Ağlar daha karmaşık hale geldikçe sıfır güven benimsenmesi hızlanmaya başlıyor. Gartner, 2026 yılına kadar büyük işletmelerin %10’unun kapsamlı, olgun ve ölçülebilir bir sıfır güven programına sahip olacağını tahmin ediyor (bugün yalnızca %1’dir). Ancak benimseme yavaş oldu; 2023 PWC raporuna göre, yalnızca %36’sı sıfır güven yolculuğuna başladı. Ne bekliyorsun?
Sıfır güven için geniş ölçekte entegrasyon ve yapılandırma küçük bir başarı değildir. Kullanıcı deneyimini (UX) yönetmekten kaynak kısıtlamalarına ve benimseme için gereken kültürel değişime kadar, sıfır güven zorlayıcı olabilir.
Tarihsel olarak, sıfır güven, ağlara ve kimlik erişimine odaklandı, ancak zamanla, bir kuruluşun BT altyapısına ilişkin daha bütünsel bir bakış açısı gerektiren kapsamlı bir siber güvenlik yaklaşımı haline geldi. Sıfır güvenin daha önce “çevre artık önemli olmadığı” için uç noktaların bir rolü olduğu fikrini reddettiği yerde, uygulama üzerinde çalışanlar artık uç noktaların sağlam bir sıfır güven stratejisi için çok önemli bir bileşen olduğunu görüyor.
Her kuruluş farklı olsa da benimseme sürecini yavaşlatan bazı ortak engeller vardır. Bu yazıda, bu zorlukların üstesinden gelmek için bazı ipuçları sunacağız.
Sıfır güven benimseme ipuçları
Çoğu kuruluşun BT altyapısı iki önemli bileşenden oluşur: ağlar ve uç noktalar. Ağı yollar ve uç noktaları saldırganlar için varış noktası olarak düşünün. Bunlar sunucuları, sanal makineleri, iş istasyonlarını, masaüstü bilgisayarları, dizüstü bilgisayarları, tabletleri, mobil cihazları ve daha fazlasını içerebilir. Ve birden çok uygulama çalıştırırlar, verileri depolar ve işlerler, diğer veri kaynaklarına bağlanırlar, vb.
Siber suçlular, kurumsal ağların derinliklerine inerken bu uç noktalara saldırıp onları kontrol etmeye çalışır. Oradan, ek kimlik bilgileri alabilir, yanal olarak hareket edebilir, kalıcılığı koruyabilir ve sonunda verileri sızdırabilirler. Bu uç noktalar sürekli kullanımda olduğundan (ve sayıları arttığından), bunların güvenliğini sağlamak zor olabilir. Uç nokta ihlallerinin yaklaşık dörtte birini oluşturan üst düzey yanlış yapılandırmalar ve güvenlik ekiplerinin daha bütünsel bir güvenlik çerçevesine ihtiyaç duyduğu açıktır.
Gelelim ipuçlarına. Bu kapsamlı bir liste olmasa da, umarız size ve ekibinize, uç noktalar için sıfır güveni benimsemeyle ilişkili ilk mide ekşimesinin bir kısmının üstesinden gelmenize yardımcı olur.
1. Bilgi silolarını yıkın ve yapabileceğiniz teknolojileri birleştirin – BT ve güvenlik arasındaki derin işbirliğini desteklemeyen organizasyon yapıları, yalnızca artan saldırı yüzeyleriyle ilgili endişeleri artıracak ve uyumluluk gereklilikleriyle ilgili zorlukları daha da kötüleştirecektir. Sıfır güven başarısı için ekiplerin bilgi silolarını yıkması ve verileri ekipler ve çözümler arasında paylaşması gerekir. Sıfır güven avantajlarının ötesinde konsolidasyon, birden fazla sistemin bakım maliyetini önemli ölçüde azaltabilir ve tek bir görev için çok sayıda aracın karmaşıklığını ve fazlalığını azaltarak verimliliği büyük ölçüde artırabilir.
2. Kapsamlı bir varlık envanteri tutun ve uç noktaların tam görünürlüğünü elde edin – Onu korumak için neye ihtiyacın olduğunu bilmelisin. Bu, ilk kuralın hiçbir şeye güvenmemek olduğu sıfır güven yaklaşımları için gereksiz görünse de, neyin kişisel cihazlara karşı kuruluşunuz tarafından yönetildiğini bilmek, uç noktanın güvenilirliğini nasıl doğruladığınızı ve doğruladığınızı kategorilere ayırmanıza olanak tanır. Şimdi, karmaşıklık, entegrasyon eksikliği, insan faktörleri ve maliyetle ilgili zorluklar nedeniyle bu zor olabilir. Ancak isteğe bağlı varlık keşfi ve gerçek zamanlı varlık envanteri ile, daha dikkatli bir şekilde incelenmesi gereken cihazlara karşı aktif olarak yönetilen uç noktalar hakkında daha net bir fikir vererek kapsamlı görünürlük elde edebilmeniz gerekir.
3. Varlık türlerinde algılama ve düzeltme için otomatik ilke tabanlı kontrollerden yararlanın – Kontrolleri manuel olarak yönetmek ve uygulamak için personel kullanmak, güvenlik sorunlarını tespit etmek ve düzeltmek için insan gözetimine ve müdahalesine dayanır. Artan sayıda siber saldırı ve veri ihlalinin kanıtladığı gibi, bu açıkça artık sürdürülebilir değildir (özellikle bir kuruluş ölçeklenirken). Otomasyon tarafından yönlendirilen ilke tabanlı kurallar, güvenlik kontrollerinin tüm varlıklar ve kullanıcı etkinlikleri boyunca tutarlı ve tekdüze bir şekilde uygulanmasını sağlayabilir. Bu, son kullanıcıların bir yamayı kabul etmesini veya makinelerini güncelleyip yeniden başlatmasını gerektirmek gibi manuel görevleri de ortadan kaldırabilir.
Bu tür bir otomatik politika uygulaması, sıfır güven uygulamaları için gerekli olan politika uygulamasını veya güven değerlendirme motorunu beslemeye de yardımcı olmalıdır. Eldeki güvenilir ilke tabanlı profillerle, bir güven değerlendirme motoru sorular “sorabilir” ve bir cihazın veya varlığın güvenlik duruşunu değerlendirebilir. Örneğin: Açık bir güvenlik duvarı var mı? En son onaylanmış yamalar yüklü mü? Son zamanlarda bir güvenlik açığı tarayıcısı ile taranmamış herhangi bir bilinmeyen program yüklendi mi?
Çözüm
Giderek daha fazla kuruluş sıfır güveni uygulamaya geçtikçe, uç nokta güvenliğiyle ilgili bazı temel zorlukları anlamak çok önemlidir. Başarılı bir çerçeve elde etmeye yardımcı olabilecek bir zihniyet değişikliği, gereksinimlerin anlaşılması ve bir dizi araç gerektirir.
Sıfır güven ilkelerini kurumsal ihtiyaçlarınızı karşılayacak şekilde uyarlamak, yolculuğunuzu hızlandırmanıza yardımcı olacaktır. Ve umarım bu ipuçları yardımcı olacaktır. Pratik sıfır güven uygulama kılavuzu hakkında daha fazla bilgi edinmek için Ulusal Standartlar ve Teknoloji Enstitüsü ve Ulusal Siber Güvenlik Mükemmeliyet Merkezi tarafından yapılan bazı yeni araştırmalara göz atın.