COVID-19 salgınının belirsizliği ve birçok işletmenin öngörülebilir bir gelecek için evden çalışma modeline geçişiyle birlikte, kuruluşların sıfır güven mimari kavramını benimseme zamanı gelmiştir. Artık kaynakları ve BT yatırımlarını yalnızca kurumsal ağın çevresinde odaklamak yeterli olmamaktadır. Kuruluşların, sıfır güven ilkelerini, süreç değişikliklerini ve teknolojiyi ortam içinde uygun düzeylerde aşamalı olarak uygulamak için varlıklarına, verilerine, kullanıcılarına ve iş süreçlerine ilişkin ayrıntılı bilgileri edinmesi ve kullanması önemli bir hale gelmiştir.
Gartner dijital ortamda var olan riskleri ortadan kaldırmayı amaçlayan “Sürekli Uyarlanabilir Risk ve Güven Değerlendirmesi” (CARTA) olarak öne sürdüğü modele ulaşmanın bir yolu olarak sıfır güven mimarisinin (Zero-Trust) kuruluşlarda sağlanmasıdır. Sıfır güven, daha önceki yazılarımda da detaylı olarak belirttiğim gibi COVID-19 yaşama ve çalışma şeklimizi değiştirmeden çok önce uzak kullanıcıların risklerine yanıt vermek ve kendi cihazını getir konsepti ile birlikte tasarlandı. Kuruluşlar, kurumsal sistemlere erişim için birincil ağ geçidi olarak ağ çevresine ve çalışanların fiziksel konumuna odaklanmaktan uzaklaşarak, ağın içinden gelen saldırıları daha etkili bir şekilde algılayabilir ve engelleyebilir hale gelmelidirler.
Güvenlik savaşı uzun vadeli bir savaştır, dinamik bir gel-gitler süreci olarak da tanımlayabiliriz. Güvenlik korumasının odak noktası, varlıkların karşılaştığı risklerdir. Risk değeri, saldırganın yetenekleri, sürekli ortaya çıkan güvenlik açıkları, değişen iş yapış şekilleri, güvenlik mekanizmalarındaki ve politikalarındaki değişiklikler gibi çeşitli faktörlerden etkilenir. Belirli bir anda yukarıdaki faktörlerin birleşimiyle elde edilen varlık riski çok düşük olsa da risk değeri zamanla değişmeye devam edecektir. Bir saldırgan, savunma tarafının gevşek bir anından yararlanırsa, başarılı sonuçlara ulaşabilir.
Bu nedenle, Gartner tarafından önerilen uyarlanabilir güvenlik konseptinin özü, mevcut risk ve güven dengesinin sürekli uyarlanabilir bir değerlendirmesi gerektiğidir. Bu konseptteki risk, sorunların ortaya çıkma olasılığıdır, güven ise, işletmenin normal işleyişine duyulan güvendir. Adına salgın senaryosu veya Güvenli Çalışma senaryosu diyelim, her ikisi de dinamik olarak değişiyor ve sadece olasılığı yeni güvenlik açıklarına ve tehditlere karşı uyanık kalarak, daha fazla zorlukla başa çıkma olarak karşımıza çıkmaktadır.
İki Boyutlu oyunları hatırlarsınız, varlıklar, metin, resimler, videolar ve basit bir oyun ara yüzü gibi standart görüntülerden oluşmaktadır. Şimdi CARTA konseptini VR gözlüklerle oynanan bir oyun gibi düşünüp sanal gerçeklik dünyasına girdiğinizde ne olacağını hayal edin. CARTA yaklaşımı, sanal gerçeklik gözlüklerinizi takıp size renk, doku, boyut ve titreşim veren farklı araçları bir araya getirmeye benzer, size her yerde aynı anda gerçekleşen olaylarda gerçek yaşam deneyimi sunar. Şimdi gelelim esas konumuza, bugünkü yazımda sizlerle Gartner CARTA konseptini sizlerle paylaşacağım.
Sürekli uyarlanabilir risk ve güven değerlendirmesi (CARTA), 2017 yılında Gartner tarafından sunulan bilgi güvenliğine yönelik stratejik bir yaklaşımdır. Belirli etkileşimleri engellemek veya izin vermek yerine, değişen bir güvenlik ortamına sürekli adaptasyon yaklaşımını teşvik eden Uyarlanabilir Güvenlik mimarisi üzerine kurulmuş bir yaklaşımdır. Temel felsefe, modern dijital iş dünyasında, %100 güvenlik hala tam olarak kesinlikle sağlanamasa bile bazı etkileşimlere izin verilmesi gerektiğidir. CARTA yaklaşımı sayesinde, risk ve güvene dayalı kararlar ve güvenlik tepkileri verilir ve her etkileşimden elde edilen içeriğe ve öğrenilenlere göre sürekli olarak uyarlanır.
Gerçek şu ki, kendi başına sıfır güven önemlidir, ancak daha büyük bir yolculuğun yalnızca başlangıç noktasıdır. Gartner’ın Sürekli Uyarlanabilir Risk ve Güven Değerlendirmesi (CARTA) dinamik ve geniş bir bakış açısı sağlamak için burada devreye girmektedir. Bugün risk yönetiminin her zamankinden daha zor bir hal almıştır. OT, IT, IOT, IIOT vs. riskler her yerde ve benzeri görülmemiş bir oranda artmaktadır. İşin karmaşıklığı, bulut bilişimin yükselişi, teknolojik yeniliklerdeki artış ve küresel bir pandeminin ortasında düzenlemelerin çoğalması, riske maruz kalınması için mükemmel bir ortam yarattı. Tüm bunların yanında, BT güvenlik ekiplerinin çok daha az kaynakla her zamankinden daha fazla riskle başa çıkması gerektiği anlamına geldiğini de unutmamak gerekir.
Kuruluşlar, CARTA konseptini referans alarak Koruma (Protect), Tespit (Detect), Cevap Verme (Response), Önceden Haberdar (Predict) gibi bağışıklık sistemlerini geliştirmek istiyorlarsa, mevcut durumlarını analiz ederek stratejilerini geliştirebilirler ve bu doğrultuda teknoloji yatırımlarını gerçekleştirmeleri gerekmektedir. Entegre güvenlik sistemlerinin yarattığı sinerjinin de hesaba katılması gerekmektedir. Uyarlanabilir Saldırı Korumasına yönelik Gartner örneğini sizlerle aşağıda paylaşıyorum. Bu mantıkta diğer tüm güvenlik alanlarına (Erişim Koruma, Saldırı Koruma vb.) bu konsepti uyarlayabilirsiniz. Kurumsal Siber Güvenlik stratejinizi Koruma (Protect), Tespit (Detect), Cevap Verme (Response), Önceden haberdar olma (Predict) dörtlü döngüsüne göre oluşturarak hangi altyapı yatırımlarını ve teknolojileri kullanacağınıza karar verebilirsiniz.