Bu Help Net Security röportajında, Cisco Danışmanlık CISO’su Wolfgang Goerlich, hem güvenlik hem de iş sonuçları için olgun bir sıfır güven modeli uygulamanın faydalarını tartışıyor ve bildirilen güvenlik olaylarında azalma ve uyarlanabilirliğin arttığını ortaya koyuyor.
Goerlich, sıfır güvenin başarıyla benimsenmesinde organizasyon kültürünün rolünü vurguluyor, destekleyici bir kültürün geliştirilmesine yönelik stratejilerin ana hatlarını çiziyor ve sıfır güven modelinin gelişimindeki gelecekteki eğilimler hakkında konuşuyor.
Güvenlik ve iş sonuçlarına ilişkin olgun bir sıfır güven modeli uygulamanın ölçülebilir faydaları nelerdir?
İyi güvenlik öncelikle bir iş sonucu sağlar ve sonuç olarak güvenlik duruşunu artırır. Sonuçları araştırırken işi etkinleştirme, riski yönetme ve işletme verimliliğini artırma konularına bakarız.
Sıfır güven programlarını olgunlaştıran kuruluşlar bunu dijital dönüşümü, iş gücü modernizasyonunu ve hibrit bulut altyapısını benimsemeyi desteklemek için yapıyor. Güvenlik fonksiyonunun işi takip etme, dış olaylara uyum sağlama ve bir güvenlik kültürü oluşturma becerisinde ölçülebilir artışlar gördük.
Güvenliğe özel olarak, sıfır güven olgunluğuna ulaşan kuruluşların güvenlik olaylarını bildirme olasılığı yarı yarıya düşüyor (%67’den %33’e düşüyor). Veri ihlali, DDoS saldırıları, kazara ifşaat veya içeriden kötü niyetli kişilerden kaynaklanan olayların olasılığı genel olarak azalır. Sıfır güvenin kimlik kontrolleri (%11 azalma) ve ağ ve iş yükü korumaları (%8 daha az olasılık) göz önüne alındığında fidye yazılımının olasılığı önemli ölçüde daha düşüktür. Daha az olay görüyoruz, ciddiyet daha az ve müdahale ve iyileşme hızı daha yüksek.
Sıfır güvenin başarılı bir şekilde benimsenmesinde kurumsal kültür ne kadar etkilidir ve liderler destekleyici bir kültür geliştirmek için hangi stratejileri uygulamalıdır?
Kültür ve ilişkiler başarılı programlar için önemli etkenlerdir. Önceki yılın araştırmasında, olgun sıfır güven programlarına sahip kuruluşların yöneticileriyle, iş arkadaşlarıyla, direktörleriyle (elde tutmayla ölçülen) ve iş ortaklarıyla (güvenlik kültürüyle ölçülen) güçlü ilişkiler bildirme olasılığının iki kat daha fazla olduğunu gördük. . Bu son çalışmada da benzer korelasyonları görüyoruz. Güçlü ilişkiler iyi programlara yol açar, bu da daha güçlü ilişkilere ve daha iyi güvenlik programlarına yol açar.
Güvenlik liderleri üç yönlü bir strateji benimsemelidir. İlk olarak, paydaşları ve sponsorları geliştirmeye zaman ayırın. İkincisi, akranlarıyla işbirliği yapma fırsatlarını bulun. Son olarak, güvenlik şampiyonları ve güvenlik savunucuları programından yararlanın ve güçlendirin. Bu, sıfır güveni olgunlaştırmak için liderliği iyi bir konuma getirecek, ancak burada bitmiyor. Zincirin aşağısında BT, güvenlik ve iş fonksiyonları arasında da ilişki kurulması gerekiyor. Çalışmayı başlatmak için CISO ve CIO’nun aynı sayfada olmasıyla başlar. Ancak ön saflardaki güvenlik uzmanı ağ yöneticisiyle iletişime geçip işi bitirinceye kadar bu iş bitmez.
Olgun bir sıfır güven modelinde BT yığınını güvence altına almanın rolü nedir ve şirketler buna nasıl yaklaşmalı?
Bu çalışmada kimlik, cihaz, ağ, iş yükü, otomasyon ve orkestrasyon için sıfır güven yetenekleri araştırıldı. Bu yetenekler CISA sıfır güven olgunluk sütunlarıyla uyumludur. Sıfır güven modeli, bir kişi veya hizmet bir uygulamaya veya kaynağa bağlandığında güven sınırını genişletmek veya iptal etmek için politikayı kullanır. Etkili olması için, bu politikanın uygulanması BT ortamında ve BT yığınında baştan sona uygulanır. Buna dizinler ve kimlik sağlayıcılar, cihaz yönetimi, güvenlik duvarı ve ağ altyapısı, yazılım geliştirme araçları ve daha fazlası dahildir.
