Son birkaç yılda sıfır güven hakkında, çoğu güvenlik uzmanları için keşifler ve açıklamalar olan sayısız makale yayınlandı.
Ancak, sözde “güven” denkleminin diğer tarafındaki uzaktan çalışanlar için yazmak istiyorum – önümüzdeki birkaç yıl içinde sıfır güven stratejileri uygulandıkça ve düzeltildikçe değişiklikler ve rahatsızlıklarla ilgilenecek insanlar.
Bu jargon içermeyen açıklamaya hoş geldiniz sıfır güven.
Herhangi bir türde bir güvenlik uzmanı veya BT uzmanıysanız, neler olduğunu ve nedenini anlaması gereken çalışanlarla, özellikle uzak çalışanlarla paylaşmak için lütfen bu bülteni saklayın.
Her şeyden önce, sıfır güven bir ürün veya hizmet değildir – bir fikir, bir yaklaşım, bir stratejidir.
İşyerinin geleceğini güvence altına almak için sıfır güvene ihtiyacımız var. Bunun nedeni, eski stratejinin – çevre güvenliği – artık işe yaramaması.
Çevre güvenliği ile şirket güvenlik duvarı kuruldu. Güvenlik duvarı içindeki herhangi bir kişi, cihaz ve uygulamanın güvenli olduğu varsayıldı – içeride oldukları için güvenildi. Uzak çalışanlar, verileri şifreleyen ve yetkili bir kişinin başka bir ülkedeki bir ev ofisinden veya otelden bile güvenlik duvarının içine girmesini sağlayan bir yazılım olan sanal özel ağ (VPN) kullanarak güvenlik duvarının içine girebilir.
Çevre güvenliği eski günlerde yeterince iyi çalıştı ama dünya değişti. Ve şimdi çalışmıyor. Bağlantı çok karmaşık ve siber saldırganlar çok karmaşık hale geldi. Günümüzde, her türlü eski moda ağ, karmaşık bulut bilişim düzenlemeleri ve çok sayıda küçük, bağlantılı, genellikle sensör tabanlı birimlerin tümü Nesnelerin İnterneti (IoT) şemsiyesi altında toplanmıştır.
Ve sana sahibiz. Evet sen.
Çevre güvenliğinin artık çalışmamasının en büyük nedeni, insanların yalnızca ev ofislerinden değil, herhangi bir yerden herhangi bir yerden herhangi bir bağlantı üzerinden uzaktan çalışmasıdır.
Ev ofisini düşünün. Bir çevre güvenlik düzenlemesi ile, bir VPN kullanarak ev Wi-Fi’niz üzerinden bağlanarak ana iş dizüstü bilgisayarınızın güvenlik duvarının içinde olmasını sağlarsınız. Şimdi, herhangi bir sayıda şey olabilir:
- Wi-Fi’nize yatak odasından erişebilen komşunun bilgisayar korsanı çocuğu, bu erişimi dizüstü bilgisayarınızı hacklemek, VPN yazılımınızı tehlikeye atmak ve böylece tüm şirketi tehlikeye atmak için kullanır çünkü artık o da iş yerinizin çevresinin içindedir.
- Dizüstü bilgisayarınızdan birkaç dakika uzaklaşıyorsunuz ve hala oturumunuz açıkken oğlunuzun arkadaşı gizlice porno izlemek için ev ofisinize giriyor. Bunu yaparken, dizüstü bilgisayarınıza her türlü kötü amaçlı yazılımı otomatik olarak indiren karanlık bir siteyi ziyaret eder. Bu olaydan sonra dizüstü bilgisayarınız her gün tüm gün Doğu Avrupa’daki sunuculara bağlanır ve bu da profesyonel kötü niyetli hacker çetelerinin şirketinizin ağlarına VPN erişiminin keyfini çıkarmasını sağlar.
- Aileniz çocuklarınıza Noel için Wi-Fi üzerinden bağlanan bir oyuncak alıyor. Artık bir güvenlik güncellemesi yayınlama niyeti olmayan bir şirketten ev ağınızda bir IoT cihazınız var. Bu cihaz, Wi-Fi’nize, dizüstü bilgisayarınıza ve ön taraftaki bir arabadan çalışan akıllı araba korsanları tarafından şirketinize açılan başka bir kapıdır.
Bu senaryolar yalnızca bir WFH çalışanını içerir. Şimdi tek bir şirkette evden ve dünyanın dört bir yanından 5.000 uzaktan çalışanın, hepsi sayısız güvenlik açığıyla birlikte çalıştığını hayal edin.
Uzaktan çalışmanın neden çevre güvenliğinin düşmanı olduğunu anlıyor musunuz?
Sıfır güven şu şekilde çalışır. Güvenliği sağlanamayan güvenli bir “çevreye” güvenmek yerine, şirketiniz her kullanıcının, cihazın ve uygulamanın kimliğinin ayrı ayrı doğrulanmasını isteyecektir.
Bunun anlamı şudur: Dizüstü bilgisayarınız ve sizin şirket kaynaklarına erişim yetkisine sahip olsanız bile, biri sisteminize bir flash sürücü takarsa, ne o sürücü ne de üzerindeki yazılım aynı kaynaklara erişim yetkisine sahip olmayacaktır. Komşu hacker çocuğu erişim sağlayamıyor. Dizüstü bilgisayarınıza indirilen kötü amaçlı yazılım erişim sağlayamaz. Ev Wi-Fi ağınızda görünen rastgele IoT cihazları erişim sağlayamaz.
Dezavantajı, tahmin edebileceğiniz gibi, tüm bu kimlik doğrulamanın rahatsızlığı artıracağıdır. Çok iyi şifre hijyenine ve uygulamalarına ihtiyacınız olacak. Muhtemelen biyometrik kimlik doğrulamaya ihtiyacınız olacak. Yetkilendirilmiş bir cihazın veya uygulamanın erişiminin reddedileceği tesadüfi durumlar olacaktır ve hepsini halletmek için destek masasıyla çalışmanız gerekecektir.
Ancak tüm bu rahatsızlıklar, IoT, bulut bilişim ve hepsinden önemlisi uzaktan çalışmanın gücü için ödediğimiz bedeldir.
Süreç yaklaşıyor ve bir öğrenme eğrisi olacak. Ama sonunda, sıfır güvene güvenmenizi rica ediyorum. Artık işler böyle yürümeli.
Telif Hakkı © 2022 IDG Communications, Inc.
