Kaleyi Yıkan İhlaller
Geçtiğimiz baharda orta ölçekli bir hastanenin randevu sistemine fidye yazılımı bulaştığında, klinisyenler kalem ve kağıda döndüler. Saldırganlar alışılmadık bir kötü amaçlı yazılım kullanmamışlardı; yeniden kullanılan bir oturum açma kimlik bilgisi kullanarak, çekirdek sistemler kilitlenene kadar ağda yatay olarak hareket ettiler. Bu tür olaylar, çalınan kimlik bilgilerinin fidye yazılımı kampanyalarını körüklediği ve kaynakları kısıtlı BT ekiplerini bunalttığı sağlık hizmetlerinde yaygındır (Telli).
- Kaleyi Yıkan İhlaller
- Eski Model ve Neden Başarısız Oldu?
- İşletmeler için Siber Güvenlik
- Sıfır Güven Tanımlandı
- Sıfır Güven Gerçekte Ne Anlama Geliyor?
- NIST Planı
- Akıllarda Kalan Yanlış Anlamalar
- Nereye Uygun
- Bir Kültür Değişimi
- Neden Kök Saldı?
- Kuruluşun İçinde
- Google ve BeyondCorp Deneyi
- Microsoft ve Kurumsal Ana Akım
- Federal Hükümetin Çabası
- Finansal Hizmetler: Risk Düzenlemeyle Karşılaşıyor
- İşletmeler için Siber Güvenlik
- Sağlık Hizmetleri: Eski Sistemlerle Mücadele
- Sektörler Arası Ortak Noktalar
- Kültür En Zor Katmandır
- Sessiz Bir Ölçüt
- Zor kısım
- İşletmeler için Siber Güvenlik
- Sıfır Güvenin Geleceği
- Yapay Zeka ve Makine Öğrenimi: Uyarlanabilir Uygulamaya Doğru
- Politika-Kod Olarak: Koruma Raylarının Otomatikleştirilmesi
- Sıfır Güven'i IoT ve OT'ye Genişletmek
- Bulut Yerel Sıfır Güven
- Kuantum Çağına Hazırlık
- Gelecek Vizyonunun Sınırları
- Büyük Resim
- İşletmeler için Siber Güvenlik
- Yönetişim ve Hesap Verebilirlik
- Doğrulama Etiği
- Güvenin Jeopolitiği
- Moda Sözcüğün Ötesinde Kalıcı Kültürel Değişim
- Lede'ye Dönüş
- vurucu
- Kaleyi Yıkan İhlaller
- Çevre Çöktü
- Eski Model ve Neden Başarısız Oldu?
- İşletmeler için Siber Güvenlik
- Sonuç: Güven, Yeniden Değerlendirildi
Bu hastane tek hedef değildi. Mayıs 2021'de bir fidye yazılımı saldırısı, Colonial Boru HattıABD Doğu Yakası'nda tüketilen yakıtın neredeyse yarısını sağlayan , operasyonları durdurmak için. Saldırganlar, çok faktörlü kimlik doğrulaması olmayan, tehlikeye atılmış bir VPN hesabı kullanarak erişim sağlamıştı (Vikipedi). Bu aksaklık yakıt sıkıntısına, panik alımlarına ve federal acil durum önlemlerine yol açtı.
Daha önce, Aralık 2020'de, SolarWinds Tedarik zinciri ihlali, yaygın olarak kullanılan yazılımlara olan güveni sarstı. Bir ulus-devlet grubu tarafından düzenlendiği düşünülen kötü amaçlı güncellemeler, meşru yamalar kisvesi altında dağıtıldı ve saldırganlara tespit edilmeden önce aylarca ABD hükümet kurumlarına erişim sağladı (CISA).
Bu olaylar önemli bir dersi paylaşıyor: Saldırganların dijital çevreye saldırması nadiren gerekiyor. İçeri girdikten sonra, duvarın arkasındaki her şey güvenilir olarak kabul edilir, ihlalin hem hızlı hem de yıkıcı bir şekilde tırmanmasına neden oluyor.
Eski Model ve Neden Başarısız Oldu?
İnternetin tarihinin büyük bir bölümünde, güvenlik düşüncesi şu şekildeydi: kale ve hendek metafor. Yüksek duvarlar inşa edin - güvenlik duvarları, saldırı önleme sistemleri, antivirüs yazılımları - ve düşmanı dışarıda tutabilirsiniz. Duvarların içinde, güvenilir kullanıcılar ve makineler özgürce dolaşıyordu.
Çevre Savunmalarının Yükselişi
1990'larda ve 2000'lerin başında bu model mantıklıydı. Kurumsal sistemlerin çoğu şirket içi veri merkezlerinde bulunuyordu. Çalışanlar ofis ağları içindeki masalarda oturuyordu. "Kenar", genellikle kuruluş tarafından kontrol edilen bir dizi IP aralığı olan tanımlanabilir bir sınırdı.
Güvenlik duvarları filtrelenmiş trafik. VPN'ler Seyahat eden personel için şifreli tüneller oluşturuldu. Antivirüs paketleri Bilinen tehditlere karşı korunuyordu. Güvenlik sektörü bunları aşılmaz savunmalar olarak pazarladı ve bir süre işe yaradılar.
Ancak çatlaklar oluşmaya başladı.
- Code Red ve Slammer gibi solucanlar 2000'li yılların başında kurumsal ağlarda hızla yayıldı ve içeri girdikten sonra yama uygulanmamış makineleri istismar etti.
- Target'ın 2013'teki ihlaliSaldırganların üçüncü taraf bir HVAC satıcısı aracılığıyla girdiği ve yatay olarak satış noktası sistemlerine geçtiği , "güvenilir" bölgelerin ne kadar gözenekli olabileceğini gösterdi.
- Edward Snowden'ın 2013'teki açıklamaları Vurgulanan içeriden kaynaklanan risk: Bir kullanıcı ayrıcalıklı erişime sahip olduğunda, çevre savunmaları veri sızdırılmasını engellemek için çok az şey yaptı.
Tehditlerin dışarıdan geldiği yönündeki örtük varsayım artık geçerli değildi.
VPN Darboğazı
Uzun zamandır güvenliğin olmazsa olmazı olarak görülen sanal özel ağlar, göze çarpan bir zayıflık haline geldi. 2020 yılına gelindiğinde, COVID-19 salgını tüm iş gücünü evlerine gönderdiğinde, VPN sunucuları aşırı yüklenmiş durumdaydı. Çalışanlar tüm trafiği bu sunucular üzerinden yönlendirerek performans darboğazlarına ve daha da kötüsü tekil arıza noktalarına yol açıyordu.
Saldırganlar fark etti. FBI'a göre, VPN güvenlik açıkları 2020-2021'de en çok istismar edilen kategorilerden biri haline geldi ve saldırganlar bunları kurumsal ortamlara girmek için bir basamak olarak kullandı (FBI).
Bir zamanlar güvenilir bir köprü olan VPN, giderek daha büyük bir sorun haline geldi.
İşletmeler için Siber Güvenlik
İşletmeniz, hassas verileri tehlikeye atabilecek, operasyonları aksatabilecek ve itibarınıza zarar verebilecek sürekli gelişen siber tehditlerle karşı karşıyadır. iş çözümleri için siber güvenlik Her ölçekteki şirketin benzersiz zorluklarını karşılamak üzere tasarlanmıştır ve kötü amaçlı yazılımlara, kimlik avına, fidye yazılımlarına ve daha fazlasına karşı sağlam koruma sağlar.
İster küçük bir girişim ister büyük bir kuruluş olun, tüm cihazlarda tüm ekibiniz için kesintisiz koruma sağlayan çoklu lisanslı siber güvenlik paketleri sunuyoruz. Gerçek zamanlı tehdit izleme, uç nokta güvenliği ve güvenli veri şifreleme gibi gelişmiş özelliklerle, dijital güvenlik ihtiyaçlarınızı biz karşılarken siz işinizi büyütmeye odaklanabilirsiniz.
