Ersin Uyar
Aruba Türkiye Ülke Müdürü
Güvenli Kurumsal Mobilite için Yeni Bir Savunma
BYOD (Bring Your Own Device -kendi cihazını getir-), bulut ve Nesnelerin İnterneti, ağın çevresindeki saldırı noktalarına karşı savunma yapmak için kurumsal savunma planlarını değiştiriyorlar. Kaynakların güvenliğini sağlamak için bu yeni bağlantı yolları, klasik tehdit radarlarının çalışma şeklini değiştirdi – dışardan gelen tehditlere karşı koruma sağladı.
Örneğin bir İK direktörü, mühendislik ekibinizi ziyaret eden bir satış elemanı ve bir ağ yöneticisi sabah saat 9’da ofise girerler. Her birinin bir elinde bir kahve fincanı, ceplerinde bir akıllı telefon ve omuzlarında da bir dizüstü bilgisayar vardır. Binaya girdikten birkaç dakika sonra hepsi Wi-Fi ağına girer ve mobil işgücüne katılırlar.
Bu teknolojiyi yakından izleyen ve Wİ-Fi’yi seven kullanıcılar, herhangi bir cihazla herhangi bir yerden bağlanmak ve çalışmak isterler – ve onları yavaşlatacak fazladan güvenlik katmanları olmaksızın bağlanmak isterler. Güvenliği tersyüz eden şey, bu çalışanlar ve beklentileridir.
Herhangi birinin hayal ettiğinden daha hızlı olan şey, kurumu saran sabit ağ ortamındaki seyrelmedir. Bu çalışanlar mobil ortama geçmeden önce, BT departmanı kuruma dışardan gelen tehditleri engelleyen, kırılamayan bir ortam oluşturmak için yığınla zaman ve kaynak yatırımı yapmıştı. Muhtemel giriş noktalarını kapatmak için, geçit duvarları (firewall), izinsiz girişi engelleyen sistemler, anti-spam, URL filtreleme ve diğer güvenlik çözümleri ile ağı kilitlemişlerdi. Ancak daha mobil merkezli olan dünyamızda en büyük tehditler şimdi ağın içinden geliyor.
Kötü amaçlı yazılımların bulaştığı dizüstüler ve akıllı telefonlar, doğrudan ön kapıdan girip BT biriminin bilgisi olmaksızın doğrudan ağa bağlanıyorlar. Bu güvenli olmayan kullanıcı cihazlarından başlayan saldırıları, mobil cihazlardaki hassas verilerin kaybını ve riskli son kullanıcı davranışlarını hesaba kattığınızda, kurumsal güvenlik ihlallerinin yüzde 90’ından fazlası buralardan geliyor.
Kayıp cihazlar, tek başlarına ciddi bir iç tehdittirler. ABD’de 2014’te 2.1 milyon akıllı telefon çalındı ve 3.1 milyonu da kayboldu. Kayıp cihazlara genellikle, bir şirketin değerli verilerine ve kritik iş sistemlerine erişmek için birileri ihtiyaç duyar. Önceki mobil çalışanları hatırlayalım mı? İK direktörünün dizüstü bilgisayarı tüm şirketin doğrudan mevduat bilgilerine erişir ve ağ yöneticisi de muhtemelen şirketteki sistemlerin yüzde 70’ine erişmek için gerekli giriş haklarına sahiptir.
İstatistikler sadece IoT’nin potansiyel tehdidini vurgulamaya başlıyorlar. Açıkçası önümüzdeki yıllarda milyarlarca cihaz internete bağlanacak, ancak bunlar kurumları nasıl etkileyecekler? Nesnelerin İnterneti 2015 raporuna göre, IoT ekosistemini tüketiciler değil daha çok kurumlar benimseyecekler. Gartner’a göre kurumlar, 2020’ye kadar 11.2 ile 20 milyar arasında IoT cihazının kullanılacağını tahmin ediyorlar. Akıllı sayaçların, insülin pompalarının, imalat robotlarının, çiftlik ekipmanlarının ve hatta konferans odalarının ağa bağlanmalarıyla birlikte, ağın da daha güvenli olması ve kurumun güvenliği için bu IoT cihazlarının davranışlarını otomatik olarak anlaması ve sınıflandırabilmesi gerekmektedir.
İçerik Bağlantıyı Kontrol Ettiğinde
Ağın içinde, ağda halen bulunan mobil cihazlar ile gelmekte olan IoT cihazları arasında yumuşak bir karın oluşmuştur. Bu, farklı tipte bir güvenlik yaklaşımını – ağın içinden başlayan, ortamın ötesine kadar genişleyen ve kullanıcıların dinamik doğasına uyarlanabilen – ve mobile yönelik tehditleri gerektirir –bunlar herhangi bir yerden kaynaklanabilir.
