Teknoloji dünyası siber güvenlik alanında neden sınıfta kaldı?

Teknoloji dünyası siber güvenlik alanında neden sınıfta kaldı?

Teknoloji endüstrisi olarak konu güvenlik ve verilerin korunması olduğunda ne yazık ki müşterilerimizin beklentilerini karşılamada sınıfta kaldık. Endüstrimiz güven üzerinde inşa edilmiş ve bu güven donanım ve yazılımlarımızın sorunsuz bir şekilde çalışacağı, müşteri verilerinin güvenliği, kritik öneme sahip sistemlerin erişilebilirliği ve bütünlüklerinin korunacağı inancına dayanıyor. Git gide mobil hale gelip buluta taşınan dünyamızda müşterilerimizin hassas verilerini ve kritik uygulamalarını koruyarak bize duyulan güveni her geçen gün biraz daha artırıyoruz. Burada karşımıza çıkan asıl zorluk ise uygulama mimarileri ve uygulamaların çok hızlı bir şekilde dönüşürken siber suçluların birincil hedefleri haline gelmeye başlamaları.

Pat Gelsinger, CEO, VMware

Albert Einstein “Deliliğin tanımı aynı şeyi tekrar tekrar yapıp farklı bir sonuç beklemektir.” demişti. Ne yazık ki şu anki siber güvenlik yaklaşımımızı daha iyi anlatabilecek bir cümle yok. En temel güvenlik modelimizi yeniden programlamadan kendimizi bu sarmalın dışına atamayacağız gibi görünüyor.

Siber güvenliği dönüştürmek: Kötüleri ayıklayıp iyiyi temin etmek
Karşılaştığımız sorun bugün yeterli inovasyona ve inovatif çözüme sahip olmayışımız değil aksine siber güvenlik alanında muazzam bir inovasyon dalgasının gerçekleştiğine şahit oluyoruz. Sorun “kötüleri ayıklama” noktasındaki en temel ve kurucu yaklaşımımızdan kaynaklanıyor. Sisifos’un zirveye ulaşma çabasından farklı olmayan ve sonu gelmeyecek bu yarışta her zaman geriden takip eden, bir şeyleri yakalamaya çalışanların olduğu grupta yer alacağız. Geniş bir saldırı yüzeyinde kötüleri ayıklamaya çalışmanın samanlıkta iğne aramaktan farkı olmadığını kendimize hatırlatmak gerekiyor.

Peki sorunu farklı bir açıdan görmeye çalışırsak ne gibi bir değişim yaratabiliriz? Kötülük ayıklamaya takılıp kalmaktansa iyiyi yerinde tutacağımız bir düşünme şekli edinemez miyiz? İyiye odaklanmaya başladığınız anda dikkatinizi dağıtabilecek küçük ayrıntıları da geride bırakıp saldırı yüzeyinizdeki açıkları ve zayıflıkları daha rahat bir şekilde görmeye başlayabilirsiniz. Nasıl mı?

Kötüleri ayıklama prensibinin kalbinde eski zamanlardan kalma bir siber güvenlik konsepti olan “ayrıcalığın en azını” verme yaklaşımı bulunuyor. Kullanıcılar ve sistem bileşenlerine verilen erişim, işlev ve etkileşim, olabilecek en minimum seviyede tutuluyor. Bir başka deyişle, kesin ve net bir erişimimiz yoksa, erişemiyorsunuz. Bugün için fark yaratan ve çığır açan durum ise “en az ayrıcalıklı” yaklaşımını büyük ölçeklerde inovasyonun hızını kesmeden ya da hizmetlerin aksamasına neden olmadan sağlayabiliyor oluşumuz.
İyiyi sağlama alma yaklaşımı sabit bir “kapatma” yönteminin çok daha ötesinde bir noktada duruyor. Burada bahsettiğimiz şey daha fazla detayla ve nüansla çok yönlü hale getirilmiş bir yaklaşım. “En az ayrıcalıklı” yaklaşımı ile iyiye ulaşırken güvenlik ve hizmetlerin müşterilere ulaştırılmasında hızlı, esnek bir sistem ihtiyacı arasında bir denge bulmaya çalışıyoruz. Bir başka deyişle güvenliği bizi belli kalıplara sokup korumaya çalışan bir yaklaşımdan bize güç veren bir yaklaşıma dönüştürüyoruz. Arabalardaki fren pedalları gibi iyi bir güvenlik sizi yavaşlatmaz aksine hızlı gitmenizin önünü açar.