Bugün Ücretsiz Teklif Alın! Uygun fiyatlı ve ölçeklenebilir çözümlerle işinizi güvence altına alın. Hemen bizimle iletişime geçerek bir talepte bulunun ücretsiz fiyat teklifi Şirketinizin güvenliğini ve uyumluluğunu korumak için tasarlanmış çoklu lisanslı siber güvenlik paketleri için. Beklemeyin—tehditler gelmeden önce işinizi koruyun!
Gölge BT ve SaaS
Bu arada, iş birimleri merkezi BT denetimi olmadan SaaS platformlarını (Salesforce, Slack, Microsoft 365) benimsedi. Hassas veriler, genellikle zayıf veya tekrar kullanılan parolalarla erişilen üçüncü taraf hizmetler üzerinden akıyordu.
Bu "gölge BT" Çevre savunmalarının üstesinden gelemeyeceği şekilde saldırı alanını genişletti. Gartner, 2019 yılına gelindiğinde gölge BT'nin büyük işletmelerdeki BT harcamalarının %30 ila %40'ını oluşturduğunu tahmin ediyordu; bu da geleneksel güvenlik ekipleri için bir kör noktaydı.
Zımni Güven Kültürü
Çevre modelinin belki de en tehlikeli kusuru kültüreldi. Güvenlik ekipleri "içeriyi" güvenli olarak değerlendirdi. Geliştiriciler, kontroller olmadan test sistemleri kurdu. Yönetici hesaplarına ayrıcalıklar verildi. Yanal hareketler büyük ölçüde izlenmedi.
Google Cloud'dan Phil Venables'ın da dediği gibi, "Çevre ortadan kalkmadı. Sadece artık size pek bir şey anlatmıyor." Bu farkındalık, Sıfır Güven için zemin hazırladı: ihlal kaçınılmazdır ve etkisini en aza indirmeye odaklanıyor.
Sıfır Güven Tanımlandı
2010'ların ortalarına gelindiğinde, çevre güvenliğinin eksiklikleri açıkça ortaya çıkmıştı. Zorluk, uygulanabilir bir alternatif bulmaktı. Bu alternatif, Sıfır Güven, erişim kontrolünün tüm temellerini yeniden düşünen bir model.
Sıfır Güven Gerçekte Ne Anlama Geliyor?
"Sıfır Güven" ifadesi çoğu zaman basitleştirilerek şu slogan haline getirilir: asla güvenme, her zaman doğrula. Ama pratikte, bu daha az paranoya ve daha çok sürekli güvenceBir sisteme gelen her istek (ister bir insan kullanıcıdan, ister bir cihazdan, ister bir uygulamadan gelsin) aksi kanıtlanana kadar güvenilmez olarak kabul edilir.
Yaklaşım birkaç temel ilkeye dayanmaktadır:
- Sürekli Kimlik Doğrulaması. Kimlik doğrulama, oturum açma sırasında tek seferlik bir olay değildir. Bunun yerine, konum, cihaz durumu ve kullanıcı davranışı gibi bağlamlara uyum sağlayarak oturum boyunca tekrarlanır.
- Cihaz Bütünlüğü. Erişim yalnızca şunlara bağlı değildir: kim bağlanıyor ama ne Bağlantı kuruyorlar. Güvenliği ihlal edilmiş veya yama uygulanmamış bir cihaza, kimlik bilgileri geçerli olsa bile giriş izni verilmeyebilir.
- En Az Ayrıcalıklı Erişim. İzinler en aza indirilerek yalnızca bir görev için gerekli olan izinler verilir. Bu, bir hesap tehlikeye girdiğinde patlama yarıçapını önemli ölçüde azaltır.
- Mikrosegmentasyon. Ağlar, yanal hareketi sınırlayan granüler bölgelere ayrılmıştır. Bir bölgedeki uzlaşma otomatik olarak yayılmaz.
- Sürekli izleme. Günlükler ve analizler sonradan akla gelen bir şey değil, merkezi öneme sahiptir. Her işlem kaydedilir ve anormallikler açısından değerlendirilir.
Özünde, Sıfır Güven daha az bir ürün ve daha çok bir şüphecilik disiplini.
NIST Planı
Yıllar boyunca satıcılar bu terimi gevşek bir şekilde kullandı. Bu durum, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayını 800-207, 2020 yılında yayımlandı. Belge, Sıfır Güven'i resmi bir federal çerçeveye kodladı: kimlik, cihaz, ağ, uygulama ve veriler, erişime karar veren merkezi bir politika motoru ile politika uygulama noktalarıdır (NIST).
NIST kılavuzu Sıfır Güven'i şu şekilde yeniden çerçevelendirdi: mimari Bir araç seti olmaktan ziyade. Kurumlar, bunu ek bir çözüm olarak değil, erişimin nasıl yönetileceğinin kademeli olarak yeniden tasarlanması olarak benimsemeye teşvik edildi. Bu, hem federal zorunlulukların hem de özel sektörün benimsemesi için bir şablon haline geldi.
Akıllarda Kalan Yanlış Anlamalar
Terim yayıldıkça kafa karışıklığı da arttı. Özellikle üç yanlış kanı varlığını sürdürüyor:
- Sıfır Güven = Güven Yok. Bu ifade yanıltıcıdır. Sıfır Güven, güveni ortadan kaldırmaz; güveni daha da kötüleştirir. koşullu ve bağlamsalYeterli delil mevcut olduğunda erişim izni verilir.
- Sıfır Güven Bir Üründür. Birçok satıcı "Sıfır Güven çözümleri" pazarlıyor. Gerçekte bu tek bir araç değil, birbiriyle bağlantılı bir dizi uygulamadır.
- Sıfır Güven Her Şeyi Çözer. Riski azaltır ancak ortadan kaldırmaz. Kimlik avı, içeriden bilgi kötüye kullanımı ve tedarik zinciri saldırıları tehdit olmaya devam ediyor.
Luta Security CEO'su Katie Moussouris, 2021'deki bir röportajında, "Sıfır Güven genellikle her derde deva bir çözüm olarak sunuluyor," demişti. "Uygulamada, bu sadece bir savunma katmanı. Daha geniş ve disiplinli bir güvenlik kültürünün parçası olduğunda en iyi sonucu veriyor."
Nereye Uygun
Sıfır Güven, söküp atıp değiştirme zorunluluğu değildir. Mevcut sistemlerle birlikte varlığını sürdürür. Kuruluşlar genellikle kimlik yönetimiyle başlar; çok faktörlü kimlik doğrulama, tek oturum açma ve koşullu erişim politikalarının uygulanmasıyla devam eder ve ardından ağ segmentasyonu ve sürekli izleme süreçlerine geçer.
İşlemlerin sırası değişse de prensip aynıdır: asla örtük güven olmaz. Her işlem kendini kanıtlamalıdır.
Bir Kültür Değişimi
Belki de teknolojiden daha önemlisi zihniyettir. Geleneksel modeller ikili bir çizgi çizerdi: dışarısı ve içerisi, güvenli ve güvensiz. Sıfır Güven bu ikilemi çökertir. Dahili olanlar da dahil olmak üzere her bağlantının doğrulanması gerekir.
BT liderleri için bu, şu kültürü gerektirir: erişim sürekli olarak kazanılır, kalıcı olarak varsayılmazBu durum sürtüşme yaratabilir; kullanıcılar tekrarlanan doğrulamaya karşı çıkabilirler; ancak bu, dayanıklılığa doğru bir kaymayı temsil eder.
Neden Kök Saldı?
Zero Trust'ın yükselişi kaçınılmaz değildi. Hem pratik güvenlik ihtiyaçları ve stratejik anlatılarİşletmeler bulut kullanımını güvence altına almanın yollarını arıyordu. Hükümetlerin kritik altyapılarını güçlendirmesi gerekiyordu. Tedarikçiler, kimlik, erişim ve izleme ürünleri için ortak bir platform buldu.
