Gücü sıfır güven ilkesi (asla güvenmeyin, her zaman doğrulayın) günümüzün karmaşık ve çeşitli bulut ağlarını güvence altına almak için önemli bir uygulama haline geldi. O kadar uzun süre önce, tüm değerli bilgilerinizin bu duvarlar içinde güvenli olduğundan emin olarak şirketinizin ön kapısını kilitleyebilirdiniz. Sonra dizüstü bilgisayarlar, diskler ve hafıza sopaları da geldi - ve bu kadar sık sık bir yerde trende devlet sırları bırakan biriyle ilgili bir hikaye duyardınız. Bugün şirketinizin verileri, bağlantı bulunan herhangi bir yerde potansiyel olarak mevcuttur. Ve uzaktan ve dağıtılmış iş güçlerindeki benzeri görülmemiş yükselişle, “her yerde” kelimenin tam anlamıyla “dünyanın herhangi bir yerinde” olabiliyor.

Bugünlerde, dünyanın endüstriyel IoT ağlarındaki milyonlarca bağlantılı cihaz ve varlıktan hiçbir şey söylemek için en iyi yazılım çözümlerinin tümü bulutta çalışıyor. Bulut uygulamaları genellikle şirket içi uygulamalardan daha az güvenli değilken (aslında tam tersi) günümüzün bağlantılı dünyasında yeni riskler var. Dijital ve bulut teknolojileri, güvenlik uzmanlarının her kuruluşun saldırı yüzeyi dediklerini genişletti.

Geleneksel siber güvenlik protokolleri, kullanıcıların şirketin sanal ön kapısında güvenlikten geçmesi ve ardından içeri girdikten sonra yerin çalıştırılması fikri üzerine modellendi. Yani bulut öncesi bir dünyada geliştirildiler. Ancak artık daha fazla erişim noktası var - bir çalışanın kişisel telefonu veya IoT yazıcısı potansiyel bir portal olabilir ve şirketler güvenlik stratejilerini çökertmek zorunda kaldılar. Siber saldırılar rekor yükseklikte olduğunda, ağ güvenliği yapılacaklar listenizin en üstünde öncelikli konumda olmalıdır. Sıfır güven uygulaması, işletmenizin tamamında taahhüt ve iş birliği gerektirir.

Sıfır güven: Tanım ve strateji

John Kindervag, bulut uygulamaları ve IoT cihazlarının hızlı yükselişine başladığı bir dönemde, 2010 yılında Forrester Research'te analist olarak çalışıyordu. Kindervag, Forrester'ın sistemlerinde tutulan verilerin ve fikri mülkiyetlerin muazzam hassasiyetini ve değerini haklı olarak tanıdı. Bu artan riske karşılık sıfır güven terimini ortaya attı ve temel ilkelerinin birçoğunun gelişmesine öncülük etti.

Sıfır güven, her kullanıcının ve potansiyel olarak bağlı cihazın, şirketin perimetrelerinin içinde veya dışında olup olmadıklarını kesin olarak doğrulamasını gerektiren bir BT güvenlik modeli olarak tanımlanabilir. Sıfır güven mimarisi (ZTA), başarı elde etmek için özel dijital çözümlerin ve araçların yanı sıra bir dizi süreç ve protokole dayanır.

Sıfır güven ağı erişimi (ZTNA), Gartner'ın “bir uygulama veya uygulama kümesi etrafında bir kimlik ve bağlam tabanlı, mantıksal erişim sınırı” oluşturması olarak tanımladığı sıfır güven mimarisinin uygulamasıdır. Bu, söz konusu uygulamaları ortak görünümden kaldırır ve yalnızca doğrulanan ve önceden belirtilen erişim politikalarına uyan kullanıcılara izin verir.

Ama gerçekte organizasyonunuz içinde kültürel bir dönüşüm olarak sıfır güven başlar. Kasıtlı olarak zarar vermeye çabalayan kötü aktörler açısından siber güvenliği düşünme eğilimindeyiz ama maalesef risk ve kayba yol açan kötülükten ziyade çoğu zaman cehalet. Aslında geçtiğimiz günlerde yayınlanan bir raporda çalışanların dolandırıcılık ya da kimlik avı sonucu dehşete kapıldığı 2022’nin sadece ilk yarısında e-posta saldırılarında yüzde 48’lik bir artış görülüyor. Bu, eğitimin ve kültürel satın almanın neden sıfır güven uygulamasının kritik bir bileşeni olduğunu göstermektedir.

Neden şu anda sıfır güven ilkeleri bu kadar gerekli?

