Parolalardan kurtulma zamanı geldi!

Pandemi, bilişim teknolojileri ekipleri üzerindeki yükü artırıp yeni siber güvenlik tehditlerini beraberinde getirirken, Cisco yaşanan değişimler ve dijital gereklilikler ışığında, 2021’de gizlilik ve siber güvenlik alanlarında öne çıkacak trendleri açıkladı. Açıklanan trendlere göre güvenliğin temel taşı olan parolalar aynı zamanda en büyük zaafı? Peki, parolasız bir gelecek mümkün mü?

Pandemi, bilgi güvenliği yöneticilerini (CISO), çalıştıkları şirketlerin önündeki yol haritasının en önemli parçalarından biri haline getirdi. Uzaktan çalışmayı içersin içermesin, iş sürekliliği ve dijitalizasyon planları bu süreçte önemli bir sınavdan geçti. Geçmişte özel durumlara verilen tepkiler, artık uzun vadeli planlamanın birer parçası… Salgının yarattığı ortamdan yararlanmak isteyen art niyetli unsurların da artmasıyla da güvenlik, işletmelerin faaliyetlerinde merkezi bir konuma yerleşti.

Cisco yaşanan değişimler ve dijital gereklilikler ışığında, 2021’de gizlilik ve siber güvenlik alanlarında öne çıkacak trendlere dair öngörülerini açıkladı.

Parolalardan kurtulma zamanı

Parolalar, güvenliğin temel taşı ama aynı zamanda da en büyük zaafı. Ortalama bir kişinin 191 parola kullandığı düşünüldüğünde, parolaları hatırlamak, korumak ve değiştirmek oldukça zor. Üstelik parolalar kolayca ele geçirilebilir. Verizon Veri İhlali Araştırması’na göre ihlallerin yüzde 81’inin nedeni, parolaların çalınması veya yeterince güçlü olmaması. Parolaların gizli maliyetleri de var. Şirketler parola sıfırlamaya her yıl milyonlarca dolar ve yüzlerce saat mesai harcıyor.

Platformlar, sektör grupları ve hizmet sağlayıcılar, parolasız bir gelecek için bir girişimin çevresinde toplanmaya başladı. Teknolojinin gelişmesiyle birlikte, biyometrik çözümler hem tüketici ve işletme sistemlerinde yaygın olarak kullanılır hale geldi ve şirketler, parolasız bir geleceğin, kullanıcılar ve veri güvenliği açısından neye benzeyeceğini keşfetmeye başladı.

Kontrol değil, iş birliği

Birçok kuruluşun güvenliğe getirdiği geleneksel yaklaşım, talimatlar ve politikalar belirlemek olmuştur. Geçtiğimiz aylar büyük bir kültürel değişime hız verdi. Güvenlik çalışanlarının meslektaşlarıyla iş birliği yaptığı farklı bir model ortaya çıkıyor. Şirketler daha esnek ve akıllı bir yaklaşım benimsedikçe, güvenlik ekiplerinin, uyguladıkları güvenlik kontrollerinin kolay kullanılabilir olmasını sağlaması gerekliliği de öne çıkıyor.

Bir taraftan kontrol, şirketlere maliyet yükü getirirken, diğer taraftan kullanıcılar kendileri de giderek daha fazla kontrol uyguluyor. Bunun sonucunda CISO’lar şu soruları giderek daha fazla soruyor: “Neleri kesinlikle kontrol etmemiz gerekiyor? Neleri kullanıcıların inisiyatifine bırakabiliriz? Neleri zorunlu kılabiliriz ve neleri zorunlu kılmamız gerekir?”

Güvenli uzaktan çalışma artık daha hızlı

Uzaktan çalışma onlarca yıldır mümkün olsa da teknolojik olarak en muhafazakâr şirketlerde dahi kullanımı son zamanlarda büyük artış gösterdi. Cisco bünyesinde bulunan kullanıcı merkezli, çok faktörlü kimlik doğrulaması ve güvenli erişim sağlayıcısı Duo Security, pandemi sırasında çalışanların uzaktan çalışmaya geçmesi nedeniyle kimlik doğrulamalarının ayda 600 milyondan 800 milyona sıçradığını tespit etti.
Cisco’nun gerçekleştirdiği İş Gücünün Geleceği anketinin sonuçlarına göre uzaktan çalışma, hibrit çalışma modellerinin bir türü olarak kalıcı olacak gibi görünüyor.

Yapay zekâ, makine öğrenimi ve sıfır güven güvenlik modeli

Geleneksel güvenlik yaklaşımlarında güven yalnızca erişim isteminin kaynaklandığı ağ konumu için uygulanırken, sıfır güven yaklaşımında, daha dinamik ve uyarlanabilir bir özellik kazanır. Bu yaklaşımda güven, nereden geldiğine bakılmaksızın her erişim istemi ile uygulama ve ağlar genelinde güvenli erişim için uygulanır, yalnızca doğru kullanıcıların ve cihazların erişim elde etmesine olanak tanır. Şifreleme, bilinen ve güvenilen cihazları işaretleme gibi yöntemler de saldırganların ihtiyaç duyduğu şeyleri (kullanıcı oturum açma bilgileri, ağ erişimi ve yatay hareket etme kabiliyeti) elde etmesini zorlaştırır.

Sıfır güven modelinin uygulanmasında yapay zekâ ve makine öğreniminin nasıl kullanılabileceğinin bir örneği, Amaca Yönelik Kullanıcı ve Varlık Davranış Analizidir (UEBA). Bu yöntemde, günümüzde kullanılan genelleştirilmiş yaklaşım yerine analiz belirli faaliyetler çevresinde yoğunlaşır.