Kimlik düzeyinde yeni sıfır güven yaklaşımı

4. Mart 2022
| Yorum yok

Gönderiyi paylaş

Sıfır Güven artık en önemli güvenlik modellerinden biri haline geldi. Konsept basit ve sezgiseldir: örtük güven, saldırganların yanal hareket ve hassas verilere erişim için yararlanabilecekleri, başlı başına bir güvenlik açığıdır. Sıfır Güven yaklaşımı, kurumsal ortamdan örtük güveni ortadan kaldırarak bu riski azaltmaya çalışır.

Sıfır Güven, her zaman bir güvenlik ihlalinin meydana geldiğini varsayar. Örneğin, bir saldırgan mevcut savunmaların bazılarını atlamayı ve kurumsal ortamda bir yer edinmeyi başardı. Saldırının bir sonraki aşamasında, bilgisayar korsanı, değerli veriler veya varlıklar bulana kadar ek kaynaklara erişerek ağda yanlara doğru hareket eder. Sıfır Güven modeli, bir bilgisayar korsanı kurumsal ortamdayken zararı önemli ölçüde sınırlamayı amaçlar.

Bugüne kadar Sıfır Güven, ağ altyapısını yeniden oluşturarak ve segmentasyon ağ geçitleriyle birden çok mikro çevreye bölerek, öncelikle ağ katmanında uygulandı. Ancak son zamanlarda, ağ yönü yerine kimlik katmanına odaklanan başka bir sıfır güven yaklaşımı ilgi görüyor.

Ağ Tabanlı ve Kimlik Tabanlı Sıfır Güven

Sıfır Güven, kurumsal ortamdaki kaynaklara kötü niyetli erişimi önlemek için tasarlanmıştır. Bu erişim, ağ bağlantısı üzerindeki bir cihaz tarafından gerçekleştirilirken, kaynağa erişim için kullanıcı kimlik doğrulaması da gerektirmektedir. Örtülü bir güven ortamında, bu kullanıcı hesabının güvenliği ihlal edilirse, bir bilgisayar korsanı onu herhangi bir kaynağa serbestçe erişmek veya ağda yatay olarak hareket etmek için kullanabilir. Ancak, parçalı doğrulama ağ bağlantısına değil de kimlik doğrulamanın kendisine dayalıysa, sıfır güven modeli de elde edilebilir. Hem ağ bölümleme kuralları hem de risk tabanlı kimlik doğrulama ilkeleri, kötü niyetli erişim girişimlerini engellemek için yararlı araçlardır. Bununla birlikte, ikincisinin uygulanması daha kolaydır ve çoğu durumda daha yüksek ayrıntı düzeyi ve risk algılama yetenekleri sunar.

Kimliğe dayalı Sıfır Güven ayrıntılı olarak nasıl çalışır?

Kimlik tabanlı sıfır güven, bir kullanıcı kurumsal bir kaynağa erişmeye çalıştığında riskin değerlendirilmesine ve güvenli erişim kontrollerinin uygulanmasına dayanır. Her erişim isteği, kullanıcının nerede bulunduğundan veya erişilen kaynağın şirket içinde mi yoksa bulutta mı olduğundan bağımsız olarak izlenir. Ek olarak, erişim talebiyle ilişkili risk her zaman analiz edilir ve uyarlanabilir, riske dayalı politikalar hem şirket içinde hem de hibrit ortamlarda ağ genelinde uygulanır. Kaynağa erişim, yalnızca kullanıcının kimlik doğrulama etkinliğinin ayrıntılı bir risk analizinden sonra verilir ve belirli bir erişim talebi için geçerlidir. Bu risk analizi, her bir bireysel erişim girişimi için yapılmalıdır.

