Sıfır güven modeli güvenlik uzmanlarıyla buharlaşıyor

"Asla güvenme; daima doğrula." Sağduyu gibi geliyor değil mi? Bu, siber güvenlik dünyasında çekişme kazanan Sıfır Güven adlı bir stratejinin arkasındaki sloganıdır. Erişim ayrıcalıkları vermeden önce tüm kullanıcıları doğrulayan bir BT departmanı içerir. 2018 Verizon Veri İhlali Soruşturma Raporuna göre, hesaplara erişimi yönetmek, 2017'de küçük ve orta ölçekli işletmelerin (KOBİ'ler) yüzde 58'inin veri ihlalleri rapor etmesiyle her zamankinden daha önemli.

Zero Trust konsepti, Forrester Research'de eski bir analist olan ve şimdi Palo Alto Networks'te Field CTO olan John Kindervag tarafından kuruldu. Kindervag, 30 Ekim'de New York'taki SecurIT Zero Trust Zirvesi'nde izleyicilere, “Gerçek bir strateji yapmaya başlamalıyız, ve Sıfır Güven'in yapabileceği şey bu” dedi. Sıfır Güven fikrinin, otururken ve güven kavramını gerçekten düşündüğü zaman ortaya çıktığını ve genellikle güvenmemesi gereken taraflara güvenmesi gereken şirketlerden genellikle yarar sağlayan kötü niyetli aktörlerin nasıl olduğunu da ekledi.

Chase Cunningham, Sıfır Güven Erişimi yaklaşımını savunurken, Forrester'de Baş Analist olarak Kindervag'in halefi oldu. Cunningham, Zero Trust’taki PCMag’e “Sıfır Güven, bu iki kelimede gerekli olan, hiçbir şeyden güvenme anlamına gelmeyen, hiçbir şeye güvenme, parola yönetimine güvenme, kimlik bilgilerine güvenme, kullanıcılara güvenme ve ağa güvenme”, dedi. Zirve.

Kindervag, bir örgütün korunmaları gerekenleri ve kimlerin erişmesi gerektiğini takip etmeleri gerektiğini göstermek için ABD Gizli Servisi örneğini kullandı. Kindervag, "Bu kontrolleri sürekli izler ve günceller, böylece herhangi bir zamanda mikro çevreyi neyin geçirdiğini kontrol edebilirler." Dedi. "Bu bir Sıfır Güven yürütme koruma yöntemidir. Sıfır Güven'de yapmaya çalıştığımızın en iyi görsel örneğidir."

OPM'de Sıfır Güven Dersi Alındı

Zero Trust'ın kuruluşlara fayda sağlamak için nasıl çalışabileceğine dair mükemmel bir örnek, ABD federal hükümetinin eski CIO'sundan geldi. Sıfır Güven Zirvesi’nde, 2015’ten 2017’ye kadar ABD CIO’nun ofisini düzenleyen Dr. Tony Scott, 2014 yılında ABD Personel Yönetimi Ofisinde (OPM) meydana gelen büyük bir veri ihlali olduğunu açıkladı. İhlal, yabancı casusluktan kaynaklandı. 22, 6 milyon kişiye ait parmak izi verileriyle birlikte 22, 1 milyon kişiye kişisel bilgi ve güvenlik izni bilgisi çalındı. Scott, bu ihlali engellemek için sadece dijital ve fiziksel güvenliğin bir kombinasyonunun nasıl gerekli olacağını değil, aynı zamanda Sıfır Güven politikasının etkin bir şekilde uygulanmasının nasıl gerekli olacağını açıkladı.

İnsanlar OPM'de bir işe başvururken, kapsamlı bir Standart Form (SF) 86 anketi doldurduğunu ve verilerin silahlı muhafızlar ve tanklar tarafından bir mağarada korunacağını söyledi. “Eğer yabancı bir varlık olsaydınız ve bu bilgiyi çalmak isteseydiniz, Pennsylvania'daki bu mağarayı kırmanız ve silahlı muhafızları geçmeniz gerekirdi. O zaman kamyon dolusu kağıt bırakmanız ya da çok hızlı bir Xerox makineniz ya da başka bir şeyiniz olması gerekirdi. "Dedi.

