Özellikle görüşmecilerin %68’i bulut uygulamalarının ve verilerin kötü amaçlı yazılım, fidye yazılımı ve kimlik avı saldırılarına maruz kalmasından endişe duyuyor. %55’i bulut güvenliğinin düzgün yapılandırıldığından emin olmasa da, %59’u bulutun güvenliğini sağlamak için yeterli kontrol süreçlerine ve politikalarına sahip olduklarına inanıyor. Yaklaşık üç katılımcıdan biri, çalışanları siber güvenlik konusunda yeterince eğitmenin zor olduğunu söyledi.
Son kullanıcılar saldırı altında
MIT Sloan’daki (CAMS) MIT araştırma konsorsiyumu Siber Güvenlik yöneticisi Keri Pearlson, herhangi bir BT güvenlik stratejisindeki en zayıf halkanın her zaman insanlar olduğunu söylüyor. CAMS, siber dünyadaki organizasyonel, yönetimsel ve stratejik konuları inceler. “Sistemlere virüs bulaşması için yalnızca bir kişinin yanlış e-postaya veya yanlış bağlantıya tıklaması veya yanlış programı yüklemesi gerekir. Geleneksel anlamda sadece son kullanıcılar değil, sistemlerimizle etkileşime giren tüm insanlar. Pearlson, sistemlerle etkileşime giren her bir kişi olası bir güvenlik açığı noktasıdır” diyor.
Salvi, tipik olarak sistem güvenlik önlemlerinin %99’undan fazlasının arka uçta BT tarafından ele alınmasına rağmen, kullanıcıların 20 siber saldırıdan neredeyse 19’undan sorumlu olan küçük güvenlik tehditleri şeridinin sorumlu olduğunu söylüyor.
Salvi, “Hepsi kimlik avı e-postalarıyla başlıyor” diyor. “Kilitleri kırmak yerine anahtarları almaya çalışıyorlar.” Bazı kimlik avı girişimleri, insan kaynaklarından veya üst düzey yöneticiden gelen acil mesajlar gibi görünerek dikkatli bir kullanıcıyı bile kandırabilir. Covid kilitlenmeleri, son kullanıcıları daha fazla zarar verebilecek bir konuma getirdi ve güvenlik stratejisi hızla uyarlandı.
Geleneksel son kullanıcı güvenlik modellerinin aksine, bir kullanıcının sıfır güven ortamında (parmak izi, yüz taraması veya çok faktörlü kimlik doğrulaması ile onaylanmış olsa bile) ilk oturum açması, gözetimin sonu değildir. Bir kez girildiğinde, kullanıcılar siber gün boyunca dolaşırken, alçakgönüllü bir şey yapmadıklarından ve bir bilgisayar korsanına kapı açan bir bağlantıya yanlışlıkla tıklamadıklarından emin olarak sıfır güven gizlice takip eder. Ara sıra yeniden kimlik doğrulama isteği dışında, kullanıcılar size güvenemeyeceğine karar vermedikçe ve sizi gitmek istediğiniz bir yere kilitlemedikçe sıfır güven görmezler.
Salvi, “Güvenliğin çalışması için doğru şeyi yapması konusunda kullanıcıya güvenmem gerekmiyor” diyor. “Karmaşık bir parolayı hatırlamaları, her üç ayda bir değiştirmeleri ya da indirdikleri şeyler konusunda dikkatli olmaları gerekmiyor.”
Bu içerik, MIT Technology Review’un özel içerik kolu olan Insights tarafından üretilmiştir. MIT Technology Review’un editör kadrosu tarafından yazılmamıştır.
Kaynak : https://www.technologyreview.com/2022/09/19/1059250/zero-trust-closes-the-end-user-gap-in-cybersecurity/