Eskiyen kavram ve yolları içeren standart güvenlik modelleri, siber saldırganları artık eskisi kadar zorlamıyor. Saldırganların içeriden yarattığı tehditler konusunda daha gelişmiş hale gelmesiyle birlikte ağlara bir sefer yayılmalarını engellemek için yeni güvenlik uygulamaları gerektiğini belirten Komtera Teknoloji Kanal Satış Yöneticisi Gürsel Tipsin, şirket ağlarının güvenliği için sıfır itimat yaklaşımını öneriyor.
VPN’ler Eskidi, Pekala Ya Artık Ne Yapmalı?
Dış tehditlere karşı geliştirilen güvenlik tahlillerine çalışanların kolay ve inançlı formda ulaşma isteği VPN teknolojisini doğurmuştu. Dahili sistemlere erişmesi gereken çalışanların VPN’ye bağlanarak ve internette inançlı bir tünel oluşturmak için şifreleri kullanarak, şirket içi ağlarda emniyetli bir halde gezinmesine imkan tanıyan VPN’nin artık eskidiğini belirten Tipsin, dijital çalışma formunun daha da gelişmesi ve devreye farklı faktörlerin girmesiyle etraf güvenliği modelinin şirketlerin ağ güvenliği için artık verimli olmadığına dikkat çekiyor. Bulut bilişimin ortaya çıkışı, hareketliliğin yaygınlaşması ve uzaktan çalışmanın artış göstermesinin yeni yaklaşımlara geçişi hızlandırdığını aktaran Tipsin, siber güvenlik dünyasının eski kapalı etraf sistemlerden uzaklaştığını, çağa uygun yeni ve daha sağlam güvenlik modellerinin şirketlerde uygulanması gerektiğini söz ediyor.
Sıfır İnanç Daha Güçlü Savunma
Sıfır itimat modeli, ağ etraf yaklaşımına bir alternatif olarak ağ pozisyonlarına nazaran aygıtlara ya daima ya hiç inancını koymak yerine sadece IP adresine dayanarak hiçbir şeye güvenilmediği varsayımı ile davranılmasını ve her aksiyon için yetkilendirmenin gerekliliğini savunuyor. Sıfır inanç yaklaşımının maksadının ağları, bulut ortamlarını yahut uç noktaları daha muteber hale getirmek olmadığını ve inanç kavramını büsbütün dijital sistemlerden kaldırmak olduğunu belirten Gürsel Tipsin, bu fikrin temelinde, çalışan ve öbür iş ortaklarında görülen itimat anlayışı farklılığının yattığını lisana getiriyor. Tipsin, şirketlerde ağ güvenliği için inanç düzeyinin kişi, durum, idare üzere kaynaklara karşı sıfıra getirilmesinin sağladığı yararları ise 3 temel noktada ele alıyor.
1. Sıfır itimat, stratejik bir güvenlik teşebbüsüdür. İhlallerin, birçok vakit makus niyetli yahut kazayla ortaya çıkan iç nedenlere bağlı olduğunu hatırlatan Gürsel Tipsin, sıfır inanç anlayışı ile hassas işlerin ve müşteri bilgilerinin, kullanıcılara işlerini yapmaları için gereken en az erişimi sağlayarak korunması gerektiği manasına geldiğini söz ediyor.
2. Sıfır inanç, şirketlere bir metodoloji sunar. Etkili ve inançlı bir ağ kurmanın yolu, birinci evvel neyin korunması gerektiği ve sistemlerin nasıl çalıştığını anlamaktan geçiyor. Sıfır itimat anlayışının benimsenmesi, iş bölümlemenin kullanımını tanımlarken şirketlere de kısımlara ayrılmış bir ağ oluşturmak için gerekli bir metodoloji sunuyor. Sıfır inanç anlayışının bir kadro elbise dikmek üzere olduğunu belirten Tipsin, özel giysilerin dikimi üzere sıfır inancın de benzeri bir süreçle şirketleri ölçüp, biçimlendirip makul bir plan içerisinde hareket ettirdiğini açıklıyor.
3. Sıfır itimat, güçlü bir tedbire stratejisidir. Sıfır inanç, tüm şirket genelinde uygulandığında, şirket ağlarından uç noktaya ve buluta kadar güçlü bir tedbire stratejisini içerisinde barındırıyor.
Çok faktörlü kimlik doğrulamanın, sıfır inanç modelinin uygulanması için epey gerekli olduğunu da aktaran Gürsel Tipsin, bir şirketin erişim kararları verirken bir kullanıcının kimliğine bağlılık yaratacaksa, kullanıcılarının sav ettikleri kişi olduğuna dair inanç duyma gereksinimi hissedeceğini belirtiyor. Eski bilgi tabanlı şifre kimlik doğrulama modelinin bu kararları inanca almak için gereken garanti seviyesini maalesef sağlayamayacağını belirten Tipsin, tam MFA dağıtımlarına geçmemiş olan şirketlerin, bu güvenlik projesini öncelik listelerinin en üstüne koyması gerektiğini lisana getiriyor.
