Vectra AI Türkiye Ülke Müdürü Serdar Yalçın: “Güvenlik, yapay zeka ile fark yaratıyor”

30 yıla yakındır bu dünyadayım. Üniversitede iken yapay zeka ile proje yapıyordum. Sonra profesyonel hayata başlayınca Check Point’de 8-9 yıl çalıştım ve Ortadoğu bölgesini yönettim. Vectra 2010 yılında Amerika’da kurulmuş bir şirket. İçeri birisi sızdıysa bunun farkına kimse varamıyor, bunun takibi nasıl yapılabilir diye bir ihtiyaç oluşmuş. Vectra bunun yapay zeka ile yapılabileceğini düşünerek bir çözümle ortaya çıkmış. 2010 yılında yapay zekayı bilmeme ve siber güvenliğin kalesinde olmama rağmen, yapay zeka ile siber güvenliği pek yan yana getirmiyordum. Bunun o dönemde geliştirilmiş olması ve Türkiye’ye 8 yıl sonra gelimiş olması çok çarpıcı.

Bugün kimse ‘ransomware’ gibi gelişmiş saldırıları gönül rahatlığıyla engelleyebileceğini söyleyemiyor. Türkiye bu konuda biraz geriden geliyor. O kadar çok data, o kadar çok trafik, o kadar çok log var ve buna karşılık sayıca ve yetkinlik olarak o kadar az personel var ki bu kaynaklarla bu kadar veriyi analiz etmek ve oradan bir şey bulmaya çalışmak samanlıkta iğne aramak gibi imkansıza yakın. Kaldı ki, karşı tarafınızda eskiden olduğu gibi otomatize bir yazılım değil tam teşekküllü bir şebeke var. İşte bu noktada Vectra’nın vizyoner bakışı sektörde büyük bir fark ve dönüşüm yaratmış: Bu tür gelişmiş saldırılara karşı ister klasik ister yapay zeka destekli olsun, anomali bazlı bakışın yetersiz kalacağını ve yönetmesi çok zor, çok sayıda hatalı tespit içeren ve önemli saldırgan sinyallerini gözden kaçıran bir yaklaşım olacağını farketmiş ve makine öğrenimi teknolojileri ile saldırı ilerleyişini modelleyerek bugünün en sofistike saldırılarının önünen geçebilmeyi başarmış.

Biraz daha açacak olursak: Bugünün gelişmiş saldırı dünyasında kimlerin, hangi araçlarla, hangi zafiyetler ve erişim metotları üzeirnden saldıracağının bir önemi yok. Dolayısı ile siber istihabarat servisleri, saldırı imzaları ve bunun gibi bilgilerin faydası artık çok az. Bunlardan bağımsız olarak saldırganların davranışlarını modellemek nasıl mümkün olur sorusundan yola çıkarak oluşturulmuş çok sağlam siber güvenlik ve veri bilimi uzmanlarından oluşan bir ekip var. Bu Vectra ekipleri farklı bakış açıları sunarak, matematiksel bir bakışla oluşturulan yapay zeka kuralları yerine, siber güvenlikçilerin önderliğinde dünyada görülen ve laboratuvar ortamında oluşturulan saldırıların anatomisinin Veri Bilimciler tarafından makine öğrenimi ile modellendiği bir teknoloji geliştiriyorlar. Böylece insan, zaman ve bütçe kaynaklarının kısıtlı olduğu bir dönemde gözden kaçan sinyallerin ve alarm kirliliğinin en aza indirgendiği, sofistike saldırıların önüne geçebilen bir teknoloji kurumları koruyor. Dünyada çok sayıda borsa, banka, ulusal savunma kuruluşu, sağlık ve sigorta şirketi önemli ölçüde Vectra kullanıyor.

Türkiye’de siber güvenlik ilk dönemlerde network güvenlikçileri ile başlamıştı. Artık yavaş yavaş değişmeye başlayacağını gözlemleyeceğiz. Çünkü bulut ortamlarında yaşananlar çok farklılaşıyor. Orada uygulama geliştirenlerin, güvenlikten ve sistemlerden sorumlu olanların uzmanlıkları bambaşka. Network seviyesinin çok dışında kavramlar söz konusu. Bugün örneğin Amazon ve Azure ortamlarında network seviyesinden bakarak görebileceğiniz saldırıların çok ötesine geçilmiş durumda. Bu ortamlara has kimlik ve rol mekanizmaları üzerinden yapılabilecek çok gelişmiş saldırılar gözlemliyoruz ve bunlara karşı klasik ağ güvenliği yaklaşımları ile tamamen kör kalıyoruz. Saldırgan hiçbir kötü niyetli yazılım kullanmadan bir başkasının kimliğine bürünüyor ve bu kimlik çerçevesinde gerçekleştiriyor saldırısını. 2019 yılında farkedilen bir modern Tedarik Zinciri saldırısında saldırganın aylarca bir kurum ağının içinde kaldığını, bir süre sonra bulut ortamına çıktığını, burada Sharepoint üzerinde belirli bir takvim çerçevesinde yaptığı kritik sorgulardan elde ettiği yüksek gizlilik derecesindeki bilgileri Dropbox ortamına kaçırdığını görüyoruz. Bunların tamamı hiçbir kötü yazılım kullanmadan yapılıyor. Sıfır malware. Yani “Living-off-the-land” denilen içinde bulunulan ortamın kendi araçlarıyla yapılıyor ve bilinen siber güvenliklerinin tamamının gözünden kaçıyor.

Yıllarımı siber güvenlik sektörüne vermiş birisi olarak, geç de olsa bu teknolojiyi Türkiye’de temsil ediyor olmak benim açımdan çok mutluluk verici bir olay. “Detection and Response” yani ağ ve bulut ortamlarında Tespit ve Müdahale teknolojisinin Türkiye’ye yatırım yapan ilk ve belki de tek üreticisi olarak Vectra’da çalışıyor olmak çok heyecan ve gurur verici. Tekrar vurgulamak istiyorum; bugünün dünyasında artık bulutun girmesiyle, insan kaynağı sıkıntısıyla, bütçeler nedeniyle siber güvenlik inanılmaz zor bir konu haline geldi. Bu nedenle özellike AI konusunda çok sayıda farklı vaatlere de rastlıyoruz. Ama şunu da aklımızda tutmamız lazım. ‘Ben yaptım oldu’ ile ilerleme sağlanamıyor günümüzde. Ben dakikalar içerisinde de ML ile bir algoritma yazabilirim, ama o yazacağım algoritma ile bulacağım ancak 3-5 tane son derece basit ve bilinen anormallikler olabilir, gerçek bir saldırının farkına varmak hiçbir şekilde mümkün olmayacaktır. Bu anlamda, sizin değerlendirmelerinizde gelişmiş makine öğrenimi temelli siber saldırı araştırmaları yapmanızı ve bunu önceliklendirmenizi tavsiye edebilirim.

Türkiye’deki tecrübelerimizden yola çıkarak, bütün bunların analizini yaparken de olabildiğince derinlemesine araştırmanızı tavsiye ederim. Görünür değerin arkasına bakabilmek çok önemli. Türkiye’de kamu kurumları da dahil