Dijital Operasyonlarınızı Kimlik Güvencesi ile Güvenceye Alın – Basil Philipsz ile Röportaj

CASQUE hem insanlar hem de nesneler için Kimlik Güvencesi sağlayan ve içeriden gelen saldırılara karşı savunma da dahil olmak üzere güvenlik, esneklik ve kullanılabilirlik açısından mevcut ürünlere göre önemli avantajlara sahip yeni nesil bir teknolojidir. COVID-19 nedeniyle uzaktan çalışma ve işbirliği platformlarına artan güven göz önüne alındığında, Casque genel müdürü Basil Philipsz’i kuruluşların savunmalarını nasıl sıkılaştırabileceklerini ve çevrimiçi varlıklarını nasıl güvende tutabileceklerini tartışmaya davet ettim..


Lütfen şu ana kadar CASQUE arkaplanını ve gelişimini açıklayın. 

Güvenlik konusunda küçük projeler yapan bir yazılım şirketi olarak başladık. Fikir, limana güvenli erişim için Dover Limanı’ndan büyük bir sözleşme aldığımızda hayata geçti. Dover Limanı, çeşitli işlevlerde çalışan yaklaşık 10.000 kişiyle çok yoğun bir limandır: gümrük, nakliye, kiralama, depolama ve benzeri. Bu yüzden projemiz fiziksel erişimin korunmasını sağlayacak bir yazılım yazmaktı ve bunu fiziksel engeller ve turnikeler ile çalışanların bir tanımlayıcı olarak girip tanımlamak için manyetik kart kullanmasını gerektiren yaptık..

Bu, ofis binalarına fiziksel erişim yerine bilgisayarlardaki veri kaynaklarına erişimi düşünmemizin başlangıcıydı. Bu bize, mevcut olanı incelememizi sağlayan genel Kimlik Doğrulama problemini düşünmemizi sağladı. Mevcut çözümlerin her birinin bir miktar zayıflığı olduğu açıktı.

Ürünlerin temel olarak savunmasız olmasının nedeni, her Kimlik Doğrulama yöntemine yakından baktığınızda, sabit bir sır saklamaya dayanmalarıydı. Açık olan bir paroladır, ancak biyolojik bir şablon da olabilir veya bir SecurID belirtecindeki gömülü anahtar olabilir. Bir PKI altyapısındaki özel anahtar olabilir. Tüm bu yöntemlerle ilgili sorun, eğer biri sabit sırrı bulursa, güvenlik büstü.

Bu yüzden önemli anahtarları dinamik ve anında, şeffaf bir şekilde değiştirmeye devam edebileceğimiz bir sistemi nasıl tasarlayabiliriz? Kendimize koyduğumuz zorluk buydu. Bu zorluğu çözmemiz çok uzun zaman aldı ve insanların neden yalnızca sabit anahtar kullandığını öğrendik!.

Çok basit bir ifadeyle, anahtarları dinamik olarak değiştirmenin çok zor olmasının üç nedeni var ve bu yüzden insanlar bunu yapmıyor.

  1.   İlk ve en önemli zorluk, bir anahtarı değiştirmek için bir talimat gönderirseniz ve bir cevap alamazsanız, belirsiz bir durumda kalırsınız. Anahtarların değiştirilip değiştirilmediğini bilmiyorsunuz.
  2.   İkinci sorun, anahtarları değiştirmek ve bunların yapıldığını doğrulamak için bir diyalog halindeyseniz. Bu diyalog sırasında her iki tarafta da bir arıza veya zaman aşımı varsa, nasıl iyileşir ve geri yüklersiniz? Bu dinamik güncellemelerin klasik bir problemidir.
  3.   Üçüncü sorun kategorisi bir tehdit fırsatı ile ilgilidir. Diyelim ki bir saldırgan bu diyalog gerçekleşirken neler olduğuna bakıyor ve anahtarı değiştirmek için talimatları kopyalaması gerekiyor. Ne olacağı, gelecekteki bir tarihte, saldırganın sunucu ve istemci arasında araya girmesi ve bu eski kaydedilmiş komutu yeniden yürütmesidir. Her şey senkronize edilmez, bu nedenle bir hizmet reddi alırsınız.

Bu sorunları çözmek için dört ayrı buluşa ihtiyacımız vardı. Bu icatlardan biri ABD ve AB patentleri verdi. Bu, temel yöntemin patentlerle korunduğu anlamına gelir. Ama diğer üç icat, özel bilgi birikimimizdir. Patenti yeni okuyan biri, metodolojiyi anlayabilir, ancak gerçekte nasıl uygulanacağını bilemezler.. 

Dahası, insanlara güvenilir bir çözümümüz olduğunu göstermek için, Birleşik Krallık hükümetinin güvenlik uzmanları olan UK GCHQ ile Gizli kullanım için sertifikalı ürünümüzü CASQUE almak için bir sertifikalandırma sürecinden geçtik. Bunun sonucunda, Birleşik Krallık Savunma Bakanlığı’nda CASQUE yeteneklerini kullanan çeşitli ısmarlama projeler hayata geçirdik.

Bir sonraki aşama, bu ısmarlama tip işten uzaklaşmak ve Müşterilerin “kutudan çıkardığı” bir ticari ürün üretmekti. Bu, ana Ağ Geçidi üreticileriyle entegrasyon gerektiriyordu. CASQUE, CISCO ASA, Fortinet Fortigate, Pulse Connect ile kanıtlanmış arayüzlere sahiptir.

Yaptığımız en son entegrasyon, WSO2 tarafından üretilen açık kaynaklı, Kimlik platformudur. Kısa bir süre önce, WSO2 Kimlik platformunu bu pazar segmentindeki liderlerden biri olarak derecelendiren KuppingerCole tarafından olumlu bir şekilde övüldü.

İşte Casque’un gerçekte nasıl çalıştığının hızlı bir önizlemesi:

Bir şirket veya kuruluş varlıklarını korumak için teknolojinizi nasıl uygulayabilir??

Teknoloji, yazılım ve donanım bileşenlerine sahiptir. Yazılım açısından iki lisans veriyoruz. İlk yazılım ürünü, müşterinin başlangıçta Jetonlarımızı bir anahtar seti ile doldurmasını sağlar. Bu Jetonlar donanım unsurudur. Onları etkin bir şekilde “boş” olarak sağlıyoruz, böylece Müşteri kendi anahtarlarını ayarlayabilir ve bu nedenle üretici olarak anahtarlarla hiçbir ilgimiz yoktur, yani üçüncü taraf riski yoktur. Jeton güvenli bir çip içerir ve temassız bir Akıllı Kart şeklinde gerçekleştirilebilir.

Sunduğumuz diğer yazılım ürünü Kimlik Doğrulama Sunucusudur. Bu yazılım parçası bir Windows veya Linux platformunda çalışır ve elbette bir Cloud ayarında sanal bir makinede çalıştırılabilir.. 

Belirli Ağ Geçitleriyle bağlantı kurmanın yanı sıra, CASQUE bir Open ID Connect çerçevesine de bağlanabilir. Open ID Connect, federasyon temelinde Kimlik yönetimi yapmanın bir yoludur. Bununla ilgili güzel olan şey, Amazon Web hizmetleri, Google Cloud ve Microsoft Azure’un Open ID Connect’i çok faktörlü kimlik doğrulamasını genişletmek için bir arayüz olarak benimsemiş olmasıdır. Temel olarak ne olur:

  • Amazon Web Hizmetlerinde bulunan bir kaynağa gitmeye çalışıyorsunuz.
  • Belirli kimlik bilgilerini özel Kimlik doğrulaması gerektiriyor olarak işaretlersiniz.
  • Amazon Web Services daha sonra isteği bize iletir.
  • Tarayıcıyı ele alıyoruz ve müşteriyle konuşuyoruz.
  • CASQUE diyaloğundan sonra, eğer uygunsa, Amazon’a bu Kullanıcının istenen kaynağa girmesine izin verilmesi gerektiğini söyleriz.
  • Ayrıca, daha ayrıntılı erişim sağlamak için başka Yetkilendirme bilgileri de sağlayabiliriz.

Kullanım durumları açısından, bu son Coronavirüs’ün insanların daha fazla evde çalışmasına neden olduğu açıktır. Ödev yapmak harika, size esneklik sağlıyor, insanların özel sosyal yaşamlarını iş yaşamlarıyla daha iyi konumlandırmaya yardımcı oluyor. Ancak tüm bu artılar ile birlikte kötüye kullanım ve saldırı riskleri var.

Bu tür saldırılar devam ediyor. Örneğin, en son istatistikler Mart 2020’de dünya çapında 800 milyondan fazla veri kaydının ihlal edildiğini söylüyor. Bu, güncel ve devam eden bir sorundur. Mesele neden veri ihlalleri oluyor? Bazı açık cevaplar var. Bunlardan biri, bahsettiğim bu Kimlik Doğrulama tekniklerinin savunmasız olmasıdır. Doğasında bulunan güvenlik açığının bir sonucu olarak, yakın zamanda Çin’in RSA yumuşak belirteçlerini hacklemesinde keşfettiğimiz gibi saldırganları teşvik ediyor. Bir Hollanda Siber danışmanlığının tanımladığı iyi duyurulmuş bir ihlaller dizisiydi ve bu konuyu LinkedIn yayınlarımda yazdım.

Bu Kimlik Doğrulama yöntemlerinin doğasında bulunan güvenlik açığının başka bir dolaylı riski daha vardır, çünkü Olanlar içeriden bilgi sızması konusunda kendilerine güveniyor çünkü her zaman bir başkasını suçlayabilirler. CASQUE ürünümüzde sabit anahtar olmadığından, bir bilgisayar korsanının keşfedeceği veya bir Insider’ın açıklayacağı hiçbir şey yoktur. Bu yüzden büyük bir caydırıyoruz, erişimi reddetmek ve reddetmek için bahaneyi kaldırıyoruz.

Bir markanın veya şirketin siber güvenlik stratejisini planlamak istediğini varsayalım. Düşünmeleri gereken bazı şeyler neler??

İyi bir stratejinin öncelikle şirketin sahip olduğu önemli veri varlıklarının ne olduğunu belirlemek olduğunu düşünüyoruz. Bu basit bir soru değil. Sadece diyemezsiniz, ah, hepsi finansal ya da hepsi bizim IP’imiz çünkü bu gerçekten şirketinizin en önemli varlıklarının ne olduğunu bilmiyor. Soru, eğer belirli bir veri kaynağına erişiminiz yoksa, aşağı yönlü risk nedir? İtibar için bir risk var mı? Operasyonel zorluklar ve süreklilik için bir risk var mı? Ne kadar çabuk iyileşebilir? Bunlar sorulacak ve öncelik verilecek sorular. Bu soruları yeterince sorarsanız, yakında hangi verilerin kaybolursa size en çok acıyı verdiğini keşfedeceksiniz..

Bunun neden açık olmadığına dair bir örnek vermek için, büyük bir ilaç şirketinde C Suite Executive ile görüştük. Bize bu egzersizi yaptığında, ilgili olduğunu düşündükleri sadece küçük bir veri alt kümesinin ortaya çıktığını, çünkü tüm ilaçlarının ya patentlerde olduğunu ve korunan ya da patent ve jenerik olmadığını söyledi. Paranoyak oldukları tek şey, mevcut uyuşturucu denemelerinin test sonuçlarıydı, çünkü bunlar sızdırılmışsa, yarışmacılar bilecek ve üstesinden gelmeye çalışacaktı. Bu yüzden derhal söyleyebilirlerdi, bunlar korunmaya ihtiyaç duyan kaynaklar ve onlar üzerinde en güçlü korumayı almamız gerekiyor.

Ayrıca Data Crown Jewels’a kimlerin erişmesi gerektiğini de belirlemeniz gerekir. Bu bariz bir soru gibi görünebilir, ama gerçekten bakmaya ihtiyacı var. Birçok durumda, önemli olan veya bu verilere erişimi olan tek veriler değildir, önemli olan toplu verilere erişimdir, çünkü gerçek değer burada yatar.

Bunları oluşturduktan sonra, uygun çözümlere bakmaya başlayabilirsiniz. Yani, sadece gidip dememelisiniz, organizasyon genelinde bir güvenlik önlemi alacağız, çünkü daha önce açıkladığım gibi, farklı varlıklar ve farklı insanlar farklı koruma seviyelerine ihtiyaç duyuyor. Ancak sizi yapmaya zorladığı şey, hangi güvenlik yönteminin hangi kullanıcı sınıfı için uygun olduğunu belirlemektir. Bu da mevcut BT yapınızı ve operasyonel ayrıcalıklarınızı gözden geçirmenizi sağlar. Mevcut BT mimarinizin gözden geçirilmesi gerekiyor olabilir.

Sizce COVID-19 sektörünüzü nasıl etkileyecek?

Geleceği tahmin etmek zor olsa da, mevcut krizin eninde sonunda insanların çalışma şeklini değiştireceğini düşünüyorum, çünkü büyük oranda işin farklı zamanlarda ve evde esnek bir şekilde yapılabileceği netleşti. Bu nedenle çalışanlar işverenlerine geri dönüp hissedebilirler ki, bakın, bu salgına sahip olduğumuzda iyi çalıştı, neden daha esnek bir şekilde çalışmamıza izin verecek bazı kurallarımız yok? Bu yüzden bu kriz sonucunda esnek ve uzaktan çalışma için daha büyük bir itici güç olacağını düşünüyorum..

Bunun işverenler tarafından nasıl yanıtlandığı farklı bir konudur. Sizi gerçekten geri almaya ihtiyacımız olduğunu söyleyebilirler, uygun saatlerde çalışıyorlar, çünkü aksi halde işleri gerçekten yönetemeyiz. Ya da, bunun yararlı olduğunu kanıtladığını söyleyebilirler. Farklı bir yapı veya farklı çalışma uygulamaları inşa edebiliriz.

Bu yüzden bir etki olacağını düşünüyorum ve güvenlik önlemlerinin daha fazla gözden geçirilmesini gerektirecek. Bahsettiğim gibi, esnek çalışmanın riskleri var. İşbirliği yazılımı veya uzaktan çalışan yazılım olsun artan yazılım kullanımı, fikri mülkiyet hırsızlığı almak isteyenler için daha büyük saldırı alanları sağlayacaktır.

 Önümüzdeki yıllarda daha fazlasını görmeyi umduğunuz bazı ilginç trendler veya teknolojiler nelerdir??

Kimlik yönetimiyle ve neyin uygun neyin gerçekten güvenli olduğu ile ilgili olduğunu söylediğim bariz faktörler olduğunu düşünüyorum. İşte burada çözümler sunabiliriz.

Bence büyük risklerden biri, insanların akran çalışmalarına akran yapmaya teşvik edilebileceğini düşünüyor, bu yüzden meslektaşlarınızla konuşmak istiyorsanız, doğrudan girip onlarla doğrudan bir oturum yapabilirsiniz. Şimdi, bu kuruluş için bir tehlikedir, çünkü eğer kuruluş bu eşler arası değiş tokuşlardan birine sahipse, o zaman organizasyonun kendisi kontrolü kaybetmiştir, çünkü ne olduğunu bilmemektedir. Ve ne olduğunu bilmiyorsa, kontrol edemez. Dolayısıyla, üzerinde çalıştığınız kurumsal veriler varsa, Şirketin Sunucuları’ndan geçmeniz gerektiğini söyleyen bu ilke olması gerekebilir. Eşler arası iletişimi yapamazsınız, çünkü ne yaptığınızı bilmiyoruz. Elimizde bir kayıt yok. Herhangi bir dava varsa, kolayca yanıt veremeyiz.

Dolayısıyla, bu önemli veri alt kümesinin ne olduğunu belirledikten sonra, onu Kurumsal veri merkezi üzerinden yönetmeyi düşünmeleri gerekir. Öyleyse bir sonraki soru seti, hangi platformu kullanacağız? Çok sayıda işbirliği platformu ve proje yönetimi türü platformlar var ve son zamanlarda büyüyorlar. Bu platformlardaki sorun, sizi tescilli alanlarına hapsetme eğiliminde olmalarıdır, çünkü bir kez kaydolduktan sonra herkesin seçilen belirli yazılım platformuna kaydolması gerekir. Dolayısıyla tedarik zincirini tanıma becerisi zor olabilir.

Bu nedenle, şirket dışındaki platformları, örneğin birincil tedarik zinciri kanalları aracılığıyla genişletmenize olanak tanımak için uyumlu veri biçimleri ve API’lerle çalışmanın daha genel bir paylaşılan yolunun olması gerekebilir. Önemli olarak, katılımcıları nasıl yetkilendirdiğinizi ve tanımladığınızı kontrol etmeniz gerekir; bağımsız, birleşik Kimlik yeteneğimizin bu alanda yardımcı olması gerektiğini düşünüyoruz.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map