İyi bir gerekçeleri var. Güvenlik sağlayıcıları, kurumların network protokolleri hakkında çok daha titiz olmaları gerektiğini ve her ne kadar Sarbanes-Oxley düzenlemeleri ile uyuşmasa da, Amerika Kongresi’ni federal bir veri-korunum kanunu çıkarmaya mecbur bırakan süreğen veri ihlalleri dalgasını ciddiye almaları gerektiğini ifade ediyor.
Teknoloji araştırma firması IDC’nin kurumsal güvenlik sorunları üzerine yaptığı Ocak ayı araştırmasında, kişisel bilgiler ve şirket bilgilerinin çalınmasına yönelik girişimlerin yanı sıra entelektüel mülkiyet sifonlanması ve tüzel casusluk faaliyetlerinde sofistike atak teknikleri ve işyeri ağlarının kullanımı ile birlikte bir artış olduğu belirtildi.
Sosyal mühendislik hala dolandırıcıların alet çantalarındaki en önemli araç olmaya devam ediyor.
IDC’nin kurumsal güvenlik araştırmasına göre phishing saldırıları hala büyümekte olan bir endüstri iken, spearphishing saldırıları ise bu endüstride son moda durumda.
Spearphishing (mızraklı phishing), kelime anlamına uygun: spesifik bir uç-kullanıcıyı, kimlik hırsızlığına olanak tanıyacak olan hassas bilgilerini açık edecek şekilde kandırmak.
IDC gönderilen içerik testi (OCC)’nin endişelerini dile getirerek “Kasıtlı olarak veya kazara hassas bilgileri yaymakta olan güvenilir elemanlar, pek çok organizasyonun hızla ana endişesi haline gelmekteler,” diyor.
Bu, akıllı kartlar tufanını, yeni nesil kimlik doğrulamayı ve bu hafta San Jose’deki RSA konferansında boy gösteren denetleme teknolojilerini açıklamaya yardımcı oluyor.
Microsoft Başkanı ve Şef Yazılım Mimarı Bill Gates buradaki bir program çerçevesinde bu noktayı dayanak alarak yaptığı konuşmasında Windows’un son sürümü olan Vista’nın tamamen akıllı kartlar ile ileri şifreleme düzeyi gibi kimlik doğrulama araçlarını işlevselleştirme ve güvenlik üzerine kurulduğunu söyledi.
En son Vista yapısındaki Güvenlik Merkezi özelliğini ele alalım. Tek bir tıklama ile bir uç-kullanıcı, Outlook’tan, aynı zamanda son beta versiyonunda ileri güvenlik seviyeleri ile güçlendirilmiş olan IE tarayıcısına kadar işletim sisteminin tüm seviyeleri boyunca güvenlik durumunu denetleyebiliyor.
Gates, kurumsal networklerde daha derinlemesine kimlik doğrulama ve şifreleme özellikleri olmaz ise pek çok kişi aktivitelerini sınırlayarak bununla yetinmek zorunda kalacak veya risk alacaktır diyor.
Gates, “Hem iş düzeyinde hem de kişisel düzeyde içinde bulunduğumuz her networkte tek bir seviyeye değil, güvenlik halkalarına sahibiz. Burada ihtiyacımız olan bu güven ilişkilerini takip edebilme, izin tanıyabilme ve ihtiyaç olduğunda bu izinleri kaldırabilme yetisidir,” diyor.
“Gerçekten güven ekosistemini sadece başlangıcındayız. Şirketlerin çoğu atamalarında federe olma yönünde ilerlemiyorlar,” diye ekliyor.
“Eğer örtülerin altına bakarsanız, pek çok emniyetsizlik ve sonuç olarak verimlilik kaybı görürsünüz.”
Endüstri boyunca protokoller için destek standart yapılar arasına kuruldukça akıllı kartlar daha geniş kullanıma geçiyor, diyor. Bu anahtar bir kısım, dolayısıyla kurumlar kimlik doğrulama işlemleri sırasınca değişik uygulamalar ve platformlar boyunca aynı güvenlik kodunu tekrarlamak zorunda kalmıyor.
RSA’daki pek çok örnekten biri on-line işletmeler için dijital sertifikaların en büyük sağlayıcılardan birisi olan GeoTrust.