2020'lerin başlarında, Sıfır Güven söylemi yalnızca teknik belgelerde değil, yönetim kurullarında, denetim raporlarında ve hatta kongre duruşmalarında da yer almaya başladı. Model, teoriden politikaya geçiş yapmıştı.
Kuruluşun İçinde
Sıfır Güven, kurduğunuz bir ürün değildir. Bir kuruluş içinde erişimin nasıl işlediğini yeniden tasarlamanın uzun ve düzensiz bir sürecidir. Çoğu işletme için bu, eski sistemlere yeni kontroller eklemek ve değişiklikleri departmandan departmana aşamalı olarak uygulamak anlamına gelir. Sonuç, her sektörde farklı görünen, ancak belirli kalıpların ortaya çıktığı bir karmaşadır.
Google ve BeyondCorp Deneyi
Sıfır Güven'in eylem halinde en çok alıntılanan örneği belki de şudur: Google'ın BeyondCorp'u2011 yılında, siber casusluk olarak bilinen bir kampanyanın ardından başlatıldı Aurora Operasyonu Google ve diğer Silikon Vadisi şirketlerini hedef alan şirket, güvenilir dahili ağlar fikrinden vazgeçti. Bunun yerine, konumdan bağımsız olarak her çalışan ve cihaz, kaynaklara erişmeden önce kimlik farkındalı proxy'ler aracılığıyla kimlik doğrulaması yapmak zorundaydı (Google).
BeyondCorp, mühendislerin VPN'lere ihtiyaç duymadan, ofisteymiş gibi güvenilmeyen Wi-Fi ağlarından çalışmalarına olanak sağladı. Ayrıca bir emsal oluşturdu: 100,000'den fazla çalışanı olan bir şirket, altyapısını Sıfır Güven ilkeleri doğrultusunda yeniden yapılandırabiliyorsa, diğerleri de bunu yapabilir.
Microsoft ve Kurumsal Ana Akım
Microsoft farklı bir yaklaşım benimsedi. Tek bir girişim yerine, Sıfır Güven ilkelerini şu gibi ürünlere entegre etti: Azure Active Directory ve Microsoft DefenderŞirket, rehberliğini üç zorunluluk etrafında şekillendirdi: açıkça doğrulama, en az ayrıcalığı kullanma ve ihlali varsayma.
Bu dil, Microsoft'un bulut ekosistemine geçiş yapan kurumsal müşteriler arasında yankı buldu. Microsoft, 2021 yılına gelindiğinde kurumsal müşterilerinin yüzde 96'sının Sıfır Güven'in temel yapı taşı olan çok faktörlü kimlik doğrulamayı bir şekilde etkinleştirdiğini bildirdi (Microsoft).
Federal Hükümetin Çabası
Teknoloji devleri ilk hamleyi yaparken, en görünür yetkiyi ABD hükümeti verdi. Colonial Pipeline ve SolarWinds olaylarının ardından Beyaz Saray, federal kurumlara Sıfır Güven yol haritalarını benimsemelerini emretti. Yönetim ve Bütçe Ofisi (OMB) kilometre taşları belirledi: 2024 yılına kadar kimlik doğrulama, tüm trafiğin varsayılan olarak şifrelenmesi ve kurumlar genelinde merkezi erişim politikası uygulaması (WBO).
Kurumlar, dengesiz bir ilerlemeyle mücadele etti. Modern altyapıya sahip bazı birimler hızlı hareket ederken, onlarca yıllık sistemlere bağımlı olanlar geride kaldı. Yine de, bu zorunluluk, çok az özel şirketin erişebileceği ölçekte siber güvenlik modernizasyonunu zorunlu kıldı.
Finansal Hizmetler: Risk Düzenlemeyle Karşılaşıyor
Uzun zamandır düzenleyici denetime alışkın olan bankalar ve sigorta şirketleri, dayanıklılık stratejilerinin bir parçası olarak Sıfır Güven modelini benimsedi. 2022 yılında Finansal Endüstri Düzenleme Kurumu (FINRA), firmaları kimlik odaklı güvenlik modellerini benimsemeye teşvik eden bir rehber yayınladı.
Büyük bir sigorta şirketi, hizmet kimlikleri envanteri gerçekleştirdikten sonra ayrıcalıklı hesapların üçte birden fazla azaldığını bildirdi. Başka bir banka ise, veri merkezleri genelinde mikro segmentasyon uyguladıktan sonra izinsiz girişleri tespit etme ortalama süresinin yaklaşık %30 azaldığını belirtti. Bu rakamlar kendi beyanlarına dayanmakla birlikte, Sıfır Güven'in finans kuruluşlarının risk azaltma konusundaki vurgusuyla ne kadar uyumlu olduğunu vurguluyor.
İşletmeler için Siber Güvenlik
İşletmeniz, hassas verileri tehlikeye atabilecek, operasyonları aksatabilecek ve itibarınıza zarar verebilecek sürekli gelişen siber tehditlerle karşı karşıyadır. iş çözümleri için siber güvenlik Her ölçekteki şirketin benzersiz zorluklarını karşılamak üzere tasarlanmıştır ve kötü amaçlı yazılımlara, kimlik avına, fidye yazılımlarına ve daha fazlasına karşı sağlam koruma sağlar.
İster küçük bir girişim ister büyük bir kuruluş olun, tüm cihazlarda tüm ekibiniz için kesintisiz koruma sağlayan çoklu lisanslı siber güvenlik paketleri sunuyoruz. Gerçek zamanlı tehdit izleme, uç nokta güvenliği ve güvenli veri şifreleme gibi gelişmiş özelliklerle, dijital güvenlik ihtiyaçlarınızı biz karşılarken siz işinizi büyütmeye odaklanabilirsiniz.
Bugün Ücretsiz Teklif Alın! Uygun fiyatlı ve ölçeklenebilir çözümlerle işinizi güvence altına alın. Hemen bizimle iletişime geçerek bir talepte bulunun ücretsiz fiyat teklifi Şirketinizin güvenliğini ve uyumluluğunu korumak için tasarlanmış çoklu lisanslı siber güvenlik paketleri için. Beklemeyin—tehditler gelmeden önce işinizi koruyun!
Sağlık Hizmetleri: Eski Sistemlerle Mücadele
Hastaneler farklı bir zorlukla karşı karşıya. Elektronik sağlık kaydı (EHR) sistemleri ve bağlı tıbbi cihazlar genellikle güncel olmayan yazılımlarla çalışıyor ve bu da segmentasyon ve kimlik doğrulamayı zorlaştırıyor. Aynı zamanda, sektör fidye yazılımlarının başlıca hedefi haline geliyor.
Bazı hastaneler, temel sistemler geride kalsa bile, hastalar ve klinisyenler için yeni bulut tabanlı portallar etrafında Sıfır Güven ilkelerini uygulamaya koydu. Sağlık ve İnsan Hizmetleri Bakanlığı, sağlık hizmeti sağlayıcılarını Sıfır Güven'i her derde deva bir çözüm olarak değil, güvenlik ihlallerini kontrol altına almanın bir yolu olarak görmeye çağırdı. Bir yetkili, "Tüm eski cihazları söküp atmak gerçekçi değil," dedi. "Ancak bu cihazların ağın geri kalanıyla nasıl iletişim kuracağını yine de kısıtlayabilirsiniz."
Sektörler Arası Ortak Noktalar
Farklı başlangıç noktalarına rağmen, Sıfır Güven'i benimseyen işletmeler genellikle aynı ilk önceliklere odaklanır:
- Önce Kimlik. Güçlü kimlik doğrulama, tek oturum açma ve koşullu erişimi yaygınlaştırın.
- Görünürlük. Her işlemi kaydedin ve analitiği merkezileştirin.
- Ağ Kontrolleri. Özellikle hassas iş yükleri etrafında mikrosegmentasyonu aşamalı olarak uygulayın.
