Timothy Liu, CTO ve Hillstone Networks’ün kurucu ortağı
Siber güvenlik dünyasında, moda sözcükler rüzgarın değişmesiyle çoğalıyor gibi görünüyor. Şu anda sıfır güven ağ erişimi veya ZTNA, kavramı ve teknolojiyi araştıran tam anlamıyla çok sayıda makale, blog ve diğer belgelerle kendi vızıltı payını alıyor. Bununla birlikte, çoğu zaman söylem, ZTNA’nın genel siber güvenlik şeması ve stratejisinde “neden” anlamlı olabileceği yerine “nasıl” – ZTNA’nın ağ mimarisindeki yeri, teorik çerçeveler, vb. – odaklanma eğilimindedir.
Anlaşılabilir. ZTNA, ağ erişimini güvence altına almak için biraz radikal olarak farklı bir yaklaşımla, hala nispeten gelişmekte olan bir teknolojidir. Son blog yazımızda olduğu gibi, bu konu hakkında sık sık kendimiz yazdık. Yine de, ZTNA’yı, en zararlı ve karmaşık saldırıların bazılarına karşı bile, her alanda savunmayı nasıl güçlendirebileceği açısından görmek de aynı derecede önemlidir.
Erişim Her Şeydir
Ağ ucu (genel internetin özel ağla buluştuğu nokta) onlarca yıldır siber güvenlik için altın standart olmuştur. Ağ mimarları, ağı yalnızca, dış varlıkların güvenilmez olarak kabul edildiği, ağ ucundaki kullanıcılar ve cihazların doğası gereği güvenilir olduğu iki güven bölgesine ayırır.
Bilgisayar korsanları, ağ uçlarının içine girebildikleri takdirde altın olduklarını çoktan anladılar; bundan sonra, kötü amaçlı yazılımın güvenilir olarak kabul edilmesi ve böylece oldukça hassas ve değerli verilere ve diğer varlıklara erişmesi muhtemeldir. Çift bölgeli model, erişim kurallarını genelleştirme eğilimindedir, böylece onları geniş ve spesifik olmayan hale getirir.
Herhangi bir kuruluşun kritik verileri, erişime ilişkin katı sınırlamalarla en iyi şekilde korunacaktır. Erişim kontrolleri daha rahatsa, bilgisayar korsanlarının kirli işleri için erişim elde etme şansı çok daha fazladır. Çift bölgeli bir modelde, akıllıca hazırlanmış erişim kuralları ve mini bölgeler erişimi sınırlamaya yardımcı olarak veri güvenliğini artırabilir. Bununla birlikte, bu kurallar ve bölgeler hala nispeten genel olma eğilimindedir ve bu nedenle temelde daha az güvenlidir.
Ek olarak, çalışma dinamiklerindeki son değişiklikler, bildiğimiz şekliyle ağ uçlarını bulanıklaştırdı veya ortadan kaldırdı. Dağıtılmış iş gücü, genel/hibrit bulut ve Hizmet Olarak Sunulan Yazılımların artan kullanımı ve diğer unsurlar, uç noktayı geleneksel fiziksel tanımının çok ötesine genişletti ve bu süreçte saldırganların yararlanabileceği yeni saldırı yüzeyleri ortaya çıkardı.
Bir NGFW gibi ağdaki fiziksel bir konuma dayanmayan yeni bir ağ kenarı tanımının gerekli olduğu açıktır. Bunun yerine, yeni uç, kullanıcıların ve cihazlarının şirket içi, bulut tabanlı veya başka bir yerde kurumsal kaynaklara erişim sağladıkları her yerde erişim haline geldi. Esasen erişim, yeni sınır ve yeni ilk savunma hattıdır.
