YORUM
Bitmek bilmeyen veri ihlallerine ve fidye yazılımı saldırılarına rağmen pek çok şirket hâlâ eski “güven ama doğrula” siber güvenlik stratejisine güveniyor. Bu yaklaşım, bir şirketin ağındaki herhangi bir kullanıcıya veya cihaza, doğrulandıktan sonra güvenilebileceğini varsayar. Yaklaşımın açık zayıflıkları var: Birçok işletme bir kez doğrulayıp ardından sonsuza kadar güvenerek kendilerini ek riske atıyor.
Güven ama doğrulamanın anlamlı olduğu, yani ağların kendi kendine yettiği ve iyi tanımlandığı bir dönem vardı. Ancak bir noktada, belki de ağdaki cihazların çokluğu, uygulanması gereken yamaların sayısı, kullanıcı talepleri ve siber güvenlik ekibindeki kaynak kısıtlamaları nedeniyle işler ters gitmeye başladı. İlk doğrulama, varlığın güvenilir olduğu anlamına geliyordu ancak hiçbir ek doğrulama yapılmadı.
Devamlı Doğrulama Olmadan Güvenin Kullanıcı Örneği
Bunun kullanıcılarda nasıl olduğunu görmek kolaydır. Bir kullanıcı genellikle şirkete katıldığında bir özgeçmiş kontrolünden geçer, ancak bir kez gemiye binmişhayatlarında güvenilirliklerini etkileyebilecek her türlü değişikliğe rağmen, daha fazla doğrulamaya gerek kalmadan sistemlerimize ve verilerimize erişmelerine izin veriyoruz.
Çoğu durumda, daha fazla doğrulama yapılmaması hasara neden olmaz. Ancak kullanıcı işvereninin çıkarlarına aykırı hareket etmeye karar verirse sonuçlar felaket olabilir. Bireyin erişebildiği bilgiler ne kadar hassas olursa risk de o kadar büyük olur. Bu nedenle güvenlik izinleri olan kişiler düzenli olarak yeniden incelenir ve güvenlik personeli herhangi bir sorunu erken tespit etmek ve olası hasarı azaltmak için müdahale etmek için düzenli mali kontroller yapabilir.
Güven ama doğrula yaklaşımını izleyen kuruluşlarda iki kişi öne çıkıyor: tek seferlik varlık doğrulama riskini kabul edilebilir bulanlar; ve – azınlık – riski yeniden doğrulama programıyla yönetmeye çalışanlar. Kişilikte birinciden ikinciye geçiş genellikle yalnızca bir ihlalden, ulaşılabilirlikteki bir krizden veya başka bir “kariyeri sınırlayan felaketten” sonra meydana gelir.
Gerçek şu ki, güvenlik uygulayıcılarının yapılması gereken her şeyi yapması için gün içerisinde yeterli saat bulunmuyor. Güvenlik yamaları tüm savunmasız cihazlara doğru şekilde uygulandı mı? Tüm üçüncü taraf güvenlik değerlendirmeleri düzgün bir şekilde analiz ediliyor mu? Hepsini yap Nesnelerin İnterneti (IoT) cihazları gerçekten ağa mı ait? Yönetilen güvenlik hizmetleri beklendiği gibi performans gösteriyor mu?
Bu güvenilir cihazlardan birinin tehlikeye atılması, ağ üzerinde yatay olarak hareket etme, hassas verilere ve kritik sistemlere erişme konusunda güven verilmesi anlamına gelir. Kuruluşlar muhtemelen bir şeyler ters gidene kadar maruz kaldıkları riskin boyutunu bilemeyecekler.
Yetersiz Doğrulamanın Maliyetli Sonuçları
Bu ihlaller en sonunda keşfedildiğinde maliyetler artmaya başlar. Şirketler yalnızca doğrudan olaya müdahale maliyetleriancak potansiyel olarak düzenleyici para cezaları, toplu davalar, kaybedilen müşteriler ve marka itibarında kalıcı hasar da meydana gelebilir. Göreceli olarak küçük olaylar milyonlarca dolara mal olabilirken, büyük olaylar düzenli olarak milyarlarca dolara mal olabilir.
Bu doğrudan maliyetlerin yanı sıra, yetersiz doğrulama da daha sık ve pahalı uygunluk denetimlerine yol açmaktadır. Düzenleyiciler ve endüstri kuruluşları, örneğin Avrupa Birliği’nin yaklaşmakta olan yeni düzenlemesi kapsamında şirketlerin sağlam kimlik ve erişim yönetimi kontrolleri sergilemesini giderek daha fazla talep ediyor. Dijital Operasyonel Dayanıklılık Yasası (DORA) ile kullanıcı ve cihaz etkinliğinin sürekli izlenmesi ve doğrulanması. Sertifikalar ve akreditasyonlar artık gerçek değeriyle kabul edilemez.
İleriye Giden Yol: Sıfır Güven Yaklaşımını Benimseyin
Doğrulamadan sonra güvenmek yerine işletmeler, ihtiyaç duyduğu süre boyunca yalnızca işletmenin ihtiyaç duyduğu şeylere izin vermelidir. Asla güvenme, her zaman doğrula. Sıfır güven mimarisi bu şekilde işler.
Konumu ne olursa olsun bağlantı kurmaya çalışan her kullanıcı, cihaz ve uygulama incelenir ve doğrulanır, bu da başarılı bir uzlaşmanın yol açabileceği potansiyel hasarı önemli ölçüde sınırlandırır. Sıfır güven mimarisi, güvenlik duvarlarının ve VPN’lerin yerini alır, dolayısıyla bakımı gereken daha az cihaz kalır ve azaltılmış saldırı yüzeyi, saldırganların tutunma noktası elde etmesi için daha az fırsat anlamına gelir.
Sıfır güven, sıfır test anlamına gelmez; Testler herhangi bir BT ve siber güvenlik stratejisinin ayrılmaz bir parçasını oluşturmalıdır. Ancak bu, güvenin hak etmeyen kullanıcılara, cihazlara veya uygulamalara yayılmasından kaynaklanan büyük bir başarısızlık olasılığının artık geçmişte kaldığı anlamına geliyor.
