Sıfır Güven, Siber Güvenliği Benimseyen Şirketlerin %99'una Göre İyileştiriyor

Yayınlanan: 2022-08-18

Sıfır güveni benimseyenlerin neredeyse %99'u bunun şirketlerinin siber güvenliğini iyileştirdiğini söylüyor. İşte şirketinizin sıfır güven yolculuğuna başlamak için bilmeniz gerekenler.

Sıfır güven bir güvenlik stratejisidir ama aynı zamanda bir zihniyettir. Bu, güven olmadığı anlamına gelmez, ancak örtülü güven olmadığı anlamına gelir. Temizlemek? Numara? Tamam, onu inceleyelim.

2022 Sıfır Güven Anketimiz ^[*] , şirketlerin %84'ünün sıfır güven stratejilerini benimsemeye karar verdiğini ortaya koyuyor. Şirketiniz artan güvenlik tehditlerinden endişe duyuyorsa, sıfır güvene geçmenin yararları ve bununla birlikte gelen zorluklarla nasıl başa çıkılacağı hakkında bilgi edinmek için okumaya devam edin.

Sıfır güven nedir ve neden bunu duymaya devam ediyorum?

Sıfır güven, kullanıcıları açıkça belirleyerek ve onlara ağınıza tam olarak doğru miktarda erişim vererek işletmeniz için güvenliği optimize etmeyi kolaylaştıran bir stratejidir.

Sıfır güven, örtük güvenin mütevazı “ güven ama doğrula ” sloganının yerini acımasız “ asla güvenme, her zaman doğrula” düsturuyla değiştirir. ” Kulağa alaycı geliyorsa, olmalı. Sıfır güven güvenliği, bir ihlalin kaçınılmaz olduğu veya zaten meydana geldiği zihniyeti altında çalışır.

Buna göre, sıfır güven güvenliği, geçmişte BT altyapısı için varsayılan olan örtük güven güvenliğinin doğrudan yerine geçer. Örtülü güven ile, birisi güvenlik çevrenizin içine girdiğinde, daha fazla incelemeye gerek duymadan onlara dolaylı olarak güvenirsiniz. Bu strateji, modern hedefli tehdit ortamı için yetersiz olduğunu kanıtladı.

Aşağıda tartışacağımız sıfır güvenin güvenlik iyileştirmeleri çok sayıda ve çeşitlidir. Sıfır güven stratejileri, CISA ^[1] ve NIST ^[2] gibi kuruluşlar tarafından zaten tavsiye edilmektedir ve şu anda Başkan Biden'in Ulusun Siber Güvenliğini İyileştirme Emri ^[3] uyarınca federal kurumlar için zorunlu kılınmaktadır.

Anket yaptığımız şirketlerin %44'ü sıfır güven uygulamasına şimdiden başlamış ve %40'ı da gelecekte bir noktada bunu benimsemeyi planlasa da, yalnızca %16'sı bunu dikkate almamış veya aleyhte karar vermemiştir. Gelecekte bunu benimsemeyi planlayanların %72'si önümüzdeki yıl içinde uygulamaya başlamayı planlıyor.

Sıfır güven güvenlik benimseme aşamalarını gösteren grafik.

Ancak sıfır güvenin kaçınılmaz olarak kitlesel olarak benimsenmesine rağmen, anketimiz, anket yaptığımız BT uzmanlarının neredeyse yarısının (%47) şirketlerinin liderliğinin sıfır güven güvenliğini anlamadığını söylüyor. Sorunları daha da kötüleştiren, ankete katılanlarımızın %40'ı, sıfır güven güvenliği uygulamak için gereken yeni teknoloji için bütçeyi elde etmede zorluklarla karşılaştıklarını söylüyor.

Ve bu sorunlar kuruluşunuzun sıfır güven yolculuğunu karmaşık hale getirebilirken, günümüzün hızla artan tehdit ortamında örtük güven güvenlik stratejilerini kullanarak yeterli güvenliği sağlayamazsınız.

Halihazırda kullandığımız güvenlik yaklaşımının nesi var (ör. örtük güven)?

Örtülü güven güvenlik modeli, geçmiş bir dönem için tasarlanmıştır ve artık modern siber güvenlik tehditleri için uygun değildir. Geçmişte, çoğu iş, dış tehditlerle çok az bağlantısı olan kapalı bir ağ içinde yapıldığında, bir kullanıcı adı ve parola yeterli görünüyordu ve güvenlik çevrenizde çalışan herkesin güvenilir olabileceğini varsaymak kolaydı.

