Birincil çaba noktası ‘kimlik doğrulama’
Fortinet, Sıfır Güven Raporu’nun küresel görünümünü açıkladı. Araştırma, çoğu kurumun sıfır güven vizyonuna sahip olmasına veya sıfır güven girişimlerini uygulama sürecinde olmasına rağmen, kurumların yarısından fazlasının bu vizyonu, uyguladıkları çözümlere çeviremediğini çünkü sıfır güvenin bazı temellerinden yoksun olduklarını ortaya koyuyor.
FortiGuard Labs Tehdit Görünüm Raporu, bireyleri, kurumları ve giderek daha kritik hale gelen altyapıyı hedef alan saldırıların hacminde ve gelişmişlik düzeyinde artış olduğunu gösteriyor. Organizasyonlar bu gelişen tehditlere karşı korunmak için çözümler arıyor ve birden fazla nedenden dolayı sıfır güven akla ilk gelen çözüm oluyor. Ayrıca, kurumların önemli varlıklarını, koruma düzeyi kötü olan ev ağlarından bağlanan çalışanlardan koruması gerektiğinden, her yerden çalışmaya geçiş, zero-trust network access (ZTNA) konusunu özellikle ön plana getiriyor.
Rapor, tam bir sıfır güven stratejisinin ne olduğu konusunda kafa karışıklığı yaşandığını gösteriyor. Ankete katılanlar sıfır güven (yüzde 77) ve ZTNA (yüzde 75) kavramlarını anladıklarını belirtirken, yüzde 80’in üzerinde katılımcı bir şekilde halihazırda sıfır güven ve/veya ZTNA stratejisine sahip olduklarını bildiriyor. Yine de yüzde 50’den fazlası temel sıfır güven yeteneklerini uygulayamadığını belirtiyor. Yaklaşık yüzde 60’ı sürekli olarak kullanıcıların ve cihazların kimliğini doğrulama yeteneğine sahip olmadıklarını ve yüzde 54’ü kimlik doğrulama sonrası kullanıcıları izlemekte zorlandıklarını ifade ediyor.
Bu eksiklik endişe verici çünkü bu işlevler sıfır güvenin kritik ilkeleri ve bu durum, kurumlarda bu uygulamaların gerçekte ne durumda olduğu sorusunu akla getiriyor. Bu karışıklığa bir de bazen birbirinin yerine kullanılan “Sıfır Güven Erişimi” ve “Sıfır Güven Ağı Erişimi” terimleri ekleniyor.
Öncelikler farklı
Sıfır güven için belirtilen öncelikler sırasıyla şöyle: “ihlallerin ve izinsiz girişlerin etkisini en aza indirmek” ve ardından “uzaktan erişimi güvence altına almak” ve “iş / görev sürekliliğini sağlamak.” “Kullanıcı deneyimlerini iyileştirmek” ve “her yerde güvenlik sağlamak için esneklik kazanmak” da en önemli öncelikler arasında yer alıyor. “Tüm dijital saldırı yüzeyinde güvenlik” yanıtı ise, katılımcılar tarafından en önemli fayda olarak belirtiliyor; bunu, “uzaktan çalışma için daha iyi bir kullanıcı deneyimi (VPN)” yanıtı izliyor.
Araştırmaya katılanların büyük bir çoğunluğu, sıfır güvene dayalı güvenlik çözümlerinin mevcut altyapılarıyla entegre olmasının, bulut ve şirket içi ortamlarda çalışmasının ve uygulama katmanında güvende olmasının hayati önem taşıdığına inanıyor. Ancak, katılımcıların yüzde 80’inden fazlası genişletilmiş bir ağda sıfır güven stratejisi uygulamanın zor olduğunu belirtiyor. Henüz bu konuda stratejisi olmayan kurumların önündeki engellerin ise, sıfır güven uygulamaları için yetenekli kaynak eksikliği olduğu görülüyor çünkü kurumların yüzde 35’i sıfır güven konusunda farklı BT stratejileri kullanıyor.
Fortinet Ürünlerden Sorumlu Başkan Yardımcısı ve CMO John Maddison, “Gelişen tehdit ortamı, işyeri için her yerden çalışma ve buluttaki uygulamaları güvenli bir şekilde yönetme ihtiyacı ile kurumlar örtük güvenden sıfır güvene geçişi, ilk akla gelen çözüm olarak görmeye başladılar. Yapılan araştırmalara göre, çoğu kurum bir çeşit sıfır güven stratejisi benimserken bütünsel bir stratejiden geri kalıyorlar ve bazı sıfır güven temellerini uygulamakta zorlanıyorlar. Bu çözümünün etkili olması için uç nokta, bulut ve şirket içi dahil olmak üzere altyapı genelinde tüm sıfır-güven temellerini kapsayan bir siber güvenlik ağı platformu yaklaşımı gerekiyor; aksi takdirde geniş görünürlüğü olmayan kısmi, entegre olmayan bir çözüm ortaya çıkıyor” dedi.