Yazan: Jasson Casey, Teknolojiden Sorumlu Başkan, Beyond Identity
Beş yıl önce, kişisel cihazınızı iş için kullanmak modaya uygun bir avantaj olarak görülüyordu. Artık birçok kuruluş için standart bir uygulama haline geldi. Kuruluşlara, personel sayılarını artırmadan yeteneklerini genişletme yetkisi veren sözleşmeli çalışanlardan, kendi cihazlarının esnekliğini ve aşinalığını tercih eden BYOD çalışanlarına kadar, yönetilmeyen cihazlar artık birçok işyerinde statüko olarak değerlendiriliyor.
Bu, yeni çalışma biçimlerinin kilidini açarken ve üretkenliği artırırken, kişisel cihazlar aynı zamanda tehdit aktörleri için yeni saldırı vektörleri açarak şirketlerin ağlarını, uygulamalarını ve verilerini açıkta bırakıyor. Kişisel cihazları işten çıkarmak çözüm değil, peki nedir?
BYOD ve sözleşmeli çalışanlar siber güvenlik açısından kör bir noktadır
Çalışanlar yönetilmeyen bir cihaz üzerinde çalışırken, o cihazın güvenlik durumu ve şirket verilerine bu cihazdan erişen kişinin bunu yapmaya gerçekten yetkili olup olmadığı konusunda doğal endişeler vardır. Kullanıcı ilk kez oturum açtığında, erişim isteyen cihazda çalışan bir platform kimlik doğrulayıcısı, cihazın jailbreakli olmadığını ve temel güvenlik ayarlarının doğru ve etkin şekilde yapılandırıldığını (örn. yerel güvenlik duvarı açık, kilit ekranı etkin, disk şifrelenmiş) doğrulayabilir. ve güvenlik yazılımı yüklü ve çalışıyor).
Peki ya sonra? Güvenlik uygulayıcılarının bildiği gibi işler değişiyor. Kullanıcının, oturum süresi boyunca güvenlik ihlaline yol açabilecek önemli bir ayarı kasıtlı veya kasıtsız olarak değiştirdiğini hayal etmek zor değil. Cihaz bir takside bırakılabilir, çalınabilir veya çıkış yapmadan bir arkadaşınıza masum bir şekilde ödünç verilebilir. İlk güvenlik kontrolü ile son oturum kapatma arasındaki sürede, güvenlik ekipleri klavyenin arkasında kimin olduğu ve cihazın güvenlik duruşunun politika dahilinde kalıp kalmadığı konusunda kördür. Bu durum kuruluşların sıfır güven modeline geçiş çabalarını doğrudan baltalıyor.
Böyle bir ihlalin sonuçları korkunç olabilir ve şirketlerin zamanlarına, sermayelerine ve itibarlarına mal olabilir. 2022’de Toyota, The Red Cross, Cash App ve ABD Gazi İşleri Bakanlığı gibi kuruluşların tümü, güçlü siber güvenlik politikalarına sahip olmalarına rağmen yüklenicilerle ilgili siber güvenlik ihlallerine maruz kaldı. Bu sorunun çözümü, modern işyeri için çok önemli hale gelen BYOD ve yüklenici faaliyetlerini askıya almak değil, kişisel cihazlardaki çalışmayı en iyi şekilde desteklemek ve korumak için savunmaları güçlendirmektir.
Sürekli kimlik doğrulamayla birleştirilmiş Device Trust, 7/24 gönül rahatlığı sağlar
Sürekli kimlik doğrulama, BYOD ve sözleşmeli çalışanlar için hızla en iyi uygulama haline geliyor. Bu güvenlik çözümü sayesinde kuruluşlar, risk tabanlı politika kontrollerini ilk oturum açmanın ötesine genişletebilir, kullanıcı kimliğinin güvenilir kalıp kalmadığını ve cihazın güvenlikle uyumlu kalıp kalmadığını yeniden değerlendirmek için kullanıcı davranışını ve uç noktadan gelen risk sinyallerini birkaç dakikada bir izleyebilir. Gereksinimler.
Kullanıcı ve cihaz, oturum açma sırasında ilk güvenlik kontrolünü geçerse ancak oturumun herhangi bir noktasında güvenlik kontrolünden geçemezse, kuruluşun SOC ekibi anında uyarılabilir ve olası veri sızıntılarını önlemek için cihaz karantinaya alınabilir. Bu 24 saat izleme, yönetilmeyen bir cihazda olsalar bile şirket verilerine kimlerin eriştiğine dair gerçek zamanlı bilgiler sağlar.
BYOD ve sözleşmeli çalışmanın sunduğu en büyük avantaj üretkenliktir, bu nedenle sürekli kimlik doğrulamanın akıcı, sorunsuz bir kullanıcı deneyimi sunması kritik öneme sahiptir. Parolasız MFA’nın entegre edilmesi, çalışmayı kesintiye uğratmak yerine kolaylaştıran sorunsuz bir deneyim sunar. Kullanıcı davranışındaki veya cihaz güvenlik duruşundaki değişiklikleri, herhangi bir kullanıcı müdahalesine gerek kalmadan otonom olarak tarayarak şirket güvende kalır ve çalışanlar kesintisiz kalır.
Sıfır güven modelleriyle ilgili yeni düzenlemeler ve en iyi uygulamalar güç kazanmaya devam ettikçe, kurumsal liderler uyumluluğu sağlamak için giderek daha fazla yeni yollar arıyor. Sürekli kimlik doğrulamanın sağladığı tutarlı yeniden değerlendirme, hiçbir cihaza veya kullanıcıya doğası gereği güvenilmemesini sağlayarak, bunu kuruluşların sıfır güven mimarisinin hayati bir bileşeni haline getirir.
BYOD’yi ve yüklenicileri güçlendirme özgürlüğü
Parolasız tanımlama, cihaz güveni ve sürekli kimlik doğrulama sayesinde kuruluşlar, siber güvenlikten ödün vermeden sözleşmeli ve BYOD çalışanlarını güçlendirmekte özgürdür. Güvenlik ekiplerine genel güvenlik duruşlarına ilişkin daha önce duyulmamış gerçek zamanlı bilgiler sağlanırken üretkenlik gerçekleştirilebilir.
Tehdit ortamı gelişmeye devam ettikçe modern işyerlerinin kör noktalara tahammülü yoktur; sürekli kimlik doğrulama, oturum açma ve oturum kapatma arasındaki boşluğu doldurmanın ve üretkenliği ve güvenliği en üst düzeye çıkarmanın anahtarıdır.
yazar hakkında
Jasson Casey Beyond Identity’nin Teknolojiden Sorumlu Başkanıdır. Mevcut görevinden önce SecurityScorecard’ın CTO’su, IronNet Cybersecurity’de Mühendislikten Sorumlu Başkan Yardımcısı, CenturyTel’de VolP Ürün Geliştirmeden Sorumlu Başkan Yardımcısı ve Flowgrammable ve Compiled Networks’ün Kurucusu ve Yönetici Direktörü olarak görev yaptı. Lisans derecesini Austin’deki Texas Üniversitesi’nden bilgisayar mühendisliği alanında aldı ve Texas A&M Üniversitesi’nden bilgisayar mühendisliği alanında doktora derecesine sahiptir.
Jasson’a çevrimiçi olarak https://www.linkedin.com/in/jassoncasey/ adresinden ve şirketimizin web sitesi https://www.beyondidentity.com/ adresinden ulaşılabilir.