Siber saldırıların arttığından pek şüphe yok. 2022 yılında 14 farklı sektör ve 16 ülke genelinde 1200 büyük kuruluşun katıldığı büyük bir anket yapıldı. Siber güvenliğe öncelik verilmesine rağmen, katılımcıların çoğu güvenliğinin yetersiz olduğunu itiraf etti. Aslında bulgular 2020 ile 2021 arasındaki aylarda malzeme ihlallerinin sayısında yüzde 20,5’lik endişe verici bir artış olduğunu gösterdi.

Günümüzün işletmelerinin karşılaştığı diğer güvenlik zorluklarından bazıları şunlardır:

• Eski güvenlik duvarları. Birçok şirket, bulut bağlantısının çoğalmasını önceleyen güvenlik duvarlarına fazlasıyla güveniyor. VPN'ler, güvenlik duvarlarını güçlendirmek için uygulanabilir bir band-aid'tir, ancak sınırlı kapsamı ve iş uygulaması performansını yavaşlatma eğilimleri nedeniyle etkili, uzun vadeli bir çözüm değildir ve bu da çalışan verimliliğini etkiler.
• Doğrulama karmaşıklığı. Cihaz agnostik yazılımı kullanıcılar için harikadır ancak güvenlik protokollerine karmaşık bir katman ekler. Kullanıcılar şirket telefonlarına ve dizüstü bilgisayarlarına sahip olsalar bile, onları korumak için mevcut olan doğrulama ve güvenlik protokolleri kadar güvenlidirler.
• Üçüncü taraf cihazlar. Pandemiyle birlikte tüm iş güçleri evden işe gönderildi -neredeyse bir gecede. Birçok şirketin çalışanların kendi bilgisayar ve cihazlarını kullanmalarına izin vermekten başka çaresi yoktu. Birçok durumda işletmeyi çalışır ve ışıklar açık tutmak için güvenlik geçici çözümleri kuruldu. Fakat birçok şirket henüz bu geçici önlemleri kaldırmadı ve uzak işçileri için daha fazla kurşun geçirmez sıfır güven tedbiri uyguladılar.
• Yetkisiz uygulamalar. SaaS iş uygulamalarının kullanımı istikrarlı bir yukarı yönlü gidişat üzerindedir. Ne yazık ki, birçok BT ekibi ince gerilir ve çoğu zaman kullanıcıların kendi uygulamalarını satın alıp şirket ağı içinde, BT ekiplerini bilgilendirmeden kullanmaya başvurmasına neden olur. Sadece bu uygulamalar katı sıfır güven uygulamalarına tabi değil, güvenlik önlemlerini de tümüyle atlamış olabilirler.

• IoT bağlanabilirliği. Endüstriyel IoT cihazları bir fan veya kaynak makinesi kadar basit olabilir. Bu cihazlar herhangi bir tür “bilgisayar” olarak kabul edilmediği için, kullanıcılar şirket ağına potansiyel bir erişim noktası olduklarını kolayca unutabilirler. Sıfır güven mimarisi, tüm uç noktalar, makineler ve IoT varlıkları için güvenlik sağlayan otomasyonları ve süreçleri devreye sokar.
• Çok kanallı portallar. Çalışanlar, iş bulutunuzdaki tek çalışanlar değildir. Gittikçe mağazalarda akıllı raflar gibi bağlantılı cihazları görüyor ve mobil uygulamaları “her yerde öde” yapıyoruz. Bu omnichannel portallardan herhangi biri riski temsil eder. Sıfır güven, müşterilerinize herhangi bir rahatsızlık veya gecikme yaşamadan bu riskleri güvence altına almaya yardımcı olur.
• ERP güvenlik zorlukları. Geçmiş yıllarda, ERP sistemleri belirli planlama ve finans görevleriyle sınırlıydı ve işletme içinde sınırlı bir kullanıcı kümesine sahipti. Ancak günümüzün en iyi bulut ERP sistemleri yapay zeka, gelişmiş analitikler ve ölçeklenebilir güçlü veritabanları tarafından yönlendirilir. İşletme genelinde farklı uygulamalar ve sistemlerle entegrasyon olanağı elde ederler ve her operasyonel alanı optimize etmek ve kolaylaştırmak için giderek daha fazla yararlanılırlar. Modern ERP sistemleri, yerleşik gelişmiş güvenlik sistemlerine sahiptir ancak herhangi bir sistem gibi, yalnızca daha geniş erişilebilirlik ve erişilebilirliğe sahip olan güvenlik açıklarına sahiptir. Güçlü bulut ERP güvenliğine uygulandığında sıfır güven ilkeleri işletmenizi her aşamada korumaya yardımcı olur.

