Sıfır Güvenin Pragmatik Görünümü | Blog


Geleneksel olarak, ağdaki her şeye, kuruluştaki her şeye güvendiğimiz ve güvenliğimizi bu sınırın sonuna koyduğumuz yaklaşımını benimsedik. Tüm kontrollerimizi geçin ve “güvenilir” gruptasınız. Muhalefet karmaşık olmadığında, son kullanıcı iş istasyonlarının çoğu masaüstü olduğunda, uzak kullanıcıların sayısı çok az olduğunda ve tüm sunucularımızı tamamen veya kısmen kontrol ettiğimiz bir dizi veri merkezinde bulundurduğumuzda bu işe yaradı. Dünyadaki yerimiz ve inşa ettiğimiz şeylerden memnunduk. Tabii ki, daha azıyla daha fazlasını yapmamız istendi ve bu güvenlik duruşu, alternatiften daha basit ve daha az maliyetliydi.

Stuxnet zamanından başlayarak bu değişmeye başladı. Güvenlik, yeterince anlaşılmayan, kabul edilen bir maliyet ve arka oda tartışmasından, yönetim kurulu odalarında ve hissedar toplantılarında ilgiyle tartışılan bir tartışmaya dönüştü. Yönetici seviyesi, bir gecede siber güvenlik konusunda bilgisiz olmaktan, şirketin siber konusundaki eğilimi hakkında bilgili olmaya başladı. Saldırılar arttı ve büyük haber kuruluşları siber olayları haberleştirmeye başladı. Mevzuat bu yeni dünyayı yansıtacak şekilde değişti ve daha fazlası geliyor. Bu yeni dünyayı ve onun tüm gereksinimlerini nasıl ele alıyoruz?

Sıfır Güven, güvenlikteki değişikliktir. Sıfır Güven, siber güvenlik stratejisinde temel bir değişikliktir. Daha önce sınır kontrolüne odaklanıp tüm güvenliğimizi içeri ve dışarısı fikri etrafında inşa ederken, şimdi her bileşene ve potansiyel olarak Truva Atı olan her kişiye odaklanmamız gerekiyor. Sınırı geçmek için yeterince meşru görünebilir, ancak gerçekte saldırmayı bekleyen bir tehdit aktörüne ev sahipliği yapıyor olabilir. Daha da iyisi, uygulamalarınız ve altyapınız, bu araçlarda kullanılan kodun bir “Tedarik Zinciri” saldırısında kullanıldığı yerde patlamayı bekleyen bir saatli bomba olabilir. Örgütün hatası olmaksızın saldırıya açık oldukları yerlerde. Sıfır Güven diyor ki – “Yalnızca bir kez, tek bir yerde tek bir eylemde bulunma konusunda size güveniliyor ve değiştiği anda artık size güvenilmiyor ve konumunuz, uygulamanız, kullanıcı kimliğiniz vb. ne olursa olsun tekrar doğrulanmanız gerekiyor”. Sıfır Güven tam olarak “Hiçbir şeye güvenmem, bu yüzden her şeyi doğrularım” dediği şeydir.

Bu düzgün bir teori, ancak pratikte bu ne anlama geliyor? Kullanıcıları, sıkı bir dizi ACL’ye sahip ağlara, yalnızca iletişim kurmaları gereken şeylerle iletişim kurabilen uygulamalara, özel ağlarda yalnız olduklarını düşündükleri noktaya kadar segmentlere ayrılmış cihazlara, gereken minimum erişimle sınırlamamız gerekiyor. kuruluş geliştikçe güven alanlarının değişmesine ve yine de bu cihazların yönetimine izin verecek kadar dinamik olmasına rağmen. Genel amaç, bir siber saldırı için “eğer” değil “ne zaman” sorusu olduğundan, herhangi bir uzlaşmanın organizasyonda izin vereceği “patlama yarıçapını” azaltmaktır.

Öyleyse felsefem “Bunu biliyorum ve ona güveniyorum”dan “Bunun böyle olduğuna inanamıyorum”a dönüşürse ne yapabilirim? Özellikle 5 kat daha fazla karmaşıklıkla başa çıkmak için 5 kat bütçe almadığımı düşündüğümde. pazara bakıyorum. İyi haberler! Her bir güvenlik sağlayıcısı şimdi bana araçları, platformları, hizmetleri ve yeni parlak şeyleri ile Zero Trust’ı nasıl çözdüklerini anlatıyor. Bu yüzden sorular soruyorum. Bana öyle geliyor ki, sadece pazarlamaya göre gerçekten çözüyorlar. Neden? Niye? Çünkü Sıfır Güven zordur. Bu çok zor. Karmaşık, sadece araçlar değil, insan, süreç ve teknolojinin tüm üçlüsü ve teknoloji ekibimle sınırlı değil, tüm organizasyon, tek bir bölge değil, küresel olarak organizasyon genelinde değişiklik gerektiriyor. Bu çok fazla.

