Fırını onarmak için gelen tamirci kapıyı çaldığında, dikkatli ev sahipleri evin anahtarını vererek şunu söylemezler: “Mutfak birinci katta solda, yolu kendin bulabilirsin” ve evden çıkıp gitmezler. İşini yaptığından emin olmak için kalır ve servis teknisyenini takip ederler, kesinlikle evin içinde başı boş şekilde dolaşmasına izin vermezler. Ancak kurumsal güvenlik söz konusu olduğunda tam olarak bunlar yaşanıyor: Çoğu şirkette kullanıcıların kurumsal kaynaklara erişmesine olanak sağlanması amacıyla kullanılan standart teknoloji olan bir sanal özel ağ (VPN), ‘kalenin anahtarlarını teslim ediyor.”
VPN, oturum açtıktan sonra kullanıcıların herhangi bir kısıtlama olmadan hareket etmesine izin veriyor. Ayrıca, mevcut krizde, çoğu VPN ağ geçidi ek ev-ofis kullanıcılarının yarattığı yükle çalışmakta zorlanıyor. Citrix’e göre, tüm trafiği kurumsal veri merkezi aracılığıyla yönlendirme zorunluluğu da önemli ölçüde gecikme süresine neden oluyor ve görüntülü konferanslar gibi zamana duyarlı hizmetlerin kalitesini düşürüyor. Ancak, bu etkiden kaçınmaya yönelik çoğu mekanizma, VPN’yi karmaşık ve yönetilmesi pahalı hale getiriyor.
Citrix’e göre, VPN’lerin kalenin anahtarları yaklaşımı her zaman sorunlu olsa da, günümüzde çok daha tehlikeli hale geldi. Saldırganlar, bugünlerde çok daha geniş bir saldırı alanını hedefleyebiliyor: Uzaktan çalışan bir kullanıcının kimlik bilgilerini ele geçirmeyi veya güvenli olmayan bir ev-ofis aygıtına erişmeyi başardıklarında, geleneksel VPN bu kişilere şirket ağında serbestçe dolaşma olanağı sunuyor. Burada hassas bilgileri arayabilir ve veri sızdırma araçları ya da daha sonra kolaylıkla geri dönmek için arka kapılar kurabilirler.
Mutlaka daha iyi bir yöntem mevcut olmalı ve aslında mevcut
Citrix’e göre bu yaklaşımın adı Zero Trust. Bu yeni güvenlik yaklaşımı, BT mimarisine bir güvenlik düşünce yapısını dahil ediyor. Sıfır güven, şu ilkeyi uyguluyor: Hiçbir zaman güvenme, her zaman doğrula. Kaynaklara ağın içinden veya dışından erişmeleri fark etmeksizin, hiçbir kullanıcının veya aygıtın güvenilir olduğu varsayılmıyor. Bunun ilk adımı, kullanıcıların tanınmasından oluşuyor ve bu da ideal olarak donanım belirteçleri veya yazılım belirteci uygulamaları gibi çok sayıda kimlik doğrulama yöntemi uygulanarak gerçekleştiriliyor. Ağa bağlanan aygıtlar, örneğin sahipliğin (şirkete ait, şahsa ait) veya yama düzeyinin güncel olup olmadığının kontrol edilmesi aracılığıyla aynı ölçüde ayrıntılı bir biçimde inceleniyor. Aynı zamanda şirket verileri, kullanıcıların erişiminin rolleri için ihtiyaç duydukları kaynaklarla sınırlanması aracılığıyla korunuyor.
Günümüzün sıfır güven çözümleri, son kullanıcı ve uç noktası aktivitelerini sürekli olarak izlemek, bunları davranış kalıpları ve şirket ilkeleri ile karşılaştırmak için makine öğreniminden yararlanıyor. Bu özellik, güvenlik ekiplerinin ele geçirilmiş hesaplara veya kuruluş içinden tehditlere işaret eden alışılmadık aktiviteleri hızla saptamasına imkan tanıyor. Sıfır güven, şüpheli bir aktivite saptandığı anda uyarılar sağlayarak, hızlı ve yüksek düzeyde hedefli bir tepkiye imkan tanıyor. Olaylara müdahaleyi önemli ölçüde hızlandırıyor ve saldırganların ağda etrafı gözetlemek için sahip olacağı süreyi kısaltıyor.
Bu yaklaşım, ‘kötü adamlar’ uzun yıllar boyunca araçlarını ve taktiklerini iyileştirirken işletmeler ve organizasyonlar tepki vermekte yavaş kaldıktan sonra, en sonunda şirketlere kullanıcıların nerede bulunduğu ya da hangi aygıtları kullandığı fark etmeksizin güvenlik tarafında kaybedilen zamanı telafi etme fırsatı sunuyor. Uzaktan çalışmanın, krizin daha da hızlandırmasıyla artık yeni normal haline geldiği günümüz dünyasına bu özellikleriyle mükemmel uyum sağlıyor.
Sıfır güvene dayalı BT ortamları, şirketlerin anahtarlarını kapıyı çalan herhangi bir ‘tamirciye’ teslim etmemesini sağlıyor. Bunun yerine, tamirciden ve aynı zamanda diğer herhangi bir ziyaretçiden, fotoğraflı bir şirket kimliği göstermesini istiyor. Mutfak kapısı dışındaki tüm kapıları kilitliyor ve teknisyenin tam olarak nerede olduğunu ve ne yaptığını biliyor. Ayrıca, beklenmedik bir davranışta bulunması durumunda, ev sahibini otomatik olarak uyarıyor. Citrix’e göre, şirketler bu şekilde, kullanıcıları ve aygıtları her zaman gözleyebilir, ele geçirilmenin saptanmasını iyileştirebilir ve saldırı pencerelerini daraltabilir. Aynı zamanda, çalışanlar da şirket kaynaklarına herhangi bir zamanda, herhangi bir yerden güvenli bir biçimde erişebilir.