Siber güvenlik profesyonellerinin %82’si geçen yıl sıfır güveni uygulamaya koymak için çalışıyordu ve %16’sının bu yılın sonuna kadar bu konuda çalışması bekleniyor.
Sıfır güven uygulamasının zorlukları
Muhtemelen bunu daha önce duymuşsunuzdur: sıfır güven tek bir ürün değil, “asla güvenme, her zaman doğrula” ilkesini izleyen bir güvenlik stratejisidir. Bu nedenle, oldukça karmaşık olabilecek ve ek personel gerektirebilecek özelleştirilmiş bir yaklaşım gerektirir.
Sıfır güveni uygulamak, teknoloji ve mimaride genel bir değişiklik yapmak ve bunu adım adım yapmak anlamına gelir. Sıfır güven çerçevesinde çalışacak şekilde tasarlanmamış eski sistemler, farklı güvenlik önlemleri gerektirebilir veya muhtemelen değiştirilmeyi gerektirebilir ve bu da ek masraflara neden olabilir.
Yüksek maliyetleri nedeniyle sıfır güvenin uygulanması, yönetici paydaşların koyduğu engellerle karşılaşabilir.
Kuruluşların gelişen doğası aynı zamanda güvenlik sorunlarına da yol açabilir. Çalışanlar gelip gider ve güçlü bir sıfır güven mimarisine sahip olmak, erişim izinlerinin sürekli ve zamanında güncellenmesi anlamına gelir. Bunu yapmamak, eski çalışanlar tarafından bir kuruluşa zarar vermek için kullanılabilir.
Zorluklar arasında sıfır güven çerçevesinin gerektirdiği sürekli kimlik doğrulama da yer alıyor; zira bu, üretkenliği ve uygulama performansını olumsuz yönde etkileyebilir.
Ağ içerisinde bilinmeyen IoT cihazlarının varlığı önemli bir tehdit oluşturmaktadır. Bunlar çalışanlar, ortaklar veya ziyaretçiler tarafından kuruluşa getirilip çıkarılabilir ve sıfır güven modeliyle tespit edilmesi ve korunması çok daha zordur. Aynı şey, bir kuruluşun kontrolü dışında olduğundan izlenmeyen üçüncü taraf sistemler için de geçerlidir.
Son olarak, sıfır güven modelinin uygulanması, BT ve güvenlik ekipleri arasında sürekli doğrulama gerekliliklerinden kaynaklanan sürtüşmeye neden olabilir.
“Geleneksel güvenlik modelinde güvenlik çevreye odaklanıyordu. Ancak sıfır güven ile güvenlik verilere odaklanır; bu da BT ve güvenlik ekiplerinin güvenlik hakkındaki düşüncelerini değiştirmeleri gerektiği anlamına gelir,” diye belirtti Axiad.
Barikatların üstesinden nasıl gelinir
Güçlü bir sıfır güven güvenlik çerçevesi oluşturmak için kuruluşların öncelikle hangi verilerinin ve sistemlerinin hassas olduğunu belirlemesi, ardından verilerin nerede bulunduğunu bildiklerinden emin olmaları gerekir.
Belirli verilere ve sistemlere kullanıcı erişiminin, çeşitli iş fonksiyonlarına göre verilmesi ve sürekli olarak izlenmesi gerekir. Katı kimlik doğrulama ve yetkilendirmeyi zorunlu kılmak saldırganları uzak tutabilir. Sıfır güvenin bir diğer önemli yönü de şifrelemedir çünkü verileri hem aktarım hem de depolama sırasında korur.
Ancak organizasyonların bunu bırakmaması gerekiyor. Potansiyel riskleri zamanında tespit etmek için ağ trafiğini ve kullanıcı etkinliğini sürekli olarak izlemeleri gerekir.
Sıfır güven aynı zamanda ağları, iş yüklerini ve uygulamaları daha küçük, daha ayrıntılı bölümlere ayırdığı ve saldırganların hareket etmesini ve/veya kötü amaçlı yazılımların birçok şirket sistemine yayılmasını zorlaştırdığı için mikro bölümlemeyi de zorlar.
Son olarak kuruluşlar, çalışanlarının güvenlikle ilgili en iyi uygulamalara uymasını ve tehdit aktörlerinin bir şirketin verilerine ve varlıklarına erişmeye çalışacağı birçok ikna edici yöntemden haberdar olmasını sağlamalıdır.
Ancak tüm bunların öncelikle bir plana ihtiyacı var. Kuruluşlar yavaş yavaş ve dikkat edilmesi gereken belirli konuları belirleyerek başlamalıdır.
Sıfır güvenin en fazla etkiye sahip olabileceği alanları belirlemek için eski yatırımları değerlendirmeli ve ardından güvenliği göz önünde bulundurarak ekiplerin daha üretken olmak için neye ihtiyaç duyduğuna dair onlara net bir algı vererek kilit paydaşların katılımını sağlamalıdırlar.
Kuruluş içinde yeterli bilgi olmadığında, dış uzmanlıktan (profesyonel hizmetler veya yönetilen güvenlik hizmeti sağlayıcıları) yararlanmak yardımcı olabilir.