Bir seksen klasiği – Zero Trust

Geçen hafta Chicago'daki ChannelCon'da, diğer birkaç endüstri uzmanıyla birlikte 'Sıfır Güven dünyasında güven oluşturma' başlıklı bir panele katıldım. Sıfır Güven'in temel konsepti 'hiçbir şeye güvenme, her şeyi doğrula'dır ve siber güvenlik endüstrisindeki birçok kişi için bu, tüm kariyerimiz boyunca yaşadığımız mantra olmuştur. Ve kariyerim boyunca bilgi teknolojisi endüstrisinde kullanılan ve 'şimdilik' veya 'moda' olduğu kanıtlanmış birçok terim ve kısaltma oldu, Sıfır Güven terimi bu gruba girmiyor.

Uzun zaman önce, çok uzaklardaki bir galakside, aslında o kadar uzun zaman önce değil, sadece göletin karşısında, güvenliğin teknoloji ekipleri içinde bir paranoya konusu olduğu birkaç önemli finansal kuruluş için çalıştım. Seksenlerin sonlarında üzerinde çalıştığım bir proje bunun mükemmel bir örneği olarak göze çarpıyor - sahadaki satış görevlilerine dizüstü bilgisayarların konuşlandırılması, müşteriyle bir randevudan önce karşılaştırmalı ve hesap verilerine erişmelerini sağlamak. Yarının randevuları için veri senkronizasyonu, donanım tabanlı DES şifrelemeli 2400 baud modem (4800 baud etkin aktarım hızına sahip sıkıştırılmış veri) kullanan bir gün sonu göreviydi ve kullanıcı bir sorgulama yanıtı PIN korumalı belirteçle doğrulandı. . Benzersiz donanım tanımlayıcılarını kontrol ederek, cihazın bağlanmasına izin verildiğinden emin olmak için temel yazılımda yerleşik ek güvenlik kontrolleri vardı. Anabilgisayar barındırılan verileri alma, bir Novell dosya sunucusuna atma ve ardından sahadaki uzak dizüstü bilgisayarlara dağıtma kavramı son teknolojiydi ve bu yeni nesil PC öncülerini düşünen ana bilgisayar güvenlik ekipleri için uykusuz gecelere neden oldu. vahşi batı kovboyları; paranoya yoğundu.

Bu son teknoloji projede güven eksikliği, sıfır güven tutumuna neden oldu, 'hiçbir şeye güvenme ve her şeyi doğrula' ve sonra mümkün olduğunda 'tekrar doğrula'. Kişisel bilgisayar endüstrisi hızla gelişti ve birçok durumda bu ana bilgisayar 'ana bilgisayar' paranoyası azaldı ve hatta muhtemelen bir kenara bırakıldı. Yine de bugün burada, seksenlerin sonundaki deneyimimden daha tanımlı ve yetişkin olsa da, benzer bir yaklaşımdan bahsediyoruz. Ah, seksenleri nasıl da özlüyorum – plak koleksiyonum bana her gün o harika zamanları hatırlatıyor!

Günümüzün teknoloji ortamında sıfır güven, bu aynı paranoyayı, konumdan bağımsız olarak tüm dijital ortamın bütünsel bir görünümüyle aşılamakla ilgilidir; on-premise, uzak, bulut, kimin sahibi, kim kullanıyor olabilir, vb. Son birkaç yılın hızlı dijital dönüşümü, şirketleri en azından kısmen sıfırın derinliklerinde yönlendirilen bazı kavramları benimsemeye zorladı. çok faktörlü kimlik doğrulama ve şifreleme gibi güven. Ancak bu kavram, belirli teknolojiler hakkında daha az ve daha çok bir zihniyettir; örneğin – yeni bir çalışan bir finans departmanına katıldığında, meşgul yöneticinin ekibin kullandığı tüm sistemlere erişimin tamamını onaylaması kolaydır. Bununla birlikte, sıfır güven dünyasında yöneticinin, çalışanın işlevi için hangi sistemlere, hangi cihazlardan ve hangi konumlardan gerçekten erişilmesi gerektiğine, hatta muhtemelen günün saatine bağlı olarak erişim sınırlarına kadar genişletilmesi gerektiği konusunda daha fazla düşünmesi gerekir. Düşüncedeki bu değişimin, yalnızca BT güvenlik ekibinin savunduğu bir kavram değil, iş genelinde olması gerekir; tüm organizasyonda C-seviyesinden aşağı doğru onay olması gerekir.

Sıfır güven modelini benimsemenin sayısız faydası vardır, açık olmayabilecek bir faydası 'basitleştirme'dir. Sahip olunan veya bir hizmet olarak kullanılan tüm dijital ortamın çevresi olmadığı kabul edilirse, çeşitli varlıkları koruma süreci basitleşir; aynı erişim politikalarına tabi olacakları için bu, kullanıcılar için de geçerlidir. Bu yaklaşımın otomatikleştirilmesi muhtemel olan veriye dayalı kararlarla örtüşmesi, bunu bir sonraki seviyeye taşıyor. Bir kullanıcının bağlı olduğu ve konum, cihaz, kimlik doğrulama vb. koşullara uyduğu, ancak bu cihazdan gelen trafiğin gerçek zamanlı analizinin bir anormallik gösterdiği bir senaryoda, verilen erişim dinamik olarak iptal edilebilir, bu da daha fazla araştırma ve olası düzeltme gerektirebilir. uyarısına neden oldu.

Gerçek zamanlı olayların bu şekilde izlenmesi ve analizi, Uç Nokta Tespiti ve Yanıtı (EDR) gibi teknolojiler kullanılarak gerçekleştirilebilir. Bu tür otomasyon önemli faydalar sağlar: potansiyel saldırganların dinamik gerçek zamanlı politika uygulama tarafından engellendikleri için önemli avantajlar elde etme yeteneklerini kısıtlar - örneğin, saldırganların olağandışı veya beklenmedik eylemlerine bağlı olarak ağ içinde yanal hareket yasaklanabilir oluşturuyorlar.

Seksenlerde dahil olduğum proje için gerçek zamanlı istihbarat karar verme mevcut değildi; Öyle olsa bile, PC dağıtımının yeni vahşi batısını kontrol etmeye çalışan paranoyak güvenlik ekiplerinin kullanılmasında ısrar edeceklerinden eminim ve haklı olarak.