İyiye ulaşmanın üç temel prensibi
İyiye ulaşmanın temelinde üç prensip yatıyor. Bunların ilki uygulamaların etrafında inşa edilmiş “en az ayrıcalıklı” bir ortamı destekleyecek güvenli bir altyapı. İkincisi, ortamların sınırlarını ve içeriğini belirleyerek ekosistemleri güçlendirmek ve ekosistemlerin bu sınırları belli bir düzene getirmesini sağlamak. Son olarak ise iyi bir siber hijyeni basit ve kolay bir şekilde gerçekleştirebileceğiniz bir sisteme sahip olmak.

Güvenli altyapı
Güvenli bir altyapı, kritik önemdeki uygulamaları ve verileri hızlıca kilitleyebileceğiniz seçenekler, mimarinin içinde bulunana güvenlik kontrolleri ve tekrarlanabilir, odaklanmış siber hijyen süreçleri ile oyunun kurallarını değiştiriyor. Böylesi bir altyapı yalnızca güvenli bir şekilde inşa edilmiş olmayıp aynı zamanda size uygulamalar ve altyapı arasındaki ilişkiyi anlama fırsatı verip onların etrafında “en az ayrıcalıklı” ortamlar yaratmanızı sağlıyor.

İyiye ulaşmayı hedefleyen altyapıların merkezlerinde en fazla önemsediğimiz şeyler olan veri ve uygulamaları doğal bir şekilde düzenleyecek mimarinin her bir noktasına yayılmış yetkinliklerle donatılmış olması gerekiyor. Bugün birçok siber güvenlik kontrol mekanizması altyapının derinliklerinde yer alan sunucu, yöneltici, anahtar gibi bir donanıma bağlı hale getirilmiş durumda. Neden? Çünkü donanımın yön verdiği bir dünya için tek çözüm bu. Yazılımın şekillendirdiği dünyada ise zengin ve akışkan bir düzlemde çalışıp donanım tanımlı yazılımların sınırlı dünyasından kaçabiliyoruz.

Ekosistemi güçlendirin
İyi sonuçlara odaklanan güvenlik kontrolleri ekosisteminin etkin bir şekilde çalışabilmesi için ayrıcalıklı bir pozisyona sahip olması gerekiyor. Böylesi kontroller korumaya çalıştıkları veri ve uygulamalar hakkında zengin bir içeriğe erişim ve her daim hazır olacak görünürlük ve kontrol özelliklerini kullanıcılara sunmalı. Samanlıkta iğne aramaktan yorulan ekosistem artık oyunun dinamiklerini baştan aşağı değiştiren “iyiye ulaşma” fikrinden yola çıkarak değişik yöntemleri bir araya getirmeyi tercih ediyor.

Siber hijyen
İyiye ulaşmanın kalbinde yatan sürekli uygulanan bir temel siber hijyen pratiği saldırılara karşı alabileceğimiz en etkili adım olabilir.
Ancak konu siber hijyen olduğunda sürekli tek davranışımızın süreksiz olmamız ve siber hijyen konusunda sınıfta kalmamız olduğunu görüyoruz. Bu soruna güvenlik ekiplerinin sorunu ya da ihtiyaçları anlamamaları neden olmuyor, siber hijyenin sürekli değişen bir dünyada her geçen gün daha zor hale geliyor olması sınıfta kalmamızın temel nedeni. İyi bir siber hijyenin vazgeçilmezi olan 5 adımın daha basit ve kolay şekilde uygulanabilmesini sağlamalıyız.

Son yıllarda manşetlerde yer alan büyük güvenlik saldırılarını incelediğinizde saldırıya uğrayan işletmeler üç temel prensibi takip etselerdi bu saldırıların tamamen engellenebileceğini ya da etkilerinin çok düşük seviyelere çekilebileceğini görüyoruz.
Konu güvenlik olunca insanların aklına gelen ilk soru “Nasıl daha güvenli hale gelebiliriz?” oluyor ancak sormamız gereken asıl soru “BT altyapımı hangi yeni yollarlar destekleyerek güvenliğimi dönüştürebilirim?” olmalı.

Teknoloji endüstrisinin siber güvenlik konusunda sınıfta kaldığı böylesi bir dönemde zihinlerimizdeki güvenlik modelini baştan aşağı değiştirmenin vakti geldi.

Categories: GÖRÜŞLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*