- Kademeli Genişleme. Modeli BT sistemlerinden operasyonel teknolojiye, IoT'ye ve üçüncü taraf erişimine genişletin.
Onları birleştiren şey tekdüzelik değil, niyettir: Hâlâ var olan örtük güveni aşındırmak.
Kültür En Zor Katmandır
Teknoloji edinilebilir, ancak kültür edinilemez. İşletmeler, en büyük engelin, çalışanları ve geliştiricileri ek doğrulamanın zorluklara değeceğine ikna etmek olduğunu bildiriyor.
Google'da mühendisler, BeyondCorp'a başlangıçta yavaş erişimden şikayet ederek karşı çıktılar. Bir finansal hizmetler firmasında ise geliştiriciler, test ortamlarını yavaşlatan segmentasyon kurallarına karşı çıktılar. Bu hikayeler, tutarlı bir temayı vurguluyor: Sıfır Güven, teknik bir proje olduğu kadar bir yönetim projesidir de.
Sessiz Bir Ölçüt
2020'lerin başlarında, Sıfır Güven benimsenmesi siber güvenlik olgunluğunun bir ölçütü haline gelmişti. Analistler, kuruluşların "Sıfır Güven kullanıp kullanmadığını" değil, yolculukta ne kadar ilerledikleriniModel, hedeflenen slaytlardan denetim kontrol listelerine doğru ilerledi.
Ve her iki uygulama da birbirine benzemese de, ortak hikaye şudur: baskı altında artımlı benimsemeDüzenlemeler, dayanıklılık veya itibar tarafından yönlendirilen Sıfır Güven, işletmelerin göz ardı edemeyeceği bir güvenlik mimarisi haline geldi.
Zor kısım
Tüm cazibesine rağmen, Sıfır Güven'in uygulanması kolay değildir. Onlarca yıllık varsayımların yeniden düşünülmesini, yerleşik uygulamaların değiştirilmesini ve etiketi bir pazarlama fırsatı olarak gören tedarikçilerle pazarlık yapılmasını gerektirir. Engeller üç genel kategoriye ayrılır: teknoloji, kültür ve maliyet.
Uymayan Eski Sistemler
En inatçı engellerden biri, Sıfır Güven'den onlarca yıl öncesine dayanan altyapıdır. Hastaneler genellikle hayati önem taşıyan tıbbi cihazları Windows XP'de çalıştırır. Üreticiler, şifrelemenin standart hale gelmesinden çok önce tasarlanmış tesis sistemlerini kullanır. Hatta bazı devlet kurumları bile hâlâ COBOL ile kodlanmış ana bilgisayarlara güvenmektedir.
Bu sistemlerin sonradan uyarlanması zordur. Genellikle modern kimlik kontrollerini veya ayrıntılı segmentasyonu destekleyemezler. Yenilerinin eklenmesi milyonlarca dolara mal olabilir ve yama uygulaması operasyonları aksatıyorsa risklidir.
Sağlık ve İnsan Hizmetleri Bakanlığı'nın 2022 tarihli bir raporu, hastanelerdeki eski teknolojilerin Sıfır Güven yaklaşımının benimsenmesinin önündeki başlıca engel olmaya devam ettiği konusunda uyarıda bulundu. Raporda, eski sistemlerin modern standartları karşılamasını beklemek yerine koruyucu katmanlarla sarılması gibi "kontrol stratejileri"nin uygulanması gerektiği vurgulandı (HHS).
Kullanıcı Sürtünmesi ve Geri Tepme
Sıfır Güven, kullanıcıların daha sık doğrulama yapmasını ve bazen onay için daha uzun süre beklemesini gerektirir. Mühendisler, tekrarlanan kimlik doğrulama isteklerinden şikayetçi. Uzaktan çalışanlar ek oturum açma adımlarından hoşlanmıyor. Geliştiriciler, segmentasyonun iş akışlarını yavaşlattığını savunuyor.
Google'da BeyondCorp'a karşı ilk dönemdeki direnç o kadar güçlüydü ki, güvenlik ekibi şirket içinde öncüler yaratmak zorunda kaldı; bu saygın mühendisler, rahatsızlığın neden korumaya değer olduğunu açıklayacaklardı. Benzer hikayeler farklı sektörlerde de ortaya çıkıyor: Başarı genellikle kullanıma sunulmadan önce kültürel destek almaya bağlıdır.
Liderliğin önemli olduğu yer burasıdır. Sıfır Güven'i salt teknik bir proje olarak ele alan CISO'lar genellikle başarısız olur. Bunu, güvenli bulut benimseme, daha sorunsuz denetimler ve itibar koruması sağlayan iş dayanıklılığının bir parçası olarak görenler ise daha başarılı olur.
İşletmeler için Siber Güvenlik
İşletmeniz, hassas verileri tehlikeye atabilecek, operasyonları aksatabilecek ve itibarınıza zarar verebilecek sürekli gelişen siber tehditlerle karşı karşıyadır. iş çözümleri için siber güvenlik Her ölçekteki şirketin benzersiz zorluklarını karşılamak üzere tasarlanmıştır ve kötü amaçlı yazılımlara, kimlik avına, fidye yazılımlarına ve daha fazlasına karşı sağlam koruma sağlar.
İster küçük bir girişim ister büyük bir kuruluş olun, tüm cihazlarda tüm ekibiniz için kesintisiz koruma sağlayan çoklu lisanslı siber güvenlik paketleri sunuyoruz. Gerçek zamanlı tehdit izleme, uç nokta güvenliği ve güvenli veri şifreleme gibi gelişmiş özelliklerle, dijital güvenlik ihtiyaçlarınızı biz karşılarken siz işinizi büyütmeye odaklanabilirsiniz.
Bugün Ücretsiz Teklif Alın! Uygun fiyatlı ve ölçeklenebilir çözümlerle işinizi güvence altına alın. Hemen bizimle iletişime geçerek bir talepte bulunun ücretsiz fiyat teklifi Şirketinizin güvenliğini ve uyumluluğunu korumak için tasarlanmış çoklu lisanslı siber güvenlik paketleri için. Beklemeyin—tehditler gelmeden önce işinizi koruyun!
Değişimin Maliyeti
Sıfır Güven'i uygulamak ucuz bir iş değildir. Kuruluşların her cihaz ve kullanıcıyı envanterlemesi, yeni kimlik sistemleri kurması, ağları segmentlere ayırması ve izlemeyi merkezileştirmesi gerekir. Büyük işletmeler için maliyet on milyonlarca dolara ulaşabilir.
Daha küçük firmalar daha da zorlu bir seçimle karşı karşıya. Çok azı toptan benimsemeyi göze alabilir. Bunun yerine, dahili ağları büyük ölçüde etkilemeden, çok faktörlü kimlik doğrulama ve bulut erişim politikalarına odaklanan "Sıfır Güven Lite"ı uyguluyorlar.
Analistler, bu dengesizliğin bir güvenlik uçurumu yaratabileceği konusunda uyarıyor. Daha zengin firmalar katmanlı savunmalar kurarken, daha küçük firmalar saldırganların onlarca yıldır istismar ettiği aynı yanal harekete karşı savunmasız kalıyor.
Satıcı Abartısı ve Karışıklığı
Bir diğer engel de sektörün kendisi. Güvenlik sağlayıcıları, her ürünü "Sıfır Güven" olarak markalamak için acele ettiler. Güvenlik duvarları, uç nokta aracıları ve bulut ağ geçitleri bu marka altında pazarlanıyor. Bu durum, yöneticilerin Sıfır Güven'i hazır satın alabileceklerine inanmasıyla karışıklığa yol açtı.
Gartner analistleri, Sıfır Güven'in "bir ürün değil, bir strateji" olduğu konusunda uyarıyor. Bu çerçeve, kimlik, cihazlar, ağlar ve uygulamalar genelinde orkestrasyon gerektiriyor. Hiçbir tedarikçi tek başına tüm bunları sağlayamaz. Ancak pazarlama gürültüsü genellikle bu gerçeği gölgede bırakıyor.
