Mevcut hibrit çalışma yöntemiyle ilişkili yeni risklerle mücadele etmek için birçok siber güvenlik yöneticisi ve satıcısı artık "Sıfır Güven"i keşfetti: Bu çerçeve, BT ortamında güvenliği sağlarken aynı zamanda tüm şirketin üretkenliğini artırmayı hedefliyor. arttırmak.
İnsanların çalışma şekli son on yılda önemli ölçüde değişti. Günümüzde kurumsal çalışanlar, buluttaki kurumsal kaynaklara erişmek için artık doğrudan kontrolleri altında olmayan cihazları ve ağları kullanarak her yerden çalışıyor. Bu, üretkenliği büyük ölçüde artırırken, işletmeleri korumayı da çok daha zorlaştırdı. Bununla birlikte, sıfır güvenin tek bir tanımı olmadığı için bunu uygulamaya koymak sorunsuz değildir.
Mevcut güvenlik yaklaşımı
Bazı çevrelerden çok faktörlü kimlik doğrulamanın (MFA) yeterli olması gerektiği duyulurken, diğer çözümler bir adım daha ileri gidiyor ve "en az ayrıcalıklı erişim" gerektiriyor.
Genel olarak sıfır güven, dahili veya harici herhangi bir nesnenin, erişim verilmeden önce periyodik olarak doğrulanması ve değerlendirilmesi gerektiği fikridir. Kullanıcıların, cihazların, uygulamaların ve verilerin çoğunluğu artık belirli bir güvenlik alanı içinde olmadığında, artık bir kullanıcıya veya cihazına güvenilmesi gerektiğine dair kesin bir varsayım olamaz.
Bulut gibi teknolojilerin benimsenmesi ve her yerden çalışmanın getirdiği karmaşıklıkların ortasında, güvenlik yetkililerinin nereden başlayacağını bulması karmaşıktır ve buna Sıfır Güven de dahildir. Ama önce kendi şirketiniz için neyin önemli olduğunu düşünmelisiniz. Bir uç nokta algılama ve yanıt çözümü kullanmak, verilerinizi uç nokta risklerinden korur. Aynısı bulut güvenliği için de geçerlidir: buluttaki verilerinizi riskli veya kötü niyetli erişim ve saldırılardan korursunuz. Başka bir deyişle, Sıfır Güveni verimli bir şekilde kullanmak için verilerinizin gömülü olduğu tüm vektörlere odaklanmalısınız.
Başlangıç noktası olarak veri
Çoğu kuruluş Sıfır Güven'i ilk kez benimsediğinde, çalışanların şirket kaynaklarına erişirken ikinci bir kimlik doğrulama faktörüyle Sanal Özel Ağları (VPN'ler) kullanmasını zorunlu kılmak gibi, çalışanların işlerini yapma biçimine odaklanmaya çalışır. Buna karşın, kişinin ne yapması (yapmaması) gerektiğine değil, verilere odaklanması gerektiğine inanıyorum.
Çalışanlar sürekli olarak veri oluşturuyor ve düzenliyor. Kurumsal BT'deki bir saldırganın nihai hedefi verileri çalmak olduğu için, erişim sırasında yalnızca bir kullanıcının kimliğini doğrulamak artık yeterli değildir. Bunun yerine, ne tür verilere sahip olduğunuza, bunlara nasıl erişildiğine ve bunların nasıl manipüle edildiğine odaklanmanız gerekir. Kullanıcıların ve kullandıkları cihazların sürekli değişen risk düzeylerini de akılda tutmak önemlidir.
Öncelikleri belirle
Veri her yerde. İster e-posta yoluyla değiş tokuş, ister içeriği bir mesajlaşma uygulamasına kopyalayıp yapıştırma, yeni bir belge oluşturma veya akıllı telefonlarına indirme olsun, çalışanlar her gün veri oluşturur. Bu etkinliklerin tümü verileri oluşturur ve işler ve her birinin kendi yaşam döngüsü vardır. Tüm bu verilerin konumlarını ve bunların nasıl ele alındığını takip etmek son derece sıkıcı olacaktır.
Sıfır Güven Güvenliğini uygulamanın ilk adımı, hangi verilerin ekstra korumaya ihtiyacı olduğunu önceliklendirebilmeniz için verilerinizi hassasiyet seviyelerine göre sıralamaktır. Sıfır Güven hiç bitmeyen bir süreç olabilir çünkü onu her şeye uygulayabilirsiniz. Tüm veriler için kurum genelinde sıfır güven stratejisi oluşturmaya çalışmak yerine, en hassas verileri içeren en önemli uygulamalara odaklanın.
veri erişimi
Bakılacak bir sonraki şey, verilerin kuruluş genelinde nasıl paylaşıldığı ve bunlara nasıl erişildiğidir. Çalışanlar verileri çoğunlukla bulut üzerinden mi paylaşıyor? Yoksa belgeler ve bilgiler e-posta veya Slack aracılığıyla mı gönderiliyor?
