Net güvenlik röportajında bu yardımcı olan Sean Cordero, Zscaler’daki Ciso, hibrit çalışmayı ve siber güvenlik ekiplerine sunduğu yeni zorluklardan bahsediyor. Hibrit çalışmanın geleneksel güvenlik modellerindeki boşlukları nasıl ortaya çıkardığını ve güvenliği kullanıcı deneyimi ile dengeleme konusunda tavsiyelerde bulunduğunu tartışıyor.
Cordero ayrıca, hibrid ortamlarda ilk bir güvenlik kültürünün teşvik edilmesi için sıfır tröst ilkelerinin ve stratejilerinin uygulanmasını da kapsamaktadır.
Hibrid çalışmasının yükselişi, CISOS ve güvenlik ekipleri için tehdit manzarasını nasıl yeniden şekillendirdi?
Hibrit çalışma, tehdit manzarasını yeniden şekillendirmeye yardımcı oldu, ancak hepsini kendi başına yapmadı. Tehdit aktörleri her zaman yeteneklerini geliştirdiler, ancak niyetleri çoğunlukla aynı oldu.
Hibrid çalışması, bazı CISO ve güvenlik ekiplerinin tespit etmek ve savunmak için kendi yeteneklerini anlamalarını yeniden şekillendirdi. Hibrit ve uzaktan çalışma, bir bireyin uzaktan veya doğrudan kurumsal bir ağa bağlandığında nerede çalıştığına bakılmaksızın, kontrollerin eksikliğini veya etkinliğinin eksikliğini vurgulamıştır.
Genellikle uzak ve hibrit çalışma ile ilişkili maruziyet onlarca yıldır oradadır. Bugün, yeni işletim modelimiz için benzersiz ve tamamen uygulanabilirmiş gibi konuşuluyor. Ancak maruziyet, teknik kontrolleri çoğaltma maliyetinin maliyet ve operasyonel olarak yasaklandığı zaman, MID-2000’lerin başlarında oradaydı. O zamandan beri, yeni bulut tarafından teslim edilen güvenlik teknolojileri, geleneksel bir LAN veya WAN içinde bulunanlardan daha üniforma ve genellikle üstün kontroller sağlar.
Gerçek şu ki, çalışanlar ofiste olsa bile, yönetilen bir LAN veya WAN’a bağlı olsa bile, bir VPN aracılığıyla, bu riskleri ele almak için kullanılan teknik kontroller etkisiz olabilir. SSL/TLS denetimi, uygulamaya dayalı erişim, hat içi kötü amaçlı yazılım ve veri kaybı koruması, vb. Bugün oynamayabilir. İşletmelerin sormak isteyebileceği daha iyi soru, hibrid işinin saldırı yüzeyini ne kadar genişletti?
Güvenlik ve kullanıcı kolaylığı arasında kuruluşların gezinmesi gereken özel ödünleşmeler var mı?
Harika kullanıcı deneyimi ile büyük güvenlik arasında her zaman ters bir ilişki olmuştur. İdeal olarak, kuruluşlar, faaliyet gösterdikleri çevrede ve risk hedeflerinde faktoring yaparak dengeyi doğru hale getirir. Kullanıcı rahatlığını, bir kişi bir görevi tamamlamak için çalışırken veya kuruluşun hedeflerini desteklemeye özgü bir rolü yerine getirirken oluşturulan öznel bir algı olarak düşünüyorum. İş akışları, düzenleyici veya sözleşme gereksinimlerine göre kendilerine verilen araçların kullanılabilirliğini en üst düzeye çıkaracak şekilde hizalıyorsa, kullanıcı deneyimini en iyi şekilde gezinmiş olarak çağırabilirsiniz.
Sormak için bazı yararlı sorular:
- Müşterilerime ve iş ortaklarıma karşı yükümlülüklerimi karşılamak için sahip olmam gereken temel kontroller nelerdir?
- Ele alınması gereken düzenleyici veya sektöre özgü kontroller nelerdir?
- Bu kontrolleri idari olarak nasıl karşılıyorum ve onları teknolojimde yansıtıyorum?
- Bugün sahip olduğum kontroller için etkili mi?
- Boşlukları nasıl artırırım?
Bulduğum şey, kolaylık ve güvenlik dengesiz olduğunda, yeniden dengeleme eyleminin nadiren daha fazlasını yapmasıdır. Hizmet ve güvenlik sunumundaki bir paradigma değişimi, kullanıcıları -to -organizasyon hedeflerini desteklemek için çalıştıkları yerlerde karşılayan bir paradigma değişimidir.