Buna karşılık, ZTNA’nın mantrası ‘asla güvenme, her zaman doğrula’ şeklindedir. Kimlik doğrulama, yetkilendirme ve doğrulama sürekli olarak uygulanır, böylece oturumları boyunca kullanıcıların ve cihazlarının hem kimliği hem de bütünlüğü sağlanır. Bu hipervijilans, sırayla erişimi güvence altına alır ve hayati ağ kaynaklarını korur.
ZTNA Saldırılara Karşı Nasıl Savunma Yapıyor?
Sıfır güven modeli, bağlam farkındalığı ve uygulama katmanı operasyonu ile ZTNA, birden fazla potansiyel saldırı vektöründe güvenliği iyileştirerek son derece karmaşık istismarlara karşı bile koruma sağlar. Birkaç örnek şunları içerir:
- Fidye yazılımları, bot ağları ve ilgili saldırılar. Tipik olarak, bu saldırılar ağa giriş elde etmek için kimlik avı veya diğer taktikleri kullanır, ardından dokunaçlarını ulaşabildikleri varlıklar boyunca yanal olarak uzatır. Güncelleme ve yönlendirme için genellikle bir komuta ve kontrol sunucusuna (CnC) geri iletişim kurarlar. ZTNA yoluyla mikro segmentasyon, bu tür saldırılardan kaynaklanan hasarı sınırlamak için yetkisiz erişimi ve yanal hareketleri kısıtlayabilir ve ayrıca CnC sunucusuyla iletişimi keserek tehdidi ortadan kaldırabilir.
- Kimlik avı, vishing, smishing, vb.. Verizon’un yakın tarihli bir raporu, sosyal mühendislik açıkları da dahil olmak üzere insan faktörlerinin, daha sonra saldırılara yol açan ilk taktiklerin yaklaşık yüzde 80’inden sorumlu olduğunu buldu. ZTNA, kullanıcıları ve onların bağlı cihazlarını sürekli olarak doğruladığından, doğruladığından ve doğruladığından, bu tür bir saldırının başarılı olma olasılığı büyük ölçüde azalır. Örneğin, kullanıcı kimlik bilgileri çalınırsa ancak ilişkili cihaz olmadan kimlik doğrulama istenirse, eşitsizlik hızlı bir şekilde algılanacak ve engellenecektir.
- DoS/DDoS saldırıları. Hizmet reddi açıkları, bağlantı noktalarını, sunucuları, uygulamaları ve diğer şirket varlıklarını sürekli bir trafik akışıyla engelleyebilir. Bu da bu kaynakları birbirine bağlar ve genellikle onları gerçek erişim taleplerini işlemekten aciz bırakır. DoS ve DDoS saldırıları genellikle potansiyel kurbanları belirlemek için bağlantı noktası taraması gibi keşiflerden kaynaklanır. ZTNA, yapısı sayesinde kurumsal erişim noktalarını bağlantı noktası taramalarından ve yasa dışı kullanıcılardan gizleyerek bu süreçte bilgisayar korsanları tarafından tespit edilmesini engeller.
- Ortadaki Adam istismarları. Yeni uzaktan çalışma modelinde, personel genellikle güvenliği düşük olan halka açık WiFi ağlarını kullanan çeşitli konumlarda çalışabilir. Bu, bir bilgisayar korsanının kullanıcı ile diğer şirket varlıkları arasındaki iletişimi yakalayıp ele geçirdiği, hassas bilgileri ve potansiyel olarak çok daha fazlasını çaldığı MitM saldırıları için açık bir sezon oluşturur. ZTNA, trafik akışlarının bağlamıyla birlikte hem kullanıcıyı hem de cihazı sürekli olarak doğruladığından, bir MitM saldırısı olasılığını büyük ölçüde azaltır ve bir saldırı olması durumunda kritik kurumsal varlıkları savunabilir.