2022 yılında, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kuruluşların ilerlemeyi ölçmelerine yardımcı olmak amacıyla Sıfır Güven Olgunluk Modeli'ni yayınladı. Amaç, kısmen satıcı mesajlarını netleştirmek ve tek seferlik satın alımlara kıyasla kademeli ilerlemeyi vurgulayan bir yol haritası sunmaktı (CISA).
Başarıyı Ölçme
Kuruluşlar Sıfır Güven'i benimsediğinde bile, etkinliğini ölçmek zordur. olmadı Ne olacağını ölçmek zordur. Bunun yerine şirketler vekillere güvenir:
- Ayrıcalıklı hesaplarda indirimler.
- Erişim politikalarına ilişkin daha az istisna.
- Olağandışı davranışların daha hızlı tespiti.
Bu ölçütler kusurlu olsa da, yönetim kurullarına ve düzenleyicilere ilerlemeyi göstermeye yardımcı oluyorlar. Yine de, standartlaştırılmış bir ölçümün olmaması, bazı şirketlerin olgunluklarını abartırken, bazılarının ise ilerlemelerini küçümsemesine neden oluyor.
Yorgunluğu Değiştir
Son olarak, yorgunluk da var. Güvenlik ekipleri zaten yama, uyumluluk ve olay müdahalesiyle uğraşıyor. Buna uzun vadeli bir Sıfır Güven dönüşümü eklemek bunaltıcı olabilir.
Bazı kuruluşlar parça parça bir yaklaşım benimsiyor: önce kimlik kontrolleri, sonra segmentasyon, en son sürekli izleme. Diğerleri ise kapsamlı dağıtımlar yapmaya çalışıyor ve oyalanıyor. Sektörün deneyimli isimleri, Sıfır Güven'in bir "işletme" olarak ele alınması gerektiği konusunda uyarıyor. çok yıllık program hızlı bir çözümden ziyade.
Takeaway
Sıfır Güven, güvenlik duvarları veya proxy'ler kadar politika, bütçe ve psikolojiyle de ilgilidir. Teknik vizyon net olabilir, ancak uygulama eski sistemler, isteksiz kullanıcılar, sınırlı bütçeler ve fırsatçı satıcılarla çakışmaktadır.
Bu gerçeklik, modeli geçersiz kılmaz. Aksine, bu kavramın neden kalıcı olduğunu gösterir. Sıfır Güven bir bitiş çizgisi değildir. Güvenlik beklentileri ve operasyonel kısıtlamalar arasında devam eden bir müzakeredir.
Sıfır Güvenin Geleceği
Sıfır Güven artık uç bir kavram değil. Devlet kurumları ve küresel işletmeler için varsayılan bir şablon haline geldi. Ancak bundan sonra gelecek, ilkelerden ziyade ölçeklenebilir uygulama ile ilgili. Kuruluşlar Sıfır Güven'i BT sistemlerinin ötesine, operasyonel teknoloji, bulut tabanlı yığın ve yapay zeka destekli uygulama, modelin kendisi de evrimleşiyor.
Yapay Zeka ve Makine Öğrenimi: Uyarlanabilir Uygulamaya Doğru
En umut verici gelişmelerden biri de, makine öğrenme Erişim kararlarına. Statik kurallar (sabit niteliklere dayalı izin verme veya reddetme) yerine, yapay zeka destekli sistemler davranışı gerçek zamanlı olarak analiz eder.
Örneğin, bir kullanıcı alışılmadık bir saatte yeni bir konumdan oturum açarsa, sistem kimlik doğrulamasını hızlandırabilir veya etkinliği incelemeye alabilir. Zamanla, bu modeller her kullanıcı ve cihaz için "normal" davranışın temel çizgilerini oluşturur.
Microsoft ve Google, davranışsal sinyalleri içeren uyarlanabilir kimlik doğrulama özelliklerini zaten kullanıma sundu. Microsoft'a göre, risk tabanlı koşullu erişim politikaları kullanan kuruluşlar, saldırganların oturum açma işlemlerinin genellikle öğrenilmiş kalıplardan sapması nedeniyle başarılı kimlik avı ihlallerinde azalmalar bildirdi (Microsoft).
Zorluk, güvenilirliktir. Makine öğrenimi sistemleri yanlış pozitiflere eğilimlidir ve çok fazla yanlış alarm, uyarı yorgunluğuna yol açabilir. İşletmelerin, en azından yakın gelecekte, otomasyonu insan gözetimiyle dengelemesi gerekecektir.
Politika-Kod Olarak: Koruma Raylarının Otomatikleştirilmesi
Başka bir trend politika-kod olarak, erişim kurallarının programlama dillerinde yazılmasına ve sistemler arasında otomatik olarak uygulanmasına olanak tanır.
Kuruluşlar, onlarca uygulamada izinleri manuel olarak yapılandırmak yerine, politikaları merkezi olarak tanımlayabilir (örneğin, "Tüm yöneticiler MFA kullanmalıdır ve hiçbir kimlik bilgisi yeniden kullanılamaz") ve otomasyonun bunları uygulamasına izin verebilir.
Bu yaklaşım, DevSecOps süreçlerinde giderek daha fazla ilgi görüyor. Geliştiriciler, uygulama koduna güvenlik politikaları ekleyerek yeni dağıtımların en başından Sıfır Güven ilkelerine uygun olmasını sağlayabilir. Açık kaynaklı bir proje olan Açık Politika Aracısı (OPA), bu amaç için popüler bir çerçeve haline gelmiştir.
Kod olarak politika ölçeklenebilirlik vaat ediyor. Aynı zamanda şu soruları da gündeme getiriyor: Politikaları kim yazıyor? Kim denetliyor? Bir hata koda sızarsa, makine hızında yanlış kuralları uygulayabilir. Tüm potansiyeline rağmen, bu hala gelişmekte olan bir alan.
Sıfır Güven'i IoT ve OT'ye Genişletmek
Sıfır Güven, kurumsal BT dünyasında doğdu, ancak giderek daha fazla uygulanıyor operasyonel teknoloji (OT) ve Şeylerin Internet (IOT).
Fabrikalar, elektrik şebekeleri ve hastaneler, sık sık yeniden kimlik doğrulaması için tasarlanmamış cihazlarla dolu. Birçoğu eski işletim sistemleri kullanıyor, yama mekanizmalarından yoksun ve güvenlik için değil, kullanılabilirlik için tasarlanmış.
Ancak bu ortamlar artık birincil hedef haline geldi. 2021 Colonial Boru Hattı saldırısı, BT ihlallerinin kritik altyapılara nasıl sıçrayabileceğini gözler önüne serdi. Buna karşılık, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), boru hattı, kamu hizmetleri ve ulaşım ağı operatörlerini mümkün olan her yerde Sıfır Güven ilkelerini benimsemeye çağırdı (CISA).
Bazı stratejiler arasında, eski cihazları kendi adlarına erişim kurallarını uygulayan "vekil sunuculara" sarmak veya savunmasız ekipmanların hassas sistemlerle serbestçe iletişim kurmasını engelleyecek şekilde ağları bölümlere ayırmak yer alıyor. İlerleme düzensiz olsa da, yön açık: Çevresel zihniyet, kritik altyapılar için savunulamaz.
Bulut Yerel Sıfır Güven
Bulut benimsemesi, Sıfır Güven'i yazılımın kendisine daha da entegre etti. Kubernetes gibi konteynerize ortamlarda, mikro hizmetler API'ler aracılığıyla sürekli olarak birbirleriyle iletişim kurar. Bu bağlamda Sıfır Güven, yalnızca insan girişlerini değil, her hizmetten hizmete aramayı doğrulamak anlamına gelir.