Günümüzün kurumsal ortamı birden çok kaynak türünü kapsar: fiziksel sunucular, SaaS uygulamaları, bulut iş yükleri, dosya paylaşımları, şirket içi uygulamalar ve diğerleri. Kimlik tabanlı sıfır güven, aşağıdaki kriterlerin karşılandığı anlamına gelir:

  • Herhangi bir kullanıcı hesabı, aksi kanıtlanana kadar güvenliği ihlal edilmiş, yani güvenilmez olarak kabul edilir.
  • Bir kullanıcı hesabına yalnızca doğrulandıktan sonra ve yalnızca tek bir kaynak erişimi için güvenilir.
  • Kullanıcı, doğrulanmış bir erişim isteğinden sonra başka bir kaynağa erişmeye çalışırsa, yeniden doğrulanmalıdır.

Örneğin, kimlik doğrulama kullanarak kurumsal VPN'e bağlanan bir uzak kullanıcı. Dahili ortama girdikten sonra, bu kullanıcı artık bir dosya sunucusuna erişmeye çalışır. Kimlik tabanlı sıfır güven, yalnızca başarılı bir VPN kimlik doğrulamasına dayalı olarak bu kullanıcı hesabının güvenilir olduğunu asla varsaymaz, ancak her zaman bu erişimi ve kullanıcıyı güvenilirlik açısından kontrol edin.

Kimlik tabanlı sıfır güven değerlendirme süreci

  • Tüm kullanıcı hesapları tarafından her türlü yerel veya bulut kaynağına yapılan tüm erişim isteklerini sürekli olarak izleyin ve kapsamlı bir denetim izi oluşturun.
  • Risk analizi: Her bir bireysel erişim girişimi için, kullanıcının gerçekten güvenliğinin ihlal edilmiş olma olasılığı değerlendirilir. Bu risk belirleme, kullanıcı davranışının, denetim izinin ve çeşitli bağlamsal parametrelerin analizine dayanır.
  • Gerçek zamanlı erişim ilkesi uygulaması: Hesaplanan riske bağlı olarak erişime izin verilir, engellenir veya çok faktörlü kimlik doğrulama (MFA) sıkılaştırılır.

(Resim: Silverfort).

Diyagram, bir kullanıcının hibrit bir şirket içi şirket içi ve bulut ortamındaki yolculuğunu kimlik tabanlı sıfır güven perspektifinden göstermektedir.
Diyagram, her bir erişim talebinin, kullanıcı erişimine izin verilmesi, erişimin engellenmesi veya erişim ilkesine dayalı olarak MFA ile kimlik doğrulama gereksinimlerinin sıkılaştırılmasıyla sonuçlanan ayrıntılı bir risk analizinden nasıl geçtiğini gösterir.

Kimliğe dayalı Sıfır Güven'in faydaları

Kimliğe dayalı Sıfır Güven yaklaşımının önemli uygulama, yönetim ve güvenlik avantajları vardır.

  • Basit ve uygulaması kolay: Ağ tabanlı sıfır güvenin aksine, hiçbir altyapı değişikliği ve buna bağlı kesinti süresi gerekmez. Alandaki herhangi bir şeyi çıkarmaya ve değiştirmeye gerek yoktur.
  • Yüksek ayrıntı düzeyi: Ağ segmentine değil kullanıcıya odaklanmak, bu kontrolü yalnızca segment ağ geçidinde uygulayabilen ve içindeki gerçek kaynaklara dair içgörü sağlamayan ağ tabanlı bir yaklaşımın aksine, risk analizinin her kaynak erişimi için yapılmasını sağlar. segmentin kendisi.
  • Anormallikleri ve tehditleri tespit etme konusunda geliştirilmiş yetenek: Bir saldırganın şirket ortamındaki hareketi, meşru kullanıcılara kıyasla anormaldir. Her kaynak erişiminde güvenlik kontrolleri gerçekleştirmek, gizli kötü niyetli etkinliği keşfetme olasılığını artırır.

Güvenlik liderlerinin gerçek zamanlı olarak her bir erişim girişiminde bir erişim politikasını izleyebilmesi, analiz edebilmesi ve uygulayabilmesi çok önemlidir: her kullanıcı, her kaynak ve her erişim arabirimi için. Bu, kuruluşların yalnızca kısmi koruma aldığı ve Sıfır Güven modelinin değerinin geçersiz kılındığı temel bir gerekliliktir. Bu nedenle kuruluşlar, birleşik bir kimlik koruma platformu uygulamayı düşünmelidir.