Günümüze hızlı bir şekilde ilerleyin ve şirketler, bulut tabanlı veri depolama çözümlerine bağımlı olan çeşitli Hizmet Olarak Yazılım (SaaS) platformlarına bağlanır ve dünya çapında giderek daha fazla uzaktan çalışana ev sahipliği yapar. Başka bir deyişle, güvenlik sınırları genişledi ve saldırı yüzeyleri büyüdü.

Ayrıca, siber güvenlik tehditlerinin kendisi, genellikle pasif kötü amaçlı yazılım bulaşmalarından, genellikle yüksek düzeyde organize olmuş suç örgütleri tarafından başlatılan belirli şirketlere veya bireylere yönelik giderek artan oranda hedefli ve yıkıcı saldırılara dönüşmüştür. Bu nedenlerle şirketler, kimlikleri sürekli olarak doğrulayan ve olası saldırı etkisini en aza indiren güvenlik stratejilerine ihtiyaç duyar.

Peki, sıfır güven, örtük güvenden daha mı iyidir? Sıfır güven benimsemeyi başlatan veya tamamlayanların neredeyse %99'u, şirketlerinin siber güvenliğini iyileştirdiğini söylüyor - %78'i siber güvenliği önemli ölçüde iyileştirdiğini söylüyor.

Sıfır güveni benimseyen şirketlerin %99'unun siber güvenliği geliştirdiğini söylediğini gösteren grafik.

Sıfır güvenin iş değeri nedir?

Sıfır güven, BT altyapınızın esnekliğini artırmak ve iş kesintilerini azaltmak için tasarlanmıştır. Bu önemlidir, çünkü son Fidye Yazılım Etkileri Anketimiz ^[**] , bir saldırıdan kaynaklanan en büyük tek etkinin, her dört saldırıdan birinin 24 saatten uzun sürmesiyle (bir hafta veya daha uzun süren %8 dahil olmak üzere) üretkenlik üzerinde olduğunu tespit etti. Öyleyse, kurbanın fidyeyi ödemediği fidye yazılımı saldırılarında, üç kurbandan birinin (%34) hala 50.000 dolardan fazla kayıp yaşaması şaşırtıcı değil.

Sıfır güven, fidye yazılımı gibi siber saldırıların tehdidini, yalnızca onları ilk etapta önleyerek değil, aynı zamanda saldırıya uğrarsanız ağınızda hareket etme yeteneklerini sınırlayarak da azaltır. Bu, veri sınıflandırması, kısıtlı erişim ayrıcalıkları ve ağ segmentasyonu gibi stratejiler kullanılarak gerçekleştirilir, böylece ağınızın bir kısmına erişim, tümüne erişim anlamına gelmez.

Araştırmamız, sıfır güvenin benimsenmesinin en önemli nedeninin veri güvenliğini (%72) güçlendirmek olduğunu, ardından kimlik ve erişim yönetimini iyileştirme ihtiyacı (%63) buluyor. Siber saldırıların çoğu, güvenliği ihlal edilmiş kimlik bilgileri veya saldırıya uğramış parolaları içerirken, giderek artan bir veri gizliliği düzenlemeleri listesi, işletmeleri, tümü sıfır güven ile ele alınan veri güvenliği uygulamalarını güçlendirmeye itmiştir.

Dahası, modern hibrit çalışma ortamının, yetkisiz erişimi engellerken uzak çalışanları destekleyecek kadar esnek olması gerekir. Sıfır güven ağ erişimi (ZTNA), VPN'ler gibi savunmasız ağ teknolojilerinin yerini alarak uzaktan çalışma güvenliğini destekler.

Sıfır güven uygulamasının zorlukları nelerdir?

Sıfır Güven anketimize göre, iş akışlarını etkilemeden veri erişimini kısıtlamak, zaten sıfır güven (%49) uygulayan, ardından yeni güvenlik politikaları geliştiren (%47) ve sıfır güven sağlayıcıları seçen (46) şirketlerin karşılaştığı en büyük zorluktur. %). Bunların her birine bir göz atalım.

Sıfır güven uygulamasının zorluklarını gösteren grafik.

İş akışlarını etkilemeden veri erişimini kısıtlama

Şirketler, sıfır güveni benimserken, çalışanların, yüklenicilerin ve iş ortaklarının ihtiyaç duydukları verilere erişebilmelerini sağlamalı ve ihtiyaç duymadıkları verilere erişimi kısıtlamalıdır.