Bilginin kuruluş genelinde nasıl hareket ettiğini anlamak çok önemlidir. Öncelikle verilerin nasıl taşındığını anlamazsanız, onu etkili bir şekilde koruyamazsınız. Örneğin, şirket bulutundaki ortak bir klasör, bazıları korumalı olan birkaç alt klasör içeriyorsa, bu güvenli bir yöntem gibi görünür. Birisi ana klasörü başka bir çalışma grubuyla paylaşana ve bunun özel alt klasörlere erişim ayarlarını değiştirdiğini fark etmeyene kadar bu böyledir. Sonuç olarak, özel verilerinize artık erişmemesi gereken birçok kişi erişebilir.
Hazır çözüm yok
Muhtemelen herkes şu ifadeyi duymuştur: "Bunun için bir uygulama var!". Ve genel olarak bu doğru. Bugünlerde her modern sorun için bir uygulama veya yazılım çözümü var gibi görünüyor. Öte yandan, Zero Trust'ta durumun böyle olmadığını görebilirsiniz. Ancak, Sıfır Güvenilir Veri Güvenliğini uygulamak için ürünlerini sözde "çözümler" olarak satmak isteyen birçok satıcı var. Ancak bu taklit yöntemi işe yaramıyor.
Sıfır Güven özünde bir zihniyet ve felsefedir, ancak yazılımla çözülebilecek bir sorunla karıştırılmamalıdır. Sıfır Güveni kuruluşunuzun güvenlik metodolojisi olarak benimsemeyi düşünüyorsanız, bu yaklaşımın nasıl çalıştığını ve bunu kuruluşunuz genelinde nasıl güvenilir bir şekilde dağıtacağınızı anlamanız gerekir.
çalışanların rolü
Sıfır güven verilerini uygulamanın ikinci kısmı, çalışanlarınızı işe almaktır. Mevcut yazılımları ve çözümleri satın alabilir ve kurallar koyabilirsiniz, ancak çalışanlarınız ne yaptığınızı veya bir şeyi neden kullanmanız gerektiğini anlamıyorsa, ilerlemenizi ve başarınızı tehlikeye atıyor ve muhtemelen verilerinizi belirli risklere maruz bırakıyorsunuz.
RSA 2022 konferansında bir meslektaşım bir anket yaptı ve katılımcıların yüzde 80'inin verilerini kaydetmek ve hesaplamak için hâlâ geleneksel bir elektronik tablo kullandığını tespit etti. Ve 2021 anketine göre, Microsoft Azure kullanıcılarının yalnızca yüzde 22'si MFA kullanıyor. Bu rakamlar, çalışanlarınızla en baştan başlamanız gerektiğini gösteriyor. Ve onlara veri güvenliğinin önemini ve bunu kendi cihazlarınızda nasıl uygulayacağınızı anlatmalısınız.
Sıfır Güven bir ürün değildir
Kuruluşunuzda Sıfır Güven Güvenliğini uygularken hatırlamanız gereken en önemli şeylerden biri, bunun basit bir çözüm değil, bir felsefe olduğudur. Sıfır Güven, bir gecede rastgele kurabileceğiniz bir şey değildir. Ve tüm sorunları bir kerede çözmek için bir yerden satın alabileceğiniz hazır bir yazılım parçası değil. Sıfır güven, daha çok uzun vadede uygulanması gereken temel bir fikirdir.
İşe yaramayan herkese uyan tek bir çözüme yatırım yapmadan önce, mevcut verilerinizi daha iyi tanımanız ve özellikle hangi hassas verilere öncelik verilmesi ve korunması gerektiğini anlamanız önemlidir. Ayrıca, çalışanlarının eğitimine ve ileri eğitimine odaklanmak için bunların ayrıntılı olarak nasıl ele alınması gerektiğiyle de ilgilidir. "Sıfır Güven" kulağa harika bir fikir gibi geliyor, ancak onu uygulamak yalnızca bunun aşamalı olarak oluşturulması ve sürekli iyileştirilmesi gereken bir tür felsefe veya çerçeve olduğunu ve yalnızca tek seferlik sabit bir çözüm olmadığını anlarsanız işe yarar.
Daha fazlası Lookout.com'da
Lookout Hakkında Lookout'un kurucu ortakları John Hering, Kevin Mahaffey ve James Burgess, 2007 yılında insanları giderek birbirine bağlanan bir dünyanın ortaya çıkardığı güvenlik ve gizlilik risklerinden korumak amacıyla bir araya geldi. Akıllı telefonlar herkesin cebine girmeden önce bile mobilitenin çalışma ve yaşama şeklimiz üzerinde derin bir etkisi olacağını anladılar.
Konuyla ilgili makaleler