Birleşik Kimlik Koruması: Uygulamada Kimlik Tabanlı Sıfır Güven

Birleşik Kimlik Koruması, kurumsal kaynaklara erişmek için güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini kullanan kimlik tabanlı saldırılara karşı koruma sağlamak için özel olarak tasarlanmıştır. Bu, şirketlerin modern kurumsal ortamlarda kimlik tabanlı bir Sıfır Güven mimarisini tam olarak uygulamasına olanak tanır.

Birleşik Kimlik Koruması, kimliğe dayalı saldırıları azaltmak için kurumsal ağlar ve bulut ortamları genelinde güvenlik denetimlerini birleştirir. Aracısız ve proxy'siz teknolojiyi kullanan bir birleşik kimlik koruma çözümü, mevcut herhangi bir IAM çözümüyle (AD, ADFS, RADIUS, Azure AD, Okta, Ping Identity, AWS IAM vb.) sorunsuz bir şekilde entegre olur ve genişler. yerel ve eski uygulamalar, BT altyapısı, dosya sistemleri, komut satırı araçları, makineden makineye erişim ve daha fazlası dahil olmak üzere daha önce korunamadı. Çözüm, hem bulut hem de şirket içi ortamlarda tüm kullanıcı ve hizmet hesabı erişimini sürekli olarak izler, yapay zeka tabanlı bir motor kullanarak riskleri gerçek zamanlı olarak analiz eder ve uyarlanabilir kimlik doğrulama ve erişim ilkeleri uygular.

Sofistike saldırı seli ile geleneksel güvenlik yaklaşımları artık tek başına kurumsal güvenliği sağlamak için yeterli değil. Saldırganların fark edilmeden zaten ağda olduğu varsayılabilir. Kimlik katmanını içeren tam bir Sıfır Güven yaklaşımı, değerli verileri ve varlıkları korumak için savunmaları önemli ölçüde güçlendirebilir.

Daha fazlası Silverfort.com'da

 

Silverfort Hakkında

Silverfort, kimliğe dayalı saldırıları azaltmak için kurumsal ağlar ve bulut ortamları genelinde IAM güvenlik kontrollerini birleştiren ilk birleşik kimlik koruma platformunu sağlar. Yenilikçi aracısız ve proxy'siz teknolojiyi kullanan Silverfort, tüm IAM çözümleriyle sorunsuz bir şekilde entegre olur, risk analizlerini ve güvenlik kontrollerini birleştirir ve kapsamlarını yerel ve eski uygulamalar, BT altyapısı, dosya sistemleri, komut satırı gibi daha önce korunamayan varlıkları kapsayacak şekilde genişletir. araçlar, makineden makineye erişim ve daha fazlası.

 

Konuyla ilgili makaleler

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Dijital Güvenlik: Tüketiciler en çok bankalara güveniyor

Dijital güven araştırması, tüketicilerin en çok güvendiği alanların bankalar, sağlık hizmetleri ve hükümet olduğunu gösterdi. Medya- ➡ Devamını oku

Darknet iş değişimi: Bilgisayar korsanları içerideki hainleri arıyor

Darknet yalnızca yasadışı malların takas edildiği bir yer değil, aynı zamanda bilgisayar korsanlarının yeni suç ortakları aradığı bir yer ➡ Devamını oku

Güneş enerjisi sistemleri – ne kadar güvenli?

Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor. akım ➡ Devamını oku

Yeni kimlik avı dalgası: Saldırganlar Adobe InDesign kullanıyor

Tanınmış ve güvenilir bir belge yayınlama sistemi olan Adobe InDesign'ı kötüye kullanan kimlik avı saldırılarında şu anda bir artış var. ➡ Devamını oku

Stories
, , , , ,