Birçok uzman, hibrid çalışma ortamlarının güvence altına alınmada sıfır tröst ilkelerini savunmaktadır. Kuruluşların bunu etkili bir şekilde uygulamak için atması gereken temel adımlar nelerdir?
Sıfır güven göz korkutucu görünebilir ve onunla elde etmek istedikleri belirli risk ve iş sonuçları üzerinde belirsiz bir kuruluş için olacaktır. Öngörülen sonuçların bu netliği olmadan, yolculuğa başlarken daha büyük resmi aşırı uzatmak ve kaçırmak kolaydır. İşte bir CISO’nun bu tuzağa kaymadığından emin olmak için dört adım:
1. Sıfır Vakfın benimsenmesinin sağlayacağına inandığınız risk ve iş sonuçlarını seçin.
2. Prensiplerin benimsenmesi için bir başlangıç odak alanı tanımlayın. Örneğin, genel İnternet’e (Web, SaaS, vb.) Güvenli erişim; Özel uygulamalara güvenli erişim (Zero Trust Uygulama Tabanlı Erişim; ve üçüncü taraflar için segmentasyon ve erişim kontrolü gibi arka uç sistemlerine/arka uç sistemlerine güvenli erişim.
3. Mevcut kontrol etkinliğini ve sıfır güven ilkelerine uyum sağlayın. Mevcut teknik kontrol seti bugün çalışıyor mu ve tanımlanmış risk sonuçlarına uygun mu?
4. Yetenekler değerlendirildikçe, tanımlanan teknik kontrollerin bir modelden diğerine geçişi kolaylaştırmak için yerleşik işlevselliğe sahip olduğundan emin olun. Örneğin, riske dayalı karar almayı daha hızlı ve daha doğru hale getirmek için makine öğrenimi veya yapay zeka kullanın.
Hangi teknolojiler veya uygulamalar kuruluşların hassas verileri hibrit bir ortamda yönetmesine ve güvence altına almalarına yardımcı olabilir?
Hibrit bir ortamda başarılı koruma için kritik olarak gördüğüm uygulamalar ve teknolojiler arasında kontrolün tekdüzeliği, telemetri kalitesi ve yaygın veri kaybı kaynakları için kapsamın bütünlüğü bulunmaktadır. Alınan verilerden gelen bilgileri ve yönetilen cihaz filosu hakkında daha bilinçli kararlar vermek için tutarlı bir dizi risk içgörü birleştirin.
Birçok kuruluş, diğer çözümlerle bağlantı kurmanın çok az yolu olan veya hiç yolu olmayan teknolojilerle sıkışmıştır. Ayrıca tüm ürün setlerinde sınırlı yeteneklere sahiptirler. Bu, kontrollerin etkinliği konusunda güvence sağlamak için eksik verilere veya bilgilere yol açabilir.
Veri kaybı için en riskli kanallar tek tip bir şekilde ele alınmalıdır. Örneğin, sıralı CASB, OOB CASB ve son noktalı DLP aracılığıyla uygulanan kontrollerin amaçlanan kontrolleri yansıtır. Teoride bu basit görünse de, birbirleriyle birlikte çalışabilecek veya birlikte çalışmayan birden fazla, farklı kontrol olduğunda karmaşık bir konudur.
Hibrid işyerlerinde ilk bir güvenlik kültürü geliştirmeyi başardığınızı gördünüz?
Birincisi, kolay anlaşılan iletişimin yüksek bir frekansıdır. Bu, farkındalık eğitimi, rutin ve özel sosyal yardım ve rol alakalı eğitim şeklinde olabilir.
İkincisi, şampiyon inşa etme ve katılım kolaylığıdır. Programınız ve ekibiniz, rehberlik ve son kullanıcının güvenlik konusu uzmanlarıyla etkileşime girmesi için bir yol sağlamak için erişilebilir bir yöntem sağlıyor mu? Bunlar dahili sohbet kanalları ve açıklama ve rehberliğin sağlanabileceği dahili forumlar şeklinde olabilir.
Son olarak, kontrol tekdüzeliği eksikliğinin kullanıcı için deneyimi nasıl aştığını düşünün. Cihazlarına uygulanan güvenlik kontrolleri veya etkileşime girdikleri kaynaklar tutarsız olduğunda veya akışta olduğunda, reaksiyonlar genellikle negatiftir ve güvenlik programına karşı çalışır. Bugün, bir kullanıcı veya cihazdaki güvenlik denetimlerinin nerede çalıştıklarına bağlı olarak farklı olması için hiçbir neden yoktur. Kullanıcı deneyimi bununla eşleşmelidir.