Alman bir akıllı kart teknolojisi sağlayıcısı olan TC TrustCenter’ın kazanımlarının üzerinde yükselen GeoTrust bankaları, kurumsal kullanıcıları ve çift faktörlü kimlik doğrulamayı kullanan kamu hizmetleri ile hükümetler gibi sektörleri hedef alan yeni bir akıllı kart süitini henüz tanıttı.
GeoTrust’ın yönetim kurulu başkanı Neal Creighton, son endüstri zorlamaları ve Sarbanes-Oxley gibi hükümetin veri saklama yasası düzenlemelerinin daha fazla organizasyonu kimin neye erişim izni olduğunun izini sürmekte kullanılan yeni düzenleme özellikleri eklemek kadar akıllı kart ve fişler kullanmaya sevk ettiğini ifade etti.
GeoTrust, True Credentials Enterprise ID teknolojilerinin Avrupa’nın en büyük bazı finans kuruluşları, kamu kuruluşları ve hükümet ajanslarında kullanılmakta olduğunu belirtti.
Creighton, internetnews.com’a bunun aynı zamanda şirketlerin yönetimlerini daha basit bir hale getirilmek üzere dizayn edildiğini ve yönetimsel bir servis olarak sunulduğunu söyledi.
“Benim versiyonum, benim gelecek için inancım, zarara yol açabilecek her on-line işlemin yükleme kodundan, e-mailden ve hatta arama sonuçlarının takibi ile tasdik edilmesi gerektiği yönünde,” diyor.
“İnsanlar on-line olarak bir işlem yaptıklarında yaptıkları işlem ile ilgili bir güvenliğin var olduğunun bilincinde olmak istiyorlar.”
Microsoft, güvenlik çerçevesinde özellikle Network Access Protection (Network Erişim Korunması) teşebbüssüne katılan sağlayıcılar ile birlikte çalışarak olağan ürün anonsları yağmurunu sürdürüyor.
İlaveten, şu anda beta halinde olan Internet Explorer’ın son sürümü (IE7), uçtaki kullanıcının Web sitelerinin kimlik doğrulamasını kontrol etmesine yardımcı olan yeni bir güvenlik seviyesi de sunmakta.
Örneğin, en son IE, bir tarayıcıda engellenmemiş olarak çalışmakta olan ActiveX için sınırlar koyuyor ve böylece tarayıcı-betikleme özelliği, bir Web sörfçüsü kötü amaçlı bir Web sitesine rastladığında, bilgisayarlara kötü amaçlı yazılımlar yerleştirilmesine açık olmaktan kurtarılmış oluyor.
Enterasys Networks gibi şirketler,
Windows ve Microsoft sistemleri ile kademeli olarak çalışan ürünler ile kimlik doğrulama seviyelerini yükseltmek için güvenlik kimlik doğrulama şamatasının bir parçası oluyorlar.
Massachusett merkezli The Andover, Enterasys tecavüz savunması, davranışsal vaka tespiti ve kurum networklerinin pro-aktif korunmasına ait tam kapsamlı ileri network güvenlik becerilerini gösteren demolarla, RSA ile çalışan pek çok gayretli sağlayıcıdan birisi.
Microsoft’un Windows Server grup ürün yöneticisi Mike Schutz, network giriş kontrolünün kurumsal IT yöneticileri için anahtar bir güvenlik gereksinimi haline dönüşmekte olduğunu söyledi.
GeoTrust’tan Creighton, finans servisleri ve hükümet servisleri gibi anahtar altyapılardaki yıllar süren benimsemenin ardından, akıllı kartların daha geniş bir işletme alanında daha geniş benimsemeyi hedeflemekte olduğunu söyledi.
Unutulmamalıdır ki, tüm bunlar uç-nokta erişiminde güven oluşturmakla ve krallığın kapılarından kimin geçtiği ile ilgili.
Güvenlik yazılım sağlayıcısı RSA Security’nin yönetim kurulu başkanı Art Coviello’nun tabir ettiği gibi ” Hepimiz on-line dünyada suç-çetelerince yönetilen bir çevrede yaşamaktayız.” Her yerden networke bağlanabilme zamanına yaklaştıkça, daha sağlam bilgilere sahip olduğumuza emin olduğumuz bir sonraki mantıksal adıma geçmemiz ve on-line işlemleri on-line kişisel kimliğimizle bağlandırma yöntemimizi geliştirmeliyiz.
Kaynak : 