Gartner’ın önümüzdeki birkaç yıl içinde kurumsal güvenliği önemli ölçüde iyileştirebileceğini düşündüğü yaklaşımlara ilişkin öngörüleri arasında kendi yaklaşımlarından biri de yer alıyor: siber güvenlik ağ mimarisi (CSMA).
Analist firma, CSMA’yı aşağıdakilerden biri olarak tanımladı: en iyi teknoloji trendleri 2022’de izlemek için, kuruluşların önümüzdeki iki yıl içinde güvenlik olaylarının maliyetini %90 oranında azaltmasına yardımcı olabilecek bir yaklaşım olarak nitelendirdi.
Gartner’a göre bu yaklaşıma duyulan ihtiyacın nedeni, siber saldırıların artan karmaşıklığı, varlıkların hibrit çoklu buluta taşınması ve uzaktan çalışma modellerinin benimsenmesidir. Özellikle uzaktan çalışma eğilimi, kuruluşların birden çok ortamda çok çeşitli zayıf entegre edilmiş güvenlik araçlarını desteklemesine neden oldu.
CSMA tam olarak nedir ve Gartner neden bu konuda bu kadar iyimser? Gartner’ın görüşüne göre, CSMA, güvenlik bilgilerinin ve uyarıların daha hızlı algılama ve yanıt verebilmek için ürünler arasında sorunsuz bir şekilde paylaşıldığı ve ilişkilendirildiği, farklı teknolojileri uyumlu bir bütün halinde birbirine bağlayan bir çerçevedir.
Gartner’ın sözleriyle, “Siber güvenlik ağı kontrolleri en çok ihtiyaç duyulan yerlere dağıtmaktan oluşan modern bir güvenlik yaklaşımıdır.” Her güvenlik aracının bir siloda çalıştırılması yerine, “bir siber güvenlik ağı, araçların temel güvenlik hizmetleri ve merkezileştirilmiş politika yönetimi ve düzenlemesi sağlayarak birlikte çalışmasını sağlar”. Gartner, ağ mimarisi yaklaşımının, kuruluşların güvenlik kontrollerini geleneksel kurumsal çevre dışına dağıtılmış varlıklara daha etkin bir şekilde genişletmesine olanak tanıdığını belirtti.
Omdia’da baş analist olan Rik Turner, CSMA’yı güvenlik politikası düzenlemesini merkezileştiren, ancak uygulamanın gerekli olduğu yerlere dağıtan modüler bir yaklaşım olarak tanımlıyor. “Özünde, bir kuruluşun altyapısındaki her varlık kendi kavramsal çevresine sahip olur” diyor.
Erişim hakları, güvenlik analitiği ve tehdit istihbaratından oluşan bir yığın, bir kimlik yapısı, politika ve duruş yönetimi ve güvenlik ekibinin yönetmesi ve birleştirmesi için tek bir gösterge panosu tarafından merkezi olarak yönetilir.
Gartner’ın çerçevesindeki kontrol yığını, ağın ortasında oturuyor ve uç nokta, bulut, uygulamalar ve e-posta, veri ve kimlik ve erişim yönetimi etrafındakiler dahil olmak üzere çok çeşitli güvenlik kontrolleriyle iletişim kuruyor, diyor Turner.
Omdia’da kıdemli bir baş analist olan Fernando Montenegro, tipik bir kuruluş genelinde BT dağıtımının ve geliştirmesinin katıksız hacmi ve hızının, güvenlik ekiplerini, hepsi kendi özel güvenlik gereksinimleri ve olgunluk düzeylerine sahip çok sayıda farklı projeyi denemek ve güvence altına almak için çabalamaya zorladığını ekliyor. “Her şeyi bunun gibi bir “ağ” içinde bir araya getirmek, güvenliğin daha sıkı kontrolleri elinde tutmasının bir yolu.”
