrılarından biri olan kişisel cihazlara indirilen hassas verilerin korunmasıyla, cihaz ve erişim güvenliği konusunda iş ve kullanıcı sorumluluğunun sınırlarını zorluyor. Güvenlik, işletim sistemi yamalarını ve güvenliğini ve uygulamaların en son sürümlerini yükleme konusunda cihaz sahibinin ne kadar proaktif olduğuna kadar bireysel bir şeye bağlı olabilir.
Pek çok işletmenin aşağıdaki gibi güvenlik önlemlerini belgeleyen bir BYOD politikası olacaktır: kişisel cihazların nasıl güvenli bir şekilde kullanılabileceği; yasaklanmış uygulamalar; şirket verilerine erişim politikası; ve şirket içi hizmetlere erişmek için şirketin VPN istemcisini yükleme ihtiyacı. Ancak gerçekten güvenli olmak için Microsoft Intune gibi bir uç nokta yönetimi çözümüne yatırım yapmak, tüm cihazları (masaüstü bilgisayarlar, tabletler, akıllı telefonlar vb.) yönetmek ve bunların belirli sahiplere kayıtlı olduğundan emin olmak ve aynı zamanda tüm cihazlarda cihaz yönetimini sağlamak açısından çok önemlidir. öncül, bulut ve hibrit mülkler.
Uç nokta yönetimi çözümleri, şirketlerin şirket uygulamalarına ve hizmetlerine erişen tüm cihazları kontrol etmesine olanak tanır. Cihaz uyumluluk kuralları, minimum işletim sistemi düzeylerine (veya yazılımın en son sürümü test edilmemişse maksimuma) uyulmasını sağlamak ve ayrıca gerekli veya yasaklı olup olmadıklarına bağlı olarak uygulama sürümlerini beyaz listeye almak ve kara listeye almak için ayarlanabilir. Diğer kontroller minimum yazılım sürümlerini, güvenlik yamalarının dağıtımını ve önkoşul yazılımların (VPN istemcisi veya kişisel cihazlardan dosya indirilmesini engelleyen izleme araçları gibi) kurulumunu içerir.
Ek olarak, uç nokta yönetimi çözümleri, risk tabanlı politikaların erişime izin verecek veya engelleyecek şekilde uyarlanmasına veya uyumluluk kuralları karşılanmadığında veya daha az güvenilen bir konumdan erişim talep edildiğinde MFA’ya meydan okunmasına olanak tanır.
Sıfır güven zihniyeti
Pandemi ve bunun sonucunda ortaya çıkan karantinalar, BT ve siber güvenliği ön plana çıkardı. Ancak insanlar fiziksel olarak nerede çalışırsa çalışsın, siber güvenlik ekipleri buluta geçiş, yapay zeka uygulamalarının hızla ortaya çıkması ve giderek daha karmaşık hale gelen dağıtılmış hibrit ortamların şu anda bu evrimin bir parçası olması nedeniyle sürekli olarak yeni zorluklarla karşı karşıya kalıyor. Bu bağlam göz önünde bulundurulduğunda, sıfır güven politikaları ve zihniyetleri bir kuruluşun varlıklarını çok çeşitli risklere karşı emniyette ve emniyette tutmanın kritik bir bileşenidir; bunların benimsenmesi iyi bir iş uygulamasıdır ve bu nedenle gereklidir.