- İçeriden kaynaklı ihlaller. Bilgisayar korsanlarının önderliğindeki veri ihlalleri ve fidye yazılımı saldırıları medyaya sıklıkla sıçrasa da, gerçekte tüm ihlallerin yüzde 20’sinden fazlasından personel ve ortak şirketler gibi şirket içindeki kişiler sorumludur. Bu olaylar, basit bir ihmal veya dikkatsizlikten veya kasıtlı hareket eden kötü niyetli içeriden kişilerden kaynaklanabilir. ZTNA, mümkün olan en az ayrıcalık ilkesine göre çalışır ve bu da fanların içeriden sızma ihtimalini azaltır. ZTNA’nın bağlam farkındalığı ve ağ varlıklarının mikro segmentasyonu ile birleştiğinde, bu, içeriden kaynaklanan ihlal olasılıklarını daha da sınırlar.
“Asla güvenme, her zaman doğrula” mantrasıyla ZTNA, gelişmiş çok düzeyli, çok aşamalı saldırılar da dahil olmak üzere günümüzün başlıca saldırı vektörlerini savunmaya ve korumaya yardımcı olabilir.
Sağlam bir ZTNA Mimarisi Oluşturmak
Bir ZTNA mimarisinin geniş kapsamlı etkileri göz önüne alındığında, geçiş hem karmaşık hem de maliyetli olabilir. Ancak, ZTNA’nın artımlı yükseltmelere uygun olduğunu unutmayın; örneğin, mevcut SSL VPN mimarilerini genişletirken ve yeni kullanıcıları ve altyapıları dağıtıldıkça desteklerken mutlu bir şekilde bir arada var olabilir. Hillstone’un ZTNA çözümü böyle bir örnektir; ZTNA yeteneklerini sunmak için şirketin NGFW ürünleriyle birlikte Hillstone Güvenlik Yönetimi platformunu (HSM) kullanır.
Ayrıca böyle bir çözümü Hillstone’un CloudHive bulut altyapı koruma platformu ve CloudArmour bulut iş yükü koruma platformu (CWPP) gibi diğer bulut tabanlı ürünlerle eşleştirmek, şirket kaynaklarının fiziksel olarak bulunduğu her yerde korumaları ve kontrolü daha da genişletebilir.
Son olarak, erişimin her şey olduğunu akılda tutmak önemlidir. Erişimi kontrol ederek izinsiz girişlere, saldırılara, ihlallere ve kötü amaçlı yazılımlara karşı daha iyi savunma yapabilirsiniz. ZTNA, tam da bunu yapabilen bir çözüm olarak büyük umut vaat ediyor. Uygulanmayı bekleyen bir siber güvenlik çözümü.
yazar hakkında
Timothy Liu, Hillstone Networks’ün kurucu ortağı ve baş teknoloji sorumlusudur. Bay Liu, görevinde şirketin ürün stratejisi ve teknoloji yönünün yanı sıra küresel pazarlama ve satıştan sorumludur. Bay Liu, 25 yılı aşkın deneyime sahip teknoloji ve güvenlik endüstrisinde kıdemli bir kişidir. Hillstone’u kurmadan önce, NetScreen Technologies’de ScreenOS için VPN alt sistemlerinin geliştirilmesini ve NetScreen’in satın alınmasının ardından Juniper Networks’ü yönetti. Bay Liu ayrıca patentli Juniper Evrensel Erişim Kontrolü’nün ortak mimarlarından biridir ve NGFW için Risk Puanlama ve Risk Bazlı Erişim Kontrolü konusunda ek bir patente sahiptir. Bay Liu, kariyerinde Intel, Silvan Networks, Enfashion ve Convex Computer’da önemli Ar-Ge pozisyonlarında görev yaptı. He Liu, Çin Bilim ve Teknoloji Üniversitesi’nden lisans derecesine ve doktora derecesine sahiptir. Austin’deki Texas Üniversitesi’nden.
Tim’e çevrimiçi olarak @thetimliu adresinden ve şirketimizin web sitesi https://www.hillstonenet.com/ üzerinden ulaşılabilir.