Hizmet ağları gibi Istio ve Bağlayıcı Mikroservisler arasında "karşılıklı TLS"yi etkinleştirin, böylece aynı küme içerisinde bile güvenin varsayılması değil kazanılması sağlanır.
Bu ayrıntılı uygulama, tehlikeye atılmış iş yüklerinin etkisini azaltır. Ancak aynı zamanda, operasyon ekiplerinin binlerce geçici sertifikayı yönetmesi gerektiğinden karmaşıklığa da yol açar. Uygulamaları bozmadan bu süreci otomatikleştirmek, inovasyonun önemli bir alanı haline geliyor.
Kuantum Çağına Hazırlık
Daha ileriye bakıldığında, Sıfır Güven, gelecekteki gerçeklikle çakışabilir. kuantum hesaplamaGünümüzün açık anahtarlı kriptografisi, çoğu kimlik doğrulama ve şifrelemenin temelini oluşturur. Yeterince güçlü bir kuantum bilgisayarı, bu algoritmaları saatler içinde kırabilir.
Pratik kuantum saldırıları henüz yıllar uzakta olsa da, hükümetler ve işletmeler şimdiden hazırlık yapıyor. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum saldırılarını standartlaştırıyor. kuantum sonrası şifreleme algoritmaları savunmasız olanları değiştirmek için (NIST).
Sıfır Güven için bu, kimlik ve şifreleme katmanlarının geleceğe hazır hale getirilmesi anlamına gelir. Politikaların, hangi algoritmaların kuantum güvenli kabul edildiğini hesaba katması ve standartlar geliştikçe bağlantıları otomatik olarak taşıması gerekebilir.
Gelecek Vizyonunun Sınırları
Zero Trust, yapay zeka, kod ve kuantum sonrası savunmaları entegre etse de, sınırlar hala mevcut. Otomasyon dikkatlice ayarlanmazsa ters tepebilir. Eski cihazlar kolay entegrasyona direnmeye devam edecek. Ayrıca, kuruluşlar, altındaki zorlu kültürel değişiklikler olmadan Zero Trust terminolojisini kullanırlarsa, "güvenlik tiyatrosu" riskiyle karşı karşıya kalırlar.
Gerçek gelecek göz alıcı olmayabilir. Sürekli bir mücadele olacak: risk ölçümü, politikaların yeniden yazılması, sistemlerin iyileştirilmesi ve insanların alışkanlıklarını değiştirmeye ikna edilmesi. Sıfır Güven, moda bir kavram olmaktan çıkıp, arabalardaki emniyet kemerleri gibi temel bir varsayım haline gelebilir.
Büyük Resim
Sıfır Güven teknik bir çerçeve olarak ortaya çıktı, ancak etkileri güvenlik duvarlarının ve oturum açma işlemlerinin çok ötesine uzanıyor. Hükümetler, şirketler ve tüm sektörler benimsedikçe, model yalnızca siber güvenlik stratejilerini değil, aynı zamanda yönetişim, etik ve jeopolitik soruları.
İşletmeler için Siber Güvenlik
İşletmeniz, hassas verileri tehlikeye atabilecek, operasyonları aksatabilecek ve itibarınıza zarar verebilecek sürekli gelişen siber tehditlerle karşı karşıyadır. iş çözümleri için siber güvenlik Her ölçekteki şirketin benzersiz zorluklarını karşılamak üzere tasarlanmıştır ve kötü amaçlı yazılımlara, kimlik avına, fidye yazılımlarına ve daha fazlasına karşı sağlam koruma sağlar.
İster küçük bir girişim ister büyük bir kuruluş olun, tüm cihazlarda tüm ekibiniz için kesintisiz koruma sağlayan çoklu lisanslı siber güvenlik paketleri sunuyoruz. Gerçek zamanlı tehdit izleme, uç nokta güvenliği ve güvenli veri şifreleme gibi gelişmiş özelliklerle, dijital güvenlik ihtiyaçlarınızı biz karşılarken siz işinizi büyütmeye odaklanabilirsiniz.
Bugün Ücretsiz Teklif Alın! Uygun fiyatlı ve ölçeklenebilir çözümlerle işinizi güvence altına alın. Hemen bizimle iletişime geçerek bir talepte bulunun ücretsiz fiyat teklifi Şirketinizin güvenliğini ve uyumluluğunu korumak için tasarlanmış çoklu lisanslı siber güvenlik paketleri için. Beklemeyin—tehditler gelmeden önce işinizi koruyun!
Yönetişim ve Hesap Verebilirlik
Geleneksel güvenlik modelleri genellikle sorumluluğu bulanıklaştırırdı. Çevresel bir başarısızlık durumunda, bu hatanın BT, uyumluluk veya kullanıcı davranışından kaynaklanıp kaynaklanmadığı belirsizdi. Sıfır Güven, netliği zorunlu kılar. Her erişim isteği kaydedilir, her karar politikaya bağlanır ve her istisna görünür hale gelir.
Bu görünürlük hesap verebilirliği yeniden şekillendiriyor. Yönetim kurulları ve düzenleyiciler, ayrıcalıklı hesaplar, yatay hareket tespiti ve politika istisnaları konusunda giderek daha fazla ölçüm bekliyor. Avrupa'da düzenleyiciler, Sıfır Güven ilkelerini benimsemeyen firmaların, 2020 yılı altında daha sıkı bir incelemeye tabi tutulabileceğini ima etti. Genel Veri Koruma Yönetmeliği (GDPR)Kişisel verilerin korunması için “uygun teknik ve organizasyonel tedbirlerin” alınmasını gerektiren (Avrupa Komisyonu).
Kuruluşlar için bu, Sıfır Güven'in yalnızca bir savunma mekanizması değil, aynı zamanda bir uyum aracı olduğu anlamına gelir.
Doğrulama Etiği
Sürekli doğrulama etik soruları gündeme getiriyor. Her eylem kayıt altına alınıyorsa, bu durum çalışan gizliliğini zedeler mi? Yapay zeka destekli sistemler kullanıcıları "risk" bazında puanlıyorsa, bu puanlar coğrafyaya, çalışma düzenlerine veya cihaz türlerine göre değişebilir mi?
Gizlilik savunucuları Sıfır Güven'in şu şekilde dönüşebileceği konusunda uyarıyor: varsayılan olarak gözetim Dikkatlice sınırlandırılmazsa. Gözetim Teknolojisi Denetim Projesi direktörü Albert Fox Cahn, 2022'deki bir röportajında, "Doğrulama gereklidir, ancak işte yaptığınız her şeyin görünürlüğü bir sınırı aşabilir," demişti.
Kuruluşlar için zorluk dengeyi sağlamak olacak onurlu güvenlikSıfır Güven'in denetimsiz bir izleme rejimine dönüşmesini önlemek için şeffaf politikalar, asgari düzeyde veri toplama ve bağımsız denetimler gerekebilir.
Güvenin Jeopolitiği
Sıfır Güven'in jeopolitik bir boyutu da var. Siber saldırılar devlet aktörlerini giderek daha fazla ilgilendirdiğinden, bu model yalnızca şirketler tarafından değil, hükümetler tarafından da benimseniyor.
Amerika Birleşik Devletleri, Avrupa Birliği ve müttefikleri, kritik altyapıları korumak için Sıfır Güven ilkesi etrafında birleşiyor. Aynı zamanda, rakip devletler de kendi ağları için benzer modeller izliyor ve bunları genellikle gözetim ağırlıklı politikalarla harmanlıyor.
Bu şekilde Sıfır Güven, küresel siber normlar Tartışma. Bunu etkili bir şekilde uygulayabilen ülkeler, yalnızca saldırılara karşı değil, aynı zamanda ihlallerin diplomatik ve ekonomik sonuçlarına karşı da daha dirençli olabilirler.
Ancak gelişmekte olan ülkeler için benimsemenin maliyeti dijital uçurumu derinleştirebilir. Daha zengin ülkeler altyapılarını Sıfır Güven ilkeleriyle güvence altına alırken, daha fakir ülkeler sağlık, bankacılık ve kamu hizmetlerini aksatan saldırılara karşı daha savunmasız hale gelerek eski çevre modellerine bağımlı kalmaya devam edebilir.