Bu güvenlik yaklaşımının özellikleri şunlardır: paylaşılan bağlamsal bilgi ve mobilite ihtiyaçlarına dayanan uyarlanabilir kontroller. Uyarlanabilir bir güven yaklaşımı, iki kullanıcının biribirine benzemediğini tanıyarak, BT biriminin, benzer görevleri ve iş hedeflerini paylaşan şahıs veya grupların haritasını çıkaran daha kişisel politikalar belirlemesine izin verir.
Başlangıçtaki üçlüye geri dönersek, ziyaretçi satış elemanı onların sadece internete erişmelerine izin veren konuk erişimine sahip olur—destek onayı ve cihaz uyumluluğu toplantısı sonrasında. Konuk erişimi tanıdık bir senaryo iken, bağlam temelli politikalar iki çalışana uygulandığında daha ilginçleşiyor. Uygulama şimdi, kullanıcının görevine, cihaz sahipliğine, MDM/EMM durumuna ve hatta lokasyona dayalı olabilir. Ağ yöneticisi, şirketin sahip olduğu herhangi bir binadayken dizüstünde tüm ayrıcalıklara sahip olur. Evde ise ayrıcalıkları biraz azalır ve ayrıcalıklar dizüstü ile akıllı telefonu için farklılaşır.
İK direktörü, şirketteyken ve evden kendi dizüstünde çalışırken tüm sisteme tam olarak erişir. Seyahatteyken, e-mail’leri ve mobil cihazından gelen onayları sınırlanır. Tatil, inceleme veya bütçe onayları için İK direktörü, onayı iş akışı çevrimine taşımak için gerekli olan çok faktörlü onay belgelerine de sahiptir. Bu ek güvenlik katmanı, otomatik süreçlerin sadece onaylanan kişiler tarafından başlatılmasını garanti eder. Mobil cihaz çalındıysa, hırsız şirketin sistemlerine veya özel çalışan verilerine erişemez.
Kullanıcının görevi, cihaz tipi, sahiplik, durum ve lokasyon bilgileri, BT biriminin, kurumu yeni tehditlere karşı tamamen açık hale getirmeksizin, durum bazında erişime izin veren veya reddeden politikalar oluşturmalarına izin veren ilgili bağlamsal bilgilerden bazılarıdır.
Güvenli bir Ağ Sağlıklı bir Ağdır
Uyarlanabilen bir güven yaklaşımına geçen kurumlar, BYOD, bulut veya IoT’nin taleplerine güvenle yanıt verir. Consulate Health Care , iç tehditlere karşı koruyan uyarlanabilen bir güven yaklaşımına geçen, güvenlik düşüncesi liderleri arasındadır. Sağlık merkezi, her gün ağa bağlanan şirketin dağıttığı yüzlerce mobil cihaza ve binlerce konuk cihaza sahipti, ancak güvenlik sağlam değildi.
Consulate, hem ziyaretçilere hem de çalışanlara hizmet eden ve hasta bilgileri ile diğer özel sağlık verilerini koruyan cihaza ve kullanıcı rolüne dayalı olarak, ağa bağlanan cihazlara politikalar atamak istedi. Yeni savunma yaklaşımı sağlık merkezine, son derece dinamik mobil ortamı etrafında çok daha iyi bir güvenlik sağlıyor.
Geçerli bir bağlantı kurmadan önce, kurumun sahibi olduğu ve kişisel cihazların uyum politikalarını karşılaması gerekir. Gereksinimleri karşılamakta başarısız olan cihazlar otomatik olarak tecrit edilir ve kullanıcılardan sorunları çözmeleri istenir.
Bir kez uyumlu olarak tanındıklarında, hastalar, sakinler ve aile üyeleri, iç ağın güvenliğini etkilemeyecek Internet erişimi için kendi kendine kayıt sürecini tamamlayabilirler. Bununla birlikte merkezin sağlık personeli ağa bağlandığında, iç kaynaklara erişimleri onaylanıyordu. Kullanıcı görevine ve cihaz sahipliğine bağlı olarak BT birimi, hangi kaynaklara erişebileceklerini kolaylıkla belirleyebilir – böylece hasta bilgilerinin ele geçirilme olasılığı azalıyor. Consulate şimdi, verilerinin ve sistemlerinin iç tehditlere karşı güvencede olduğundan çok daha güvenli.
Kurumlar uyarlanabilir bir güven yaklaşımına geçtiklerinde, BT birimleri kullanıcıların ve cihazların nasıl bağlanacakları ve erişim ayrıcalıklarının nasıl uygulanacağı konusunda daha akıllı kararlar verebilir. Bu, gelecek yıllarda ağ güvenliğinin sınırlarını zorlamaya devam edecek olan bugünkü mobil işgücü için gereklidir. Bu hızlı tempolu, yükselen mobil dünyada en iyi savunma, uyarlanabilmektir.