“21 milyon kayıtla kaçmaya çalışmak anıtsal olurdu” diye devam etti. “Ancak yavaş, otomasyon OPM sürecine girerken, bu şeyleri manyetik dosyalardaki bilgisayar dosyalarına koymaya başladık, vb. Bu, çalınmasını çok daha kolaylaştırdı.” Scott, OPM'nin, ajans dijital hale geldiğinde silahlı muhafızlar gibi eşdeğer etkili güvenlik türünü bulamadığını açıkladı. Saldırı sonrasında Kongre, gelecekte bu tür ihlalleri korumak için Sıfır Güven stratejisi çağrısı yapan bir rapor yayınladı.

Kongre raporunda, "Federal hükümet BT ağlarını tehlikeye atmak veya istismar etmek isteyen gelişmiş kalıcı tehditlerle mücadele etmek için ajanslar 'Sıfır Güven' bilgi güvenliği ve BT mimarisi modeline doğru ilerlemelidir." Dedi. ABD Dışişleri Bakanı Jason Chaffetz (R-Utah), daha sonra Gözetim Komitesi Başkanı olarak, o zaman Federal Haber Radyosu tarafından yayımlanan Sıfır Güven hakkında bir yazı yazdı. Chaffetz, "Yönetim ve Bütçe Ofisi (OMB), tüm ağ trafiğini görselleştirmek ve kaydetmek için alınacak önlemlerle birlikte Sıfır Güven'i etkin bir şekilde uygulamak için yürütme birimleri ve ajans başkanları için kılavuzlar geliştirmelidir" dedi.

Gerçek Dünyada Sıfır Güven

Gerçek dünya bir Sıfır Güven uygulaması örneğinde Google, erişim kontrollerini ağ çevresinden bireysel cihazlara ve kullanıcılara taşımayı amaçlayan dahili olarak BeyondCorp adlı bir girişim başlattı. Yöneticiler BeyondCorp'u IP adresi, cihaz güvenliği durumu ve kullanıcı kimliğine dayalı olarak Google Cloud Platform ve Google G Suite için ayrıntılı erişim kontrol politikaları oluşturmanın bir yolu olarak kullanabilir. Luminate adlı bir şirket, BeyondCorp tabanlı bir hizmet olarak Zero Trust güvenliğini sağlıyor. Luminate Secure Access Cloud kullanıcıları doğrular, cihazları doğrular ve uygulama erişimini onaylayan bir risk puanı sağlayan bir motor sunar.

"Amacımız, herhangi bir cihazdan, uç noktadaki herhangi bir aracı veya sanal özel ağlar (VPN'ler) gibi herhangi bir aracı dağıtmadan, bulutta veya tesis içinde barındırıldığı yer ne olursa olsun, herhangi bir cihazdan, herhangi bir şirket kaynağına güvenli bir şekilde erişim sağlamak, Hedef sitedeki güvenlik duvarları veya proxy'ler "Luminate Ürün Yönetimi Başkanı Michael Dubinsky, PCMag'a NYC'deki Hibrit Kimlik Koruması (HIP) Konferansı 2018'de (HIP2018) söyledi.

Sıfır Güven'in hızlı çekiş kazandığı kilit bir BT disiplini, kimlik yönetimidir. Bunun nedeni, "Forrester Wave: Ayrıcalıklı Kimlik Yönetimi, 3. Çeyrek 2016" raporuna göre, ihlallerin yüzde 80'inin imtiyazlı kimlik bilgilerinin yanlış kullanımından kaynaklanmasıdır. Yetkili erişimi daha ayrıntılı bir şekilde kontrol eden sistemler bu olayların önlenmesine yardımcı olabilir.

Kimlik yönetimi alanı yeni değildir ve muhtemelen en yaygın olanı olan ve hala popüler olan Windows Server işletim sistemine gömülü olan Active Directory (AD) platformu olan bu tür çözümler sunan şirketlerin uzun bir listesi vardır ( İŞLETİM SİSTEMİ). Bununla birlikte, yalnızca AD'den daha fazla işlevsellik sunmakla kalmayıp aynı zamanda kimlik yönetimini uygulamak ve sürdürmek için de kolaylaştırabilen çok sayıda yeni oyuncu var. Bu tür şirketler, Centrify, Idaptive, Okta ve SailPoint Technologies gibi oyuncuları içerir.

Zaten Windows Server'a yatırım yapmış olanlar, zaten yatırım yaptıklarını düşündükleri teknoloji için daha fazla ödeme yapmaktan kaçınabilirken, daha derin ve daha iyi korunan bir kimlik yönetimi mimarisi, engellenen ihlallerde ve uyumluluk denetimlerinde büyük temettüler sağlayabilir. Ayrıca, maliyet önemli olsa da yasaklayıcı değildir. Örneğin, Centrify Infrastructure Services, sistem başına aylık 22 ABD Doları'ndan başlar.