Önceden mevcut sistemlere veya verilere erişimin kaldırılmasının, gelişigüzel bir şekilde ele alındığında hayal kırıklığına neden olabileceğini bilmek önemlidir. Bu nedenle, başarılı olmak için sıfır güven şirket kültürünüzün bir parçası olmalıdır . Çalışanlar, sıfır güvenin kendilerine güvenilmediği anlamına gelmediğini ve yalnızca işletmenin modern tehdit ortamında başarılı olmasını sağlamaya yönelik olduğunu anlamalıdır.

Nasıl üstesinden gelinir: Ağınıza erişen sistemleri, cihazları ve kullanıcıları belirlemek çok önemlidir. Oradan, ağınız boyunca verilerin nasıl aktığını haritalamak için bir strateji geliştirebilir ve herkese ve diğer her şeye erişimi reddederken erişimi ihtiyacı olanlarla sınırlandırmak için hareket edebilirsiniz.

Yeni güvenlik politikaları geliştirmek

Sıfır güven, tipik olarak, belirli iş yüklerine uyum sağlayan ayrıntılı ağ segmentasyonu ile birlikte daha kapsamlı kimlik ve erişim yönetimi ilkelerinin geliştirilmesini gerektirir. Hem maliyet hem de gerekli geçiş süresi nedeniyle mevcut güvenlik kontrollerinin yavaş yavaş değiştirilmesi muhtemeldir. Bu arada, BT personeli genellikle örtüşen standartların korunmasından sorumludur.

Nasıl üstesinden gelinir: Nereden başlayacağınızdan emin değilseniz, kullanıcıları rol ve davranışa göre sürekli olarak doğrulayan yeni kontrollere geçerek kimlik yönetimini iyileştirmek gibi belirli bir sorunu çözmeye başlayın. Ardından, kimlikleri uygun iş yüklerine (ör. uygulamalar, kapsayıcılar, sanal makineler) güvenli bir şekilde bağlayan mikro segmentasyon projelerine geçin.

Sıfır güven satıcılarını seçme

Sıfır güven bir moda kelimedir ve sayısız yazılım satıcısının ürünlerine bir özellik olarak eklenmiştir. Tam burada Capterra'da, kataloğumuz sıfır güven özelliği iddia eden 1000'den fazla ürün içeriyor. Ve bu olabilirken, sıfır güven açıkça bir güvenlik aracı olduğu kadar bir pazarlama aracı haline geldi ve anlamını daha da karıştırdı ve seçim sürecini karmaşıklaştırdı.

Nasıl üstesinden gelinir: Yazılım seçimi, özellikle de temelden değişen stratejiler içerdiğinde kolay bir iş değildir. Harika Bir Yazılım Eşleşmesi Şansınızı Arttıracak 5 Taktiğimiz ile şirketiniz için doğru yazılımı seçmek için stratejilerimizi kullanın.

Sıfır güven bir yolculuktur, bir varış noktası değil

Fidye yazılımı saldırıları, uzaktan çalışanlar ve bulut tabanlı her şey, şirketlerin nihai sıfır güven güvenliğine geçişlerini planlamaya başlama nedenlerinden sadece birkaçıdır. Bununla birlikte, çoğu şirketin yakın zamanda sıfır güven mimarisine tam olarak geçebilmesi pek olası değildir - ve bu sorun değil. Şirketinizin sıfır güvene giden yolculuğunda ulaştığı tüm kilometre taşları onu daha güvenli hale getirir.

Şirketinizin güvenliğini geleceğe hazırlamak hakkında daha fazla bilgi edinmek ister misiniz? Raporumuzu okuyun Parolalar W0r$T'dir!—Parolasız Kimlik Doğrulamayı Kabul Etme Zamanı

Anket Metodolojisi

* Capterra'nın 2022 Sıfır Güven Anketi, sıfır güven benimseme eğilimleri hakkında daha fazla bilgi edinmek için Haziran 2022'de 235 ABD'li katılımcı arasında gerçekleştirildi. Tüm katılımcılar, şirketlerinde BT uzmanları, yöneticiler veya sahipler olarak tanımlandı.

** Capterra'nın 2022 Fidye Yazılım Etkileri Anketi, Mayıs 2022'de fidye yazılımı saldırısı yaşayan 300 ABD'li iş lideri arasında gerçekleştirildi. Tüm katılımcılar yanıt ekibinin bir parçasıydı veya şirketin yanıtından tamamen haberdardı.

Kaynaklar

Sıfır Güven Olgunluk Modeli, CISA
Sıfır Güven Mimarisi, NIST
Ulusun Siber Güvenliğinin Geliştirilmesine İlişkin Yürütme Emri, Beyaz Saray