CSMA’nın benimsenmesinin, çeşitli kurumsal güvenlik teknolojilerini kesintisiz bir ağda birbirine bağlamak için yeterli yetenekli bir platformun mevcudiyetine bağlı olacağını tahmin ediyor. Karadağ, güvenlik ekibi ile organizasyonun geri kalanı arasındaki organizasyonel uyumun da çok önemli olacağını söylüyor. Kuruluşların CSMA benzeri bir mimariye giden yolda başlamaları için iyi bir yerin kimlik altyapısı olduğunu söylüyor. Bunun nedeni, insanların ve nesnelerin kimliklerinin, CSMA benzeri bir ortamda yapabilecekleri ve yapamayacakları şeylerin merkezinde yer almasıdır.
Fikir mi, Mimari mi?
Turner, şu an için CSMA’nın bir fikirden çok daha fazlası olmadığını ve resmi bir mimariden uzak olduğunu söylüyor. Kurumsal altyapının ve uygulamaların bulutta ayrıştırılmasıyla son yıllarda büyük bir baskı altına giren kurumsal güvenliğe yönelik geleneksel kale ve hendek yaklaşımına alternatif olarak ortaya konan birçok fikirden biridir. COVID-19 pandemisine yanıt olarak uzak ve hibrit ortamların hızla benimsenmesi, çevredeki her şeyi engellemeye ve dahili ağlardakilere güvenmeye dayalı eski güvenlik modellerini geçersiz hale getirdi.
Turner, “İşte burada Gartner’ın siber güvenlik ağı yaklaşımı önerisi devreye giriyor” diyor. “Yeniden düşünme sürecinde kuruluşlara yardımcı olmak için tasarlanmıştır.”
Turner, geleneksel güvenlik yaklaşımını, birinin içeri girdiğinde herhangi bir yere gidebileceği ve izin verilen kalış süresinden sonra bile yasadışı olarak kalabileceği sınır kontrollerine benzetiyor.
“Aksine, [Gartner’s] Yaklaşım, ülkeye giriş yapmanıza, ancak yalnızca belirli bir kasaba veya şehre, yalnızca sınırlı bir süre için gitmenize izin veriyor ve kaldığınız süre boyunca CCTV aracılığıyla sizi izliyor” diyor Turner.
Göçmenlik makamları her anı takip eder ve izin verilen süreden sonra veya herhangi bir politika ihlali için daha önce erişimin sonlandırılmasını sağlar.
Turner, bu kulağa sıfır güvene çok benziyorsa, çünkü öyledir, diyor. Siber güvenlik ağı fikri, sıfır güven sağlamak için kurumsal siber güvenlik altyapısını düzenlemenin bir yolu olarak düşünülebilir; bu, Forrester’ın önce dile getirdiği ve Gartner’ın daha sonra imzaladığı bir yaklaşımdır.
“Bence Gartner’ın bunu siber güvenlik ağ mimarisi olarak formüle etmesi, bu aşamada mimariden daha kavramsal olduğu için biraz gergin” diyor.
SANS Enstitüsü’nde yükselen güvenlik trendleri direktörü John Pescatore, CSMA’yı güvenlik otomasyonu ve orkestrasyonu için geri dönüştürülmüş bir yaklaşım olarak görüyor. “Temelde, çalışması için tüm güvenlik araçlarının ve kontrollerinin doğrudan birbirleriyle konuşması ve güvenlik istihbaratı beslemeleri üretmesi veya alması gerekiyor” diyor.
Ayrıca ortak bir kurumsal kimlik yapısıyla iletişim kurabilmeleri, standartlaştırılmış politika dillerini kullanabilmeleri ve dinamik uygulama gerçekleştirebilmeleri gerekir. Pescatore, tüm bunların – özellikle standart politika dilleri henüz mevcut olmadığı için – 10 yıllık bir zaman diliminde olma olasılığının çok uzak olduğunu tahmin ediyor.
“Her üründen birine sahip olan büyük satıcılar buna atlayacak” diyor. Bir ağ mimarisi için gereken kodu dahili olarak geliştirecek kaynaklara sahip Google ölçeğindeki birkaç şirket de öyle. Ancak Fortune 500 ve diğer kuruluşlar arasında düşük bir benimseme bekliyoruz, diyor.