Sıfır Güven Nasıl Çalışır?

Kindervag, "Sıfır Güven'in yaptığı şeylerden biri ağ bölümlendirmesini tanımlamaktır." Dedi. Segmentasyon, hem ağ yönetimi hem de siber güvenlik için kilit bir kavramdır. Performansı ve güvenliği artırmak için bilgisayar ağını mantıksal veya fiziksel olarak alt ağlara bölmeyi içerir.

Sıfır Güven mimarisi, bir ağın fiziksel konumunu içeren çevre modelinin ötesine geçer. Cunningham, “çevreyi varlıkların altına doğru itmeyi” içeriyor.

“İşletme, bir sunucu, bir kullanıcı, bir cihaz veya bir erişim noktası olabilir” dedi. “Gerçekten yüksek bir duvar inşa ettiğinizi ve güvende olduğunuzu düşünmek yerine, kontrolleri mikro seviyeye doğru bastırıyorsunuz.” Cunningham, bir güvenlik duvarını tipik bir çevrenin parçası olarak tanımladı. “Bu bir yaklaşım ve strateji ve çevre sorunu” dedi. "Yüksek duvarlar ve büyük bir şey: sadece işe yaramıyor."

Bir ağa erişebilmek için, Centrify'den ayrılan bir kimlik yönetimi şirketi olan Idaptive'ın yeni CEO'su Danny Kibel'e göre, eski bir güvenlik yönü yönlendiricileri kullanıyordu. Sıfır Güven'den önce, şirketler doğrular ve sonra güvenirdi. Ancak Sıfır Güven ile, "her zaman doğrula, asla güvenme" diye açıklıyor Kibel.

Idaptive, Tekli Oturum Açma (SSO), uyarlanabilir çok faktörlü kimlik doğrulama (MFA) ve mobil cihaz yönetimi (MDM) içeren Yeni Nesil Erişim platformu sunar. Idaptive gibi hizmetler, erişimde mutlaka ayrıntılı kontroller oluşturmanın bir yolunu sunar. Çeşitli uygulamalara kimlerin erişmesi gerektiğine bağlı olarak provizyon veya provizyon bırakabilirsiniz. Kibel, "Örgütün erişimini kontrol etmesi için bu iyi ayarlanmış yeteneği veriyor." Dedi. “Ve bu gördüğümüz kuruluşlar için çok önemli çünkü yetkisiz erişim açısından çok fazla yayılma var.”

Kibel, Idaptive'ın Zero Trust'a yaklaşımını üç adımda tanımladı: kullanıcıyı doğrulayın, cihazlarını doğrulayın ve yalnızca o kullanıcı için uygulamalara ve hizmetlere erişime izin verin. Kibel, “Kullanıcı davranışını değerlendirmek için birden fazla vektörümüz var: konum, coğrafi hız, günün saati, haftanın saati, ne tür bir uygulamayı kullandığınızı ve hatta bazı durumlarda bu uygulamayı nasıl kullandığınızı” . Idaptive, başarılı ve başarısız oturum açma girişimlerini, kimlik doğrulama işlemini ne zaman yeniden düzenlemesi gerektiğine veya bir kullanıcıyı tamamen engellemesi gerektiğinde görmeye çalışır.

30 Ekim'de, Centrify, şirketlerin gerekli en az ayrıcalıklı erişimi sağladığı ve kimin erişimi istediğini doğruladığı Sıfır Güven Ayrıcalığı adlı bir siber güvenlik yaklaşımı getirdi. Sıfır Güven Ayrıcalığı işleminin dört adımı, kullanıcının doğrulanmasını, isteğin içeriğine bakmayı, yönetici ortamını güvenceye almayı ve gereken en az ayrıcalık miktarını vermeyi içerir. Centrify'nin Sıfır Güven Ayrıcalık yaklaşımı, riski azaltma aşamalı bir yaklaşımı içerir. Ayrıca, şirketlerin bulut depolama platformları, büyük veri projeleri ve hatta işletme sınıfı web'de çalışan gelişmiş özel uygulama geliştirme projeleri gibi daha yeni ortam türlerine erişimi kısıtlamalarını sağlayan yazılım olan Eski Ayrıcalıklı Erişim Yönetimi'nden (PAM) bir geçiş getiriyor. barındırma tesisleri.