Moda Sözcüğün Ötesinde Kalıcı Kültürel Değişim
Sıfır Güven, düzenleme ve jeopolitikaya da girse de, kalıcı etkisi kültürel olabilir. Bu model, kuruluşların dijital güvene bakış açısını yeniden şekillendiriyor: sınırda tek seferlik bir el sıkışma olarak değil, sürekli kazanılması gereken dinamik bir ilişki olarak.
Bu kültürel değişim, teknolojideki daha geniş eğilimleri yansıtıyor. Tıpkı yıllık yazılım sürümlerinin yerini sürekli dağıtımın alması gibi, statik oturum açmaların yerini de sürekli doğrulama alıyor. Her ikisi de, her zaman değişen, her zaman açığa çıkan, her zaman test altında olan.
Lede'ye Dönüş
Fidye yazılımı bir hastanenin randevu sistemini kapattığında, yaşanan başarısızlık sıra dışı değildi. Sıradan bir şeydi: tekrar kullanılan bir parola, kontrol edilmeyen yatay hareketler, örtük güven.
Sıfır Güven, tüm karmaşıklığı ve tartışmalarıyla, sıradan olanı düzeltmeye yönelik bir girişimdir. Her ihlali engellemeyecektir. İçeriden gelen suistimalleri ortadan kaldıramaz. Yanlış uygulandığında yeni riskler bile yaratabilir. Ancak denklemi değiştirir: Çalınan tek bir parola artık tüm bir ağın kilidini açmaya yetmemelidir.
vurucu
Sınırlar hâlâ mevcut. Sadece artık kimin içeri gireceğini tanımlamıyorlar. Önümüzdeki on yıllarda, uyum sağlayan kuruluşlar daha yüksek duvarlar inşa edenler değil, güveni dinamik, bağlamsal ve koşullu olarak ele alanlar olacak.
Sıfır Güven, moda sözcüklerden arındırıldığında, yalnızca bu gerçeğin kabul edilmesidir.
Kaleyi Yıkan İhlaller
Geçtiğimiz baharda orta ölçekli bir hastanenin randevu sistemine fidye yazılımı bulaştığında, klinisyenler kalem ve kağıda döndüler. Saldırganlar alışılmadık bir kötü amaçlı yazılım kullanmamışlardı; yeniden kullanılan bir oturum açma kimlik bilgisi kullanarak, çekirdek sistemler kilitlenene kadar ağda yatay olarak hareket ettiler. Bu tür olaylar, çalınan kimlik bilgilerinin fidye yazılımı kampanyalarını körüklediği ve kaynakları kısıtlı BT ekiplerini bunalttığı sağlık hizmetlerinde yaygındır (Telli).
Bu hastane tek hedef değildi. Mayıs 2021'de bir fidye yazılımı saldırısı, Colonial Boru HattıABD Doğu Yakası'nda tüketilen yakıtın neredeyse yarısını sağlayan , operasyonları durdurmak için. Saldırganlar, çok faktörlü kimlik doğrulaması olmayan, tehlikeye atılmış bir VPN hesabı kullanarak erişim sağlamıştı (Vikipedi). Bu aksaklık yakıt sıkıntısına, panik alımlarına ve federal acil durum önlemlerine yol açtı.
Daha önce, Aralık 2020'de, SolarWinds Tedarik zinciri ihlali, yaygın olarak kullanılan yazılımlara olan güveni sarstı. Bir ulus-devlet grubu tarafından düzenlendiği düşünülen kötü amaçlı güncellemeler, meşru yamalar kisvesi altında dağıtıldı ve saldırganlara tespit edilmeden önce aylarca ABD hükümet kurumlarına erişim sağladı (CISA).
Bu olaylar önemli bir dersi paylaşıyor: Saldırganların dijital çevreye saldırması nadiren gerekiyor. İçeri girdikten sonra, duvarın arkasındaki her şey güvenilir olarak kabul edilir, ihlalin hem hızlı hem de yıkıcı bir şekilde tırmanmasına neden oluyor.
Çevre Çöktü
Onlarca yıldır, kuruluşlar bir kale ve hendek model: çevreyi güçlendirmek (güvenlik duvarları, VPN'ler ve saldırı sistemleri şeklinde) ve içerideki her şeyin güvenli olduğu varsayılıyordu.
Teknolojinin gelişmesiyle birlikte bu çerçeve de çözüldü:
- Buluta geçiş. Hassas iş yükleri AWS, Azure ve Google Cloud'a taşındı.
- Uzaktan ve mobil erişim. Pandemi, VPN'lerin kapsamını genişleterek işi kurumsal duvarların ötesine taşıdı.
- API'ler ve SaaS. Veri artık gözenekli sınırların üzerinden akıyor.
Google Cloud'un bilgi güvenliği sorumlusu Phil Venables, 2022'deki bir röportajında, "Çevre ortadan kalkmadı," demişti. "Artık size pek bir şey ifade etmiyor. 'İçeride' olmak güvende olmak anlamına gelmiyor."
Eski Model ve Neden Başarısız Oldu?
Kale ve hendek metaforu, internet tarihinin büyük bir bölümünde güvenlik düşüncesine hakim oldu. Yüksek duvarlar inşa edin; güvenlik duvarları, saldırı önleme sistemleri, antivirüs yazılımları... Böylece düşmanı dışarıda tutabilirsiniz. Duvarların içinde ise güvenilir kullanıcılar ve makineler özgürce dolaşıyordu.
Çevre Savunmalarının Yükselişi
1990'larda ve 2000'lerin başında bu model mantıklıydı. Kurumsal sistemlerin çoğu şirket içi veri merkezlerinde bulunuyordu. Çalışanlar ofis ağları içindeki masalarda oturuyordu. "Kenar", genellikle kuruluş tarafından kontrol edilen bir dizi IP aralığı olan tanımlanabilir bir sınırdı.
Güvenlik duvarları filtrelenmiş trafik. VPN'ler Seyahat eden personel için şifreli tüneller oluşturuldu. Antivirüs paketleri Bilinen tehditlere karşı korunuyordu. Bir süreliğine bu savunmalar işe yaradı.
Ancak çatlaklar oluşmaya başladı.
- Code Red ve Slammer gibi solucanlar 2000'li yılların başında kurumsal ağlarda hızla yayıldı ve içeri girdikten sonra yama uygulanmamış makineleri istismar etti.
- Target'ın 2013'teki ihlaliSaldırganların üçüncü taraf bir HVAC satıcısı aracılığıyla girdiği ve yatay olarak satış noktası sistemlerine geçtiği , "güvenilir" bölgelerin ne kadar gözenekli olabileceğini gösterdi.
- Edward Snowden'ın 2013'teki açıklamaları Vurgulanan içeriden kaynaklanan risk: Bir kullanıcı ayrıcalıklı erişime sahip olduğunda, çevre savunmaları veri sızdırılmasını engellemek için çok az şey yaptı.
Tehditlerin dışarıdan geldiği yönündeki örtük varsayım artık geçerli değildi.
VPN Darboğazı
Uzun zamandır güvenli uzaktan çalışmanın olmazsa olmazı olarak görülen sanal özel ağlar, göze çarpan bir zayıflık haline geldi. 2020 yılına gelindiğinde, COVID-19 salgını tüm iş gücünü evlerine gönderdiğinde, VPN sunucuları aşırı yüklenmiş durumdaydı. Çalışanlar tüm trafiği bu sunucular üzerinden yönlendirerek performans darboğazlarına ve daha da kötüsü tekil arıza noktalarına yol açtı.
Saldırganlar fark etti. FBI'a göre, VPN güvenlik açıkları 2020-2021'de en çok istismar edilen kategoriler arasındaydı ve saldırganlara kurumsal ortamlara doğrudan erişim sağlıyordu (FBI).
Bir zamanlar güvenilir bir köprü olan VPN, giderek daha büyük bir sorun haline geldi.
İşletmeler için Siber Güvenlik
İşletmeniz, hassas verileri tehlikeye atabilecek, operasyonları aksatabilecek ve itibarınıza zarar verebilecek sürekli gelişen siber tehditlerle karşı karşıyadır. iş çözümleri için siber güvenlik Her ölçekteki şirketin benzersiz zorluklarını karşılamak üzere tasarlanmıştır ve kötü amaçlı yazılımlara, kimlik avına, fidye yazılımlarına ve daha fazlasına karşı sağlam koruma sağlar.
İster küçük bir girişim ister büyük bir kuruluş olun, tüm cihazlarda tüm ekibiniz için kesintisiz koruma sağlayan çoklu lisanslı siber güvenlik paketleri sunuyoruz. Gerçek zamanlı tehdit izleme, uç nokta güvenliği ve güvenli veri şifreleme gibi gelişmiş özelliklerle, dijital güvenlik ihtiyaçlarınızı biz karşılarken siz işinizi büyütmeye odaklanabilirsiniz.
Bugün Ücretsiz Teklif Alın! Uygun fiyatlı ve ölçeklenebilir çözümlerle işinizi güvence altına alın. Hemen bizimle iletişime geçerek bir talepte bulunun ücretsiz fiyat teklifi Şirketinizin güvenliğini ve uyumluluğunu korumak için tasarlanmış çoklu lisanslı siber güvenlik paketleri için. Beklemeyin—tehditler gelmeden önce işinizi koruyun!
Gölge BT ve SaaS
Bu arada, iş birimleri merkezi BT denetimi olmadan SaaS platformlarını (Salesforce, Slack, Microsoft 365) benimsedi. Hassas veriler, genellikle zayıf veya tekrar kullanılan parolalarla erişilen üçüncü taraf hizmetler üzerinden akıyordu.
Bu "gölge BT" Çevre savunmalarının üstesinden gelemeyeceği şekilde saldırı alanını genişletti. Gartner, 2019 yılına gelindiğinde gölge BT'nin büyük işletmelerdeki BT harcamalarının %30 ila %40'ını oluşturduğunu tahmin ediyordu; bu da geleneksel güvenlik ekipleri için bir kör noktaydı.
Zımni Güven Kültürü
Çevre modelinin belki de en tehlikeli kusuru kültüreldi. Güvenlik ekipleri "içeriyi" güvenli olarak değerlendirdi. Geliştiriciler, kontroller olmadan test sistemleri kurdu. Yönetici hesaplarına ayrıcalıklar verildi. Yanal hareketler büyük ölçüde izlenmedi.
Venables'ın da dediği gibi, "Çevre ortadan kalkmadı. Sadece artık size pek bir şey anlatmıyor." Bu farkındalık, Sıfır Güven için zemin hazırladı: ihlal kaçınılmazdır ve etkisini en aza indirmeye odaklanıyor.
Sonuç: Güven, Yeniden Değerlendirildi
Sıfır Güven bazen moda bir sözcük, güvenlik sektörünün bitmek bilmeyen kısaltmalar geçidindeki bir başka döngü olarak görmezden gelinir. Ancak kalıcılığı daha derin bir şeye işaret ediyor. Bir analistin ifadesi olarak başlayan şey, federal bir zorunluluk, satıcıların sloganı ve giderek artan bir şekilde kurumsal bir norm haline geldi. Kalıcılığı yeniliğinden değil, zorunluluktan kaynaklanıyor.
Çevre çöktü. Bulut, mobil çalışma ve birbirine bağlı tedarik zincirleri, iç ve dış arasındaki sınırı ortadan kaldırdı. Saldırganlar durumu fark etti. VPN'leri istismar ettiler, güvenilir yazılım güncellemelerini kötüye kullandılar ve çalınan şifreleri fidye notlarına dönüştürdüler. Arızalar sıradandı, olağanüstü değildi ve onları yıkıcı kılan da buydu.
Sıfır Güven, bu sıradanlığa karşı koyma girişimidir. Kusursuz savunmalara veya kahramanca olay müdahalesine güvenmez. Bunun yerine, zayıflık varsayar, tehlikeyi öngörür ve hasarı sınırlar. Çalınan bir kimlik bilgisi ana anahtar olmamalıdır. Yama uygulanmamış bir sunucu, tüm bir kuruluşu ifşa etmemelidir. Erişim geçici, bağlamsal ve herhangi bir zamanda iptal edilebilir olmalıdır.
Geçiş ne ucuz ne de basit. Kuruluşlar, modernize edilemeyen eski sistemlerle, tekrarlanan doğrulamalardan rahatsız olan çalışanlarla ve terimi anlamını yitirene kadar esnetmeye hevesli tedarikçilerle karşı karşıya. Ancak tüm bu sürtüşmelere rağmen, model pilot programlardan yönetim kurulu düzeyinde stratejiye ilerledi. Hastaneler, bankalar, federal kurumlar ve teknoloji devleri farklı aşamalarda olsa da hepsi aynı yönde ilerliyor.
Sıfır Güven'i önemli kılan şey, ihlalleri ortadan kaldırması değil. Bunu yapamaz. İçeriden gelen suistimaller, karmaşık tedarik zinciri ihlalleri ve insan hataları varlığını sürdürecektir. Yaptığı şey, başarısızlığın geometrisini değiştirmektir. Bir köşedeki ihlal artık kontrolsüzce yayılmaz. Bir saldırganın ilerlemesi yavaşlar, görünürlük artar ve saldırgan için ihlalin maliyeti artar.
Kültürel bir durum da söz konusu. Sıfır Güven, dijital güvene dair düşünce biçimimizi değiştiriyor. Güven, onlarca yıl boyunca durağan bir özellikti: bir kez kazanıldığında kalıcı oluyordu. Şimdi ise dinamik, tekrar tekrar kazanılan ve sürekli ölçülen bir yapıya sahip. Bu değişim, sistemlerin sürekli güncellendiği, kullanıcıların sürekli mobil olduğu ve tehditlerin sürekli adapte olduğu teknolojideki daha geniş çaplı değişimleri yansıtıyor.
Önümüzdeki yıllarda Sıfır Güven evrimleşecek. Makine öğrenimi daha fazla kararı otomatikleştirecek. Kod olarak politika, altyapının derinliklerine kadar uzanacak. Kuantum sonrası kriptografi, onu yeni tehditlere hazırlayacak. Ancak özü aynı kalacak: güven asla kalıcı bir durum değil, yalnızca mevcut kanıtlara dayanan geçici bir karardır.
Sınırlar hâlâ mevcut, ancak artık güvenliği tanımlamıyorlar. Bu anlamda Sıfır Güven, teknik bir çerçeveden ziyade gerçekliğin bir kabulüdür. Paranoyayla ilgili değil. Alçakgönüllülükle ilgili; hiçbir sistemin kusursuz, hiçbir duvarın aşılamaz, hiçbir hesabın şüphe götürmez olmadığını kabul etme alçakgönüllülüğüyle ilgili.
Bu hesaplaşmayı zorunlu kılan ihlaller maliyetli, yıkıcı ve bazı durumlarda tehlikeliydi. Ancak aynı zamanda yeni bir felsefenin de önünü açtılar: Güvenliği bir hendek olarak değil, her etkileşimi, her isteği, her veri akışını yönlendiren bir dizi bariyer olarak gören bir felsefe.
Sıfır Güven bir gün bir ifade olarak unutulup gidebilir. Ancak temsil ettiği uygulamalar silinmeyecek. Uzlaşmanın varsayıldığı bir dünyada, direncin sessiz altyapısı haline gelecekler. Ve eğer başarılı olursa, başarısının en büyük ölçütü görünmezliği olacak; yani sıradan ihlallerin artık olağanüstü krizlere dönüşmemesi.