Yine de her şey kaybolmaz, çünkü Sıfır Güven sabit bir sonuç değil, bir felsefedir. Bir araç, bir denetim veya bir süreç değildir. Onu satın alamam ve onaylayamam (satan kişiler ne derlerse desinler). Yani bu umut gösteriyor. Ek olarak, her zaman gerçeği hatırlıyorum; “Mükemmellik İlerlemenin düşmanıdır” ve iğneyi hareket ettirebileceğimi anlıyorum.

Bu yüzden Zero Trust merceğinden pragmatik bir güvenlik görüşü alıyorum. Her şeyi bir anda yapmak gibi bir amacım yok. Bunun yerine ne yapabildiğime ve mevcut becerilerimin nerede olduğuna bakarım. Kuruluşum nasıl tasarlandı, paylaşılan hizmetlere ve büyük ölçüde bağımsız iş birimlerine sahip bir çekirdek kuruluşum olduğu yerde bir merkez ve iletişim merkezi miyim? Belki de İB’lerin organik olarak bütünleştiğimiz ve yıllar süren birleşme ve satın almalardan geçerken personel oluşturduğumuz yerlere dağıtıldığı bir ağım var, belki de her şey için tek bir standarda sahip bir organizasyon olarak tamamen entegreyiz. Belki bunların hiçbiri değildir.

Yeteneklerimi göz önünde bulundurarak ve mevcut durumumu haritalayarak başlıyorum. Kuruluşum NIST güvenlik çerçevesi modelinde nerede? Mevcut kadromla nereye gidebilirim? Ortak kuruluşumda bana yardımcı olabilecek kimler var? Nerede olduğumu öğrendikten sonra odağımı bozarım.

Bir çatal, kısa vadede çözülebilecek düşük asılı meyvelerde. İletişim kurması gerekmeyen VLAN’ları daha iyi kısıtlamak için bazı güvenlik duvarı kuralları ekleyebilir miyim? Kullanıcı hesaplarını denetleyebilir ve kuruluş ve izin ataması için en iyi uygulamaları izlediğimizden emin olabilir miyim? MFA var mı ve kullanımını genişletebilir miyim veya bazı kritik sistemler için uygulayabilir miyim?

İkinci çatalım, uzun vadeli planım olarak da bilinen, güvenlik odaklı bir işletim modeli etrafında organize edilmiş bir yetenek ekosistemi geliştirmek. DevOps, güvenliğin ilk önce entegre edildiği SecDevOps olur. Ortaklarım daha entegre hale geliyor ve boşluklarımı dolduracak yeni ortaklar arıyorum ve onlarla ilişkiler ediniyorum. Ekiplerim, tasarım VE uygulama yoluyla güvenliği desteklemek için yeniden organize edildi. Ve bugün ne yapabileceğimize (partner öğle yemeği ve öğrenme) aynı odaklanmayı içeren ve uzun vadeli stratejiyle (ki bu, çalışanlarımı sertifikalarla donatmak olabilir) bir eğitim planı geliştiriyorum.

Bu, araçların rasyonelleştirilmesi projesine bakmaya başladığımız aşamadır. Mevcut araçlarım, yeni Zero Trust dünyasında gerektiği gibi çalışmıyorsa, bunların yakın vadede değiştirilmesi gerekebilir. Hangi araçlara sahibim, yeterince iyi çalışıyor, ancak sözleşmenin feshedilmesinde değiştirilmesi gerekecek. Elimizde tutacağımız hangi araçlar var.

Son olarak, yolumuza yerleştirilen büyük, sert kayaları nerede görüyoruz? Kurallar, ACL’ler ve VLAN’lar eskisinden çok daha karmaşık olacağından ve değişiklikler eskisinden çok daha hızlı olacağından, ağlarımızın biraz yeniden tasarlanmasına ve otomasyon göz önünde bulundurularak tasarlanmasına ihtiyaç duyulacağı kesindir. . Otomasyon bunun işe yaramasının tek yoludur. En iyi yanı, modern otomasyonun kendi kendini belgelemesidir.

Pragmatik olmanın harika yanı, olumlu bir değişiklik yapabilmemiz, hepimizin uyum sağlayabileceğimiz uzun vadeli bir hedefimiz olması, gelecek için gelişirken değiştirebileceğimiz şeylere odaklanmamız. Hepsi yönetici liderliği için bir iletişim katmanına ve yönetim kurulu için gelişen bir stratejiye sarılmıştır. Fili her seferinde bir ısırık yemek.


Kaynak : https://gigaom.com/2022/07/07/pragmatic-view-of-zero-trust/

SMM Panel Viski Fiyatları Geçici Mail yks pdf indir antrenmanlarla matematik 1 pdf serway fizik 1 pdf ales çıkmış sorular pdf ilahi sözleri 1984 pdf türkçe pdf minecraft premium satın al ilahi sözleri Selçuk Sport Apk İndir