Bir Sıfır Güven modeli, bilgisayar korsanlarının zaten bir ağa erişimde olduğunu varsayıyor, diyor Centrify Başkanı Tim Steinkopf. Steinkopf'a göre, bu tehditle mücadele stratejisi yanal hareketi sınırlamak ve her yerde MFA'yı uygulamak olacak. Steinkopf PCMag'e "Birisi ayrıcalıklı bir ortama erişmeye çalıştığında, hemen doğru bilgilere ve doğru erişime sahip olmanız gerekir." Dedi. “Bunu uygulamanın yolu, kimlikleri pekiştirmektir ve daha sonra kimin, neyin, neyin, ne zaman, niçin ve nerede olduğu anlamına gelen istek bağlamına ihtiyacınız vardır.” Ondan sonra, sadece gerekli erişimi sağlayacaksınız, dedi Steinkopf.

Dubinsky, "Kullanıcının içeriğini alıyorsunuz, bu durumda doktor olabilir, hemşire olabilir veya verilere erişmeye çalışan başka bir kişi olabilir." Dedi. "Çalıştıkları cihazın içeriğini alıyorsunuz, erişmeye çalıştığı dosyanın içeriğini alıyorsunuz ve buna göre bir erişim kararı vermelisiniz."

MFA, Sıfır Güven ve En İyi Uygulamalar

Bir Sıfır Güven modelinin önemli bir yönü güçlü kimlik doğrulamasıdır ve birden fazla kimlik doğrulama faktörüne izin vermek, bunun bir parçasıdır, MFA çözümleri sunan Silverfort CEO'su ve Kurucusu Hed Kovetz. Bulut çağındaki perimetre eksikliği ile, kimlik doğrulama için hiç olmadığı kadar büyük bir ihtiyaç var. Kovetz, HIP2018’de PCMag’e, “MFA’yı yapabilme yeteneği, Zero Trust’ın neredeyse temel bir gereksinimidir ve bugün yapmak imkansızdır, çünkü Sıfır Güven artık çevre olmadığı fikrinden geliyor” dedi. “Yani herhangi bir şey bir şeye bağlanıyor ve bu gerçeklikte kontrolü uygulayabileceğiniz bir geçitiniz yok.”

Forrester'ın Cunningham teknolojisi satın alma kararlarını Sıfır Güven stratejisine eşlemek için Zero Trust eXtended (XTX) adlı bir strateji belirledi. Cunningham, “Gerçekten bir çevreyi güvenli bir şekilde yönetmeniz için gereken yedi kontrol parçasına baktık” dedi. Yedi sütun, Otomasyon ve Düzenleme, Görünürlük ve Analitik, İş Yükleri, İnsanlar, Veri, Ağlar ve Cihazlardır. Bir ZTX platformu olması için, bir sistem veya teknoloji, uygulama programlama arayüzü (API) yetenekleriyle birlikte bu sütunlardan üçüne sahip olacaktır. Güvenlik çözümleri sunan birkaç satıcı, çerçevenin çeşitli sütunlarına uyar. Cunningham, Centrify, insanların ve cihazların güvenliğini ele alan ürünler, Palo Alto Networks ve Cisco'nun ağ oluşturma çözümleri sunduğunu ve IBM'in Security Guardium çözümlerinin veri korumaya odaklandığını belirtti.

Steinkopf, Zero Trust modelinde ayrıca şifreli tüneller, trafik bulutu ve sertifika tabanlı şifreleme de bulunmalıdır. İnternet üzerinden bir iPad'den veri gönderiyorsanız, alıcının erişim hakkına sahip olduğunu doğrulamak istediğinizi belirtti. Steinkopf'a göre, konteyner ve DevOps gibi gelişen teknoloji trendlerini uygulamak, imtiyazlı kimlik bilgileriyle kötüye kullanımla mücadelede yardımcı olabilir. Ayrıca bulut bilişimi Sıfır Güven stratejisinin ön saflarında yer aldı.

Luminate's Dubinsky de aynı fikirde. KOBİ'ler için, kimlik yönetimi sağlayan bir bulut şirketine veya bir hizmet olarak MFA'ya dönüşmek, bu güvenlik sorumluluklarını o alanda uzmanlaşmış şirketlere verir. Dubinsky, "Günlük işlerinden sorumlu olan şirketlere ve insanlara mümkün olduğu kadar fazla boşaltmak istiyorsunuz, " dedi.