Ankete katılan kuruluşların %86,5’i sıfır güven programlarına başlarken, kuruluşların yalnızca %2’si tüm sıfır güven sütunlarında olgunluğa ulaştı. Neden? Bunun pek çok nedeni var, ancak kesinlikle BT karmaşıklığı ve BT sahiplerinin katılımının eksikliği katkıda bulunan faktörlerdir. Başarılı programlar, güvenlik liderliği ile BT liderliği arasındaki ilişkilerden yararlanarak BT yığınına sıfır güven ilkelerini yerleştirir.
Entegrasyon ve otomasyon, sıfır güven uygulamalarının olgunluğunu nasıl artırır ve bunu başarmak için en iyi uygulamalar nelerdir?
Bu, bu yılki çalışmanın bir sürpriziydi: Güvenlik Düzenleme ve Otomatik Yanıt (SOAR) kullanan kuruluşların, sıfır güvene sahip olduklarını bildirme olasılıkları daha yüksek (%13,7). Sektörün sıfır güveni tanımlama biçiminde bir değişiklik görüyoruz. Otomasyonun geniş çapta uygulandığını görmek için hâlâ almamız gereken uzun bir yol var; kuruluşların %47’si henüz bu yeteneği kullanmaya başlamadı ve kuruluşların yalnızca %15’i bunu tamamladığını bildirdi.
Başarılı sıfır güven programları, politika kararlarına birden fazla aracı entegre etmeli ve politikanın uygulanması için birden fazla sistemi otomatikleştirmelidir. Aksi takdirde, silolanmış teknoloji yığınları, kullanılmayan işlevler ve gerçekleşmemiş faydalar riskiyle karşı karşıya kalırız. Otomasyonu gelecekteki durum yol haritalarına dahil ederek başlayın ve mevcut araçların hangi işlevleri destekleyeceğini araştırın. Ayrıca güvenlik liderleri yeni satın alımları entegrasyonlara, otomasyona ve API özelliklerine göre değerlendirmelidir.
Kimlik ve erişim yönetimi sıfır güvende nasıl bir temel taşı görevi görüyor ve etkili kimlik stratejilerinin uygulanmasındaki zorluklar nelerdir?
Güçlü kimlik doğrulama MFA, fidye yazılımı ve tedarik zinciri saldırılarına karşı güçlü durdurma gücüne sahip olmaya devam ediyor (sırasıyla %8 azalma ve %4). Ancak “kimlik yeni çevredir” ifadesi, bir işletmeyi yönetmek zorunda kalan herkesin tüylerini diken diken edecek. kimlik ve erişim yönetimi programı. Göreve katılan ve şirket dışında kalan kişileri uygun şekilde sağlamak ve tipik bir kuruluşun güvendiği binlerce uygulama üzerinden bunların tedarikini sağlamak zorlu bir iştir.
Bu karmaşıklık yakın zamanda ortadan kalkmayacak. Etkili bir strateji, MFA, SSO ve RBAC gibi temel yeteneklerin kapsamı sıkı bir şekilde belirlenmiş kişi ve uygulamalara başarılı bir şekilde dağıtılmasına odaklanır. Ardından, rakibin yoluna çıkarken kullanıcının yolundan çekilmek için kullanılabilirliği savunulabilirlikle dengeleyin.
Güvenlik liderleri, işin iyi kapsamlandırılmış yüksek riskli bir alanına bir dizi yüksek değerli güvenlik yeteneği dağıtarak sıfır güvenin değerini gösterebilir ve programı genişleme ve olgunlaşma için konumlandırabilir.
Sıfır güvenin evriminde gelecekte hangi eğilimleri öngörüyorsunuz ve kuruluşlar bu değişikliklere uyum sağlamaya nasıl hazırlanmalı?
Sıfır güven, moda sözcüğün ötesine geçerek eyleme dönüştürülebilir bir dizi yetenek ve tanımlanmış bir mimari haline geldi. Kuruluşlar, NIST ve CISA rehberliğinden yararlanarak standartlara dayalı bir yaklaşım benimsiyor.
İlk başarıların çoğu kimlik ve cihaz güvenliğiyle ilgili olsa da sıfır güvendeki başarı, ağlarda ve iş yüklerinde iyileştirmeler gerektiriyor. Sıfır güvenin başka bir silolanmış yetenek veya cıvatalı güvenlik kontrolü haline gelmesinden kaçınmalıyız. Bu nedenle kuruluşların entegrasyonun ve otomasyonun giderek önem kazanmasına hazırlıklı olmaları gerekiyor.
Güvenlik liderleri, iş sorunlarını çözmek ve iş sonuçları sunmak için kullanabilecekleri yetenek ve teknolojileri getirir. Bu bağlamda temel güvenlik ilkelerimizin yanında sıfır güvenin geleceği de yerini alıyor. Her seviyede, her talepte BT ortamımız, varlıkları korurken erişim sağlamak için güveni genişletebilmeli veya iptal edebilmelidir.