Sıfır Güven yaklaşımı (Zero Trust), iş süreçlerini güvence altına alma şeklimizi dönüştürmeyi amaçlıyor. Ancak bunu insanların zararına olacak şekilde yapmamalıyız.
Sürekli “Sıfır Güven” hakkında konuşmak sorunlu olabilir çünkü kimseye gerçekten güvenmiyorsanız, dükkânı kapatsanız daha iyi. Çalışanlarınıza en azından bir dereceye kadar güvenemezseniz işinizi yürütebilir misiniz? Eğer bu slogan “Sıfır Doğrulanmamış Güven” olsaydı, daha az akılda kalıcı bir ifade olsa bile, konsepti çok daha iyi açıklardı, çünkü güvenin doğrulanması gerektiğini açıkça ifade ederdi.
Geleneksel olarak güven, bir işletmenin çevresi içindeki çalışanlara oldukça serbest bir şekilde verilirdi. 1980’lerde uluslararası bilgisayar korsanlığı girişimlerinin ve Morris solucanı gibi olayların ortaya çıkmasıyla, IT yöneticilerine ağ çevrelerindeki erişimi kilitleme ihtiyacı güçlü bir şekilde hatırlatıldı. Ancak sonraki yıllarda bulut altyapısı giderek daha popüler hale geldi ve çevre kavramını bulanıklaştırdı ve yalnızca çevreyi savunma güvenlik yaklaşımı giderek daha geçersiz hale geldi.
Bu kavram 2009 yılında Forrester’ın güveni ele almak için daha iyi bir yaklaşıma ve dolayısıyla geleneksel çevre tabanlı yaklaşımın yerini alacak yeni bir güvenlik modeline duyulan ihtiyaca işaret etmesiyle ortaya çıkmıştır. “Sıfır” teriminin niteliksiz kullanımına rağmen, Sıfır Güven modelinin amacı tüm güveni yıkmak değil, ne zaman güvenileceğini daha dikkatli düşünmek ve ardından sağlanan güveni, ona verilen zaman ve kaynaklarla birlikte izlemektir.
Sıfır Güven uygulamasının önündeki zorluklar
Modelin temeli, verilen güvenin doğrulanması ve sürekli olarak yeniden değerlendirilmesidir. Bunu başarmak için önümüzde en az iki engel bulunuyor.
İlk olarak, güven kontrolleri çalışanların iş akışlarını tam olarak hesaba katamayabilir veya çalışanlar ya da müşteriler daha fazla güveni hak ettiklerini düşünürlerse hayal kırıklığına uğrayabilirler. Güven karmaşıktır çünkü insan davranışı karmaşıktır, kullanılan araçlar çeşitlidir ve iş süreçleri, kaynaklar ve personel sık sık veya beklenmedik şekilde değişebilir.
Güven politikalarının kesintiye neden olmaması için IT yöneticilerinin bunları işletmenin süreçlerine göre uyarlaması, dağıtımdan önce test etmesi ve titizlikle izlemesi gerekir. Bu da IT personelinin işletmeyi daha iyi anlamasını gerektirir.
İkinci olarak, işletme atanan güvenin uygulanmasına, izlenmesine ve yeniden değerlendirilmesine yardımcı olacak teknolojilere yatırım yapacak bütçeden yoksun olabilir. Ancak bütçe yetersiz olsa bile, mevcut araçların ve kaynakların sıfır güvene uygun şekilde yeniden kullanılma ihtimali yüksektir.
Örneğin, IT yöneticileri kullanıcı etkinliği ve şirket kaynaklarına erişimle ilgili günlüklerin toplanmasını artırabilir, normal kalıpları anlamak ve anormallikleri tespit etmek için günlükleri analiz edebilir veya mevcut araçlardaki izinlere ve yapılandırmalara ince ayar yapabilir. Bu adımları zaten atmış olsanız bile, sıfır güven vizyonunu göz önünde bulundurarak bunları tekrarlayabilirsiniz – yalnızca belirli kaynaklara ve belirli bir süre için nasıl güven verileceğini ve mümkün olduğunca bu güvenin bir kez verildiğinde nasıl izleneceğini düşünün. Bu, işletmenin güvenlik duruşunu iyileştirebilecek farklı pratik sonuçlara yol açmalıdır.
Sıfır Güven yolculuğunuzu destekliyoruz
ESET’in güvenlik teknolojileri, sıfır güvene giden yolda küçük işletmelerden büyük kuruluşlara kadar tüm kurumları destekleyebilir. Sağladığımız desteğin kapsamını en kolay aşağıdaki piramit ile gösterebiliriz:
Piramit, ESET PROTECT Platformu ve Destek Hizmetlerinden oluşan bir ana taban üzerine oturur. ESET PROTECT, piramidin yukarıdaki katmanlarında gösterilen ESET’in koruyucu teknolojiler paketinden çeşitli dilimlerden oluşur. Destek hizmetleri, ESET ürünlerinin özel güvenlik ihtiyaçlarınız ve ortamınız için en iyi şekilde yapılandırılmasına yardımcı olmak üzere ESET uzmanlarını işletmenizin kullanımına sunar.
Sıfır güveni destekleyen teknolojilere yatırım düzeyinizi görselleştirmenize yukarıdaki piramit yardımcı olabilir. Kabaca söylemek gerekirse, bir üst katmandaki teknolojiler ya bir alt katmandakilerin üzerine inşa edilir ya da onların korumasını genişletir. Katmanları aşağıdan yukarıya doğru hızlıca gözden geçirelim.
En alt katman, uç nokta koruması gibi iş güvenliği için vazgeçilmez teknolojileri içerir; bu nedenle bunu temel koruma olarak nitelendiriyoruz. Genişletilmiş koruma katmanında, belirli iş güvenliği ihtiyaçlarını karşılamaya veya gelişmiş tehditleri savuşturmaya yardımcı olacak teknolojiler buluyoruz.
Bir sonraki katman olan algılama ve yanıt, bir işletmenin güvenlik duruşunu reaktiften proaktife çevirdiği için oyunun kurallarını değiştiriyor. ESET’in algılama ve yanıt aracı ESET Inspect‘in devreye alınmasıyla, güvenlik savunucuları ağlarındaki uç noktalarda meydana gelen düşük seviyeli olayları izleme ve araştırma yetkisine sahip olurlar.
Son olarak, piramidin zirvesindeki tehdit istihbaratı adı verilen katman, tehdit veri akışlarını ve gelişmiş kalıcı tehdit (APT) raporlarını içerir. Bu raporlar, yeni tehditlere ilişkin araştırma ve teknik analizlerle doludur ve yalnızca abonelik yoluyla edinilebilir.
Kısacası, yukarıdaki piramit bir kuruluşun sıfır güven yolculuğuna eşlik etmesi gereken bazı teknolojileri ortaya koymaktadır. Elbette her şirketin yerel düzenlemelerden, işin doğasından, mevcut IT güvenlik bütçesinden ve IT altyapısının mevcut durumundan kaynaklanan kendi ihtiyaçları vardır. Dolayısı ile ESET PROTECT platformuna yaptığınız yatırım, ısmarlama bir güvenlik yolculuğunda bir kılavuzdur. ESET PROTECT sıfır güven yolculuğunuzda güvenilir bir ortağınızdır.
MSP’ler için ortalığı karıştıran APT grupları