Sıfır Güven Çerçevesinin Potansiyeli

Her ne kadar uzmanlar, şirketlerin özellikle kimlik yönetiminde bir Sıfır Güven modeline dönüştüğünü kabul etse de, bazıları güvenlik altyapısında Sıfır Güven'i benimsemek için büyük değişikliklere ihtiyaç duymadığını görüyor. IDC Güvenlik Ürünleri Grubu Program Başkan Yardımcısı Sean Pike, “Bugün herhangi bir düzeyde benimsemek istediğim bir strateji olduğundan emin değilim” dedi. “Yatırım Getirisi hesabının mantıklı bir zaman diliminde var olduğu konusunda olumlu değilim. Maliyetin bir strateji olarak engelleyici olduğunu düşündüğüm bir takım mimari değişiklikler ve personel sorunları var.”

Bununla birlikte, Pike telekomünikasyonda ve IDM'de Sıfır Güven için potansiyel görüyor. Pike, "Bugün, örneğin toptan mimarlık değişikliği gerektirmeyen kolayca kabul edilebilecek bileşenler olduğunu düşünüyorum." Dedi. “İlişkilendirilmelerine rağmen, benim güçlü hissetmemiz, benimsemenin Sıfır Güven'e yönelik stratejik bir hamle olmaktan ziyade, kullanıcıların bağlanma yollarını ve parola tabanlı sistemlerden uzaklaşma ve erişim yönetimini iyileştirme gereksinimlerini belirleme hamlesi” dedi. açıkladı.

Sıfır Güven, ağınıza girenlere güvenmemek ve kullanıcıları doğrulamak zorunda kalmak gibi siber güvenliğin standart ilkelerinin bazılarını tekrar eden bir pazarlama konseptinin bir parçası olarak yorumlanabilse de, uzmanlara göre bir oyun planı olarak hizmet ediyor . Forrester'ın Cunningham, "Sıfır Güven için büyük bir savunucuyum, bu tekil, stratejik türden bir mantraya doğru ilerliyor ve örgüt içinde bunu savunuyorum." Dedi.

2010 yılında Forrester tarafından sunulan Sıfır Güven fikirleri, siber güvenlik endüstrisi için yeni değil, SANS Enstitüsü'ndeki Güvenlik Eğitimi Trendleri Direktörü John Pescatore'nin güvenlik eğitimi ve sertifikasyonu sağlayan bir kuruluş olduğunu belirtti. “Bu siber güvenliğin standart tanımıdır - her şeyi güvenli kılmaya, ağınızı bölümlere ayırmaya ve kullanıcı ayrıcalıklarını yönetmeye çalışın” dedi.

Pescatore, 2004'te Jericho Forum adında artık feshedilmiş bir güvenlik organizasyonunun, "çevre-az güvenlik" konusunda Forrester ile benzer fikirleri getirdiğini ve yalnızca güvenilir bağlantılara izin verilmesini önerdiğini belirtti. Pescatore, "Bu, 'Suçlu ve kusursuz havası olmayan bir yere gidin ve evinizde bir çatıya veya kapıya ihtiyacınız yok' 'demeye benzer bir şey." Dedi. “Sıfır Güven en azından ortak bölümleme anlamında geri döndü - her zaman internetten bir çevre ile bölümlere ayırıyorsunuz.”

• Çevrenin Ötesinde: Katmanlı Güvenliğe Nasıl Gidilir? Çevrenin Ötesinde: Katmanlı Güvenliğe Nasıl Gidilir?
• NYC Venture, İşleri Teşvik Etmek İstiyor, Siber Güvenlik Konusunda Yenilikçilik
• Bir sonraki güvenlik ihlali için nasıl hazırlanır Bir sonraki güvenlik ihlali için nasıl hazırlanır

Sıfır Güven modeline bir alternatif olarak, Pescatore, İnternet Güvenliği Kritik Güvenlik Kontrolleri Merkezi'nin izlenmesini tavsiye etti. Sonunda, Sıfır Güven kesinlikle hype rağmen faydaları getirebilir. Ancak, Pescatore’nin belirttiği gibi, Sıfır Güven ya da başka bir şey dense de, bu tür bir strateji hala temel kontroller gerektiriyor.

Pescatore, "İşletmeyi korumak için temel güvenlik hijyen süreçlerini ve kontrollerini geliştirmenin yanı sıra kalifiye personelin etkin ve verimli bir şekilde çalışmasını sağlamak için geliştirmeniz gerektiği gerçeğini değiştirmiyor" dedi. Bu, çoğu kuruluş için finansal bir yatırımdan daha fazlasıdır ve başarılı olmak için odaklanmaları gereken bir şirket vardır.