Sıfır güven nasıl çalışır?

Sıfır güven; kullanıcılardan uç noktalara kadar çeşitli nitelik ve kimlikleri izlemek ve doğrulamak için çok faktörlü kimlik doğrulama, uç nokta güvenlik çözümleri ve bulut tabanlı araçlar gibi bir dizi teknolojiyi ve protokolü bir araya getirir. Sıfır güven aynı zamanda güvenliklerini sağlamak için veri, e-posta ve iş yüklerinin şifrelenmesini gerektirir. Esasen sıfır güven protokolü:

• Herhangi bir cihaz veya varlık aracılığıyla herhangi bir yerden ağ erişimini kontrol edin ve sınırlayın
• Ağın herhangi bir düzeyine erişebilen veya kullanıcı ya da varlıkları doğrulama
• Tüm ağ trafiğini gerçek zamanlı olarak kaydedin ve inceleyin

Sıfır güven güvenlik modeli, bilinmesi gereken bir politika kullanıyor. Esasen bu, kullanıcıların işlerini yapmak için yalnızca ihtiyaç duydukları verilere ve uygulamalara erişebileceği anlamına gelir. Ve bir kez daha teknoloji, daha iyi siber güvenlik yarışında çift kenarlı kılıç. Dijital çözümler ve bağlantı geliştikçe daha büyük bir saldırı yüzeyi yaratırlar, bu nedenle ayak uydurmak için daha iyi ve hızlı güvenlik teknolojileri gerekir. Ayrıca ayak uydurmakla kalmayıp aynı zamanda kullanıcı için en az rahatsızlık ve aksaklığa da neden olur. Bu, bağlamsal bilgiler ve mevcut azami veri noktası miktarı ile gerçek zamanlı olarak desteklenen yüksek düzeyde çevik ve dinamik güvenlik ilkeleri gerektirir. Bu kişi kim? Neredeler? Nelere erişmeye çalışıyorlar? Neden bu erişime ihtiyaçları var? Hangi cihaz veya uç nokta ile geliyorlar?

Sıfır güven çözümlerinin avantajları

En ciddi hallerinde veri ihlalleri felaket olabilir. Müşterilerinizin özel verileri mali durumunuz, fikri mülkiyetiniz ve elbette iyi itibarınız gibi tehlikededir. Sigorta gibi, güvenlik yatırımları da büyük gider gibi görünebilir… Bunlara ihtiyacınız oluncaya kadar. Sonra da işinizi korumak için ödeyeceğiniz küçük bir bedel gibi görünüyorlar.

Sıfır güven çözümlerinin birçok avantajından bazıları şunlardır:

• Hibrit ve uzaktan iş güçlerini koruma. Uzaktan çalışanlar ve kişisel cihazların siber güvenlik oyununu nasıl yükselttiğini konuştuk. Ancak risk altında olan sadece şirketiniz değil. Siber suçlular çalışanlarınızı kişisel olarak hedef alabilir, bu nedenle risklerini ve sizin risklerinizi azaltmak için sıkı önlemlerin mevcut olmasını sağlamak önemlidir.
• Çevikliği ve yeni iş modellerini destekleme. İşletmelerin rekabet etmek ve aksaklıkları yönetmek için pivot yapabilmesi ve yeni iş modellerini keşfedebilmesi gerekir. Bu; yeni uygulamaların, yazılımın ve bağlı varlıkların etkinleştirilmesi anlamına gelir. Bu şartlar altında güvenliğin sağlanması manuel ele alınırsa yıldırıcı bir görevdir. Neyse ki en iyi sıfır güven yazılım araçları, tüm önemli adımların atılmasını sağlayan akıllı otomasyon ve özelleştirilebilir çözümlerle işleri hızlandırabilir.
• BT kaynak giderlerini azaltma. Herhangi bir BT uzmanına manüel güvenlik görevleri için ne kadar zaman harcadıklarını sorun; yanıt muhtemelen "çok fazla". İşletmeler temel kurumsal sistemlerini buluta taşıdıkça güvenlik yamaları ve güncellemeleri otomatikleştirilebilir ve arka planda gerçekleştirilebilir. Bu, sıfır güven güvenlik protokolleri için de geçerlidir. Kullanıcılardan uç noktalara, sıfır güven ile ilişkili temel şifreleme ve doğrulama görevlerinin çoğu otomatikleştirilebilir ve planlanabilir.
• Doğru bir stok sağlama. Sıfır güven ilkeleri, şirketin tüm varlıkların, kullanıcıların, cihazların, uygulamaların ve bağlı kaynakların doğru bir envanterini tutmasını gerektirir. Doğru çözümler mevcut olduğunda, stok güncellemeleri gerçek zamanlı doğruluk sağlayarak otomatik olarak güncellenecek şekilde ayarlanabilir. İhlal teşebbüsünde bu paha biçilmez bir soruşturma aracıdır. Dahası, şirketlerin genellikle milyonlarca varlıkla bağlantılı varlıkları vardır, bu nedenle doğru bir envanter de finansal bir faydadır.
• Daha iyi bir kullanıcı deneyimi sunma. Geleneksel doğrulama süreçleri yavaş ve yönetilmesi zor olabilir. Bu, kullanıcıların ya güvenlik protokollerini aşmaya çalışmalarına, hatta kullanımı zor oldukları için temel araç ve uygulamaların kullanımından kaçınmalarına yol açtı. En iyi sıfır güven çözümleri, çalışanları şifreleri bulma (ve sonra unutma) zahmetinden kurtaran ve yanıt verme süreçlerini yavaşlatan, izinsiz ve duyarlı olacak şekilde tasarlanmıştır.

Sıfır güven en iyi uygulamaları: Başlarken

Sıfır güven dönüşümünüz başladıktan sonra üstlenmeniz gereken birkaç görev vardır. Bu, varlıklarınızı kataloglamayı, organizasyonunuzda segmentleri tanımlamayı ve verilerinizi daha sorunsuz bir geçiş için sınıflandırmayı içerir.

Sıfır güven ilişkisi bir taahhütle başlar ve aşağıdaki adımlar kesintisiz çalışmanıza yardımcı olabilir:

• Görevlendir. BT ekibiniz zaten çok meşgul. Riskleri azaltmanıza, iyileştirme fırsatlarını tespit etmenize ve çalışılabilir bir yol haritası oluşturmanıza yardımcı olabilecek özel bir siber güvenlik değişiklik yönetimi uzmanı getirmeyi veya atamayı göz önünde bulundurun.
• İletişim kur. Yüzleşelim, çalışanlarınız daha sıkı güvenlik önlemleri haberleriyle hemen heyecanlandırılmayacaklar. Daha iyi güvenliğe yatırım yaparken, bu dönüşüm etrafında daha ilgi çekici mesajlaşma ve iletişime de yatırım yapmalısınız. Siber suçların tehlikelerinin bol bol gerçek dünya örnekleri var. Ekiplerinizin, bunun yalnızca bir veri ihlaliyle sonuçlanan C paketi olmadığını anlamasına yardımcı olun; iş yüküne mal olur, kişileri etkiler ve şirketin hayatta kalmasını tehdit eder.
• Denetim. Güvenlik uzmanıyla birlikte çalışarak güvenlik riskleri kontrol listesi oluşturma ve işletmenin her alanını denetleme. Siloları ayırın ve ekibinizdeki konu uzmanlarıyla bağlantı kurun. Özellikle tedarik zincirleri ve lojistik gibi karmaşık ve küresel operasyonlarda zayıf noktaların ve güvenlik açıklarının kendi alanlarında olduğu herkesten daha iyi bilirler.
• Öncelik Tüm ticari işlemlerinizin ve görevlerinizin göreli önemini ve aciliyetini belirleyin ve bir derecelendirme tayin edin. Eleştirel olarak şeylere erişmesi gereken ve kimlerin daha az olması gerektiğine ilişkin rol tabanlı değerlendirme yapın. Bu ilk önceliklendirme, sıfır güvenin temel bileşenlerinden biri olan yanal hareketi ve veri ihlallerine maruz kalmasını engelleyen mikro segmentasyona hazırlanmanıza da yardımcı olacaktır.

Bugünün ötekileştirme ve dikkatli dil dünyasında, çalışanlarınıza sıfır güven biraz alaycı bir terim gibi görünebilir. Bu nedenle, ekiplerinize sıfır güven tanıtırken bunun önüne çıkın. Onlara en başta bunu hiçbir şekilde güvenmediğiniz anlamına geldiğini söyleyin. Kimsenin güvenmemesi gereken siber suçluların -çünkü bir şeyleri olmadıkları bir şeye benzetebilecekleri için. En tinik boşluklar üzerinden gizlice içeri girebilirler ve içeride olduklarında kime zarar verdiklerini umursamazlar.