Varlık Görünürlüğü (Visibilite) ve Davranışı: Segmentasyon Başarısının Anahtarları

Yakın zamanda Gartner®, temel siber güvenlik araştırmalarından biri olan "Başarılı Ağ Segmentasyon Stratejilerinin 6 İlkesini yeniledi. Araştırmada yer alan ilkeler denenmiş ve doğrudur. Güvenliği ve performansı iyileştirmek için ağları bölümlere ayırmak, güvenlik ekipleri için yeni bir şey değildir, ancak aynı zorluklar her yıl devam ediyor. Gartner analistleri, bulgularını "son iki yıl içinde ağ güvenliği ve I&O analistleriyle yapılan yüzlerce ağ segmentasyonu sorgulamasına" dayandırarak bunun kesinlikle farkındalar.
Araştırma, başarı ile ilişkili altı temel ilke ortaya koyuyor:

Forescout'un müşterilerle olan deneyiminde altı ilkenin tümü önemli olmakla birlikte, başarının en önemli belirleyicisinin şu olduğuna inanıyoruz: Tasarımı uygulamadan ayırın.


Her şeyden önce: cihaz görünürlüğü ve davranışı
Segmentasyon, varlıkların birbirleriyle nasıl iletişim kurduğunu anlamakla ilgilidir, ancak bu davranış, ağınızda ne olduğunu bilmeye dayanır. Bazı varlıklarınızın kısmi görünürlüğüne dayalı politikalar tasarlamak zaman kaybıdır. Bağlı tüm varlıkların sürekli güncellenen, gerçek zamanlı bir envanterine sahip olmanız gerekir. Ayrıca, yalnızca uyumlu varlıkların istenen davranışına dayalı ilkeler tasarlamak istiyorsunuz. Bu, bir başlangıç noktası olarak keşfin ardından uyumlu olmayan varlıkların otomatik olarak değerlendirilmesini ve düzeltilmesini gerektirir.
Forescout'un müşterilere rehberlik ettiği sürecin Gartner araştırması ile uyumlu olduğuna inanıyoruz:
1. IP sınıflandırması: Tüm bağlı varlıkların uyumluluğunu keşfedin/değerlendirin ve bunları mantıksal bir iş hiyerarşisinde gruplandırın.
2. Akış görünürlüğü: Mevcut davranışı gözlemlemek için tüm uç noktaları haritalayın ve trafik akışlarını sezgisel bir matriste görselleştirin.
3. Akış belirleme: Politikaya göre neyin olması/olmaması gerektiğini belirlemek için akışları analiz edin.
4. İlke oluşturma: İstenen davranışı uygulamak için ilke karar noktasına (PDP) otomatik olarak kaydedilen ilkeler yazın.
5. Politika simülasyonu: Trafik akışları üzerindeki etkilerini görselleştirmek ve zarar vermeden iyileştirmek için politikaları simülasyon modunda açın.
6. Sürekli izleme: Segmentasyon tasarımınızın dinamik değişikliklere dayandığından ve amaçlanan politikalardan sapmalar konusunda uyarı verdiğinden emin olun.

1. İşletmedeki aktörleri belirleyin
2. İşletmenin sahip olduğu varlıkları tanımlayın
3. Kilit süreçleri tanımlayın ve yürütme süreciyle ilişkili riski değerlendirin
4. Sıfır güven mimarisi (ZTA) aday politika uygulama noktası (PEP) için politikalar formüle edin
5. Aday çözümlerin belirlenmesi
6. İlk dağıtım ve izleme
7. ZTA'yı genişletin

Streetlight etkisi:

Bu tutarlı önerilere rağmen, segmentasyon planlaması güvenlik ekipleri arasında sıklıkla şu şekilde gerçekleşir:
• Hata 1: İlk önce uygulama teknolojilerini değerlendirerek başlayın, uç nokta merkezli (VMware, Crowdstrike, IBM), sınır merkezli (Palo Alto, Check Point, Fortinet), ağ merkezli (Cisco SDA, Juniper, HP) ve iş yükü merkezli (AWS, Illumio, Azure).
• Hata 2: Ortamınızdaki tüm varlıkları ve bunların birbirleriyle nasıl iletişim kurduklarını görmeden bu uygulama araçlarından birini veya daha fazlasını seçersiniz. Bunun yerine, bir inanç sıçraması yaparsınız ve örneğin kampüsünüzün en büyük riskiniz olduğunu varsayarsınız. Tüm bağlı varlıkları ve davranışlarını görmeden nasıl emin olabilirsiniz?
• Hata 3: İzin verme/reddetme ilkelerini, varlıklarınızın nasıl iletişim kurmasını istediğinize göre yazarsınız, ancak bu ilkeleri uygulama zamanı geldiğinde, satın aldığınız segmentasyon araçları her varlığı kapsamaz. Aracılar yalnızca aracılı sistemlerde çalışır, Azure yalnızca Azure bulutunda olanları görür, güvenlik duvarı yalnızca üzerinden geçen trafiği görür vb. Bu yaklaşım, ünlü sokak lambası etkisi gibidir - birinin bir şeyi yalnızca bakmanın en kolay olduğu yerde arama eğilimini tanımlayan bir tür gözlemsel önyargı.

Bu, daha sonra çeşitli uygulama araçları satın almanız gerekmeyeceği anlamına gelmez. Her biri yaptıkları işte çok iyi. Ancak, kurumsal trafiğinizi görselleştirmenin hiçbir yolu yoktur ve tüm varlıklar için politikalar yazamazlar, öyleyse nasıl iyi bir başlangıç noktası olabilirler? Daha sonra yeni nesil bir güvenlik duvarı satın almanız ve belki de en son anahtarlara yükseltmeniz gerekebilir. Önce segmentasyonunuzu tasarladığınızdan emin olun ve bunu herhangi bir araca dayandırmayın.
Tasarım öncelikli segmentasyon ile projenizi kusursuz hale getirin
Ağ bölümleme projeleri için başarısızlık oranı yüksektir ve çoğu proje bir CISO'nun ortalama görev süresinden daha uzun sürer.
Başarısız bir segmentasyon projesinden uzak durmak için varlık görünürlüğüne ve davranışına odaklanın, böylece riskinizi önceden anlayın ve segmentasyon araçlarınızı en son seçin. Tasarım öncelikli segmentasyon yaklaşımını kolaylaştıracak bir araç arıyorsanız, Forescout® eyeSegment gerçek zamanlı trafik analizi için sezgisel bir matrise sahip piyasadaki tek araçtır. Risklerinizin ne olduğunu ve ilkelerinizin ne olması gerektiğini önceden görmenizi sağlar, böylece gerçek bir iş kesintisine neden olmadan bunları güvenle yazabilir ve etkilerini simüle edebilirsiniz. Tasarımınızı uygulamak için tam olarak hangi uygulama araçlarına ihtiyacınız olduğunu bu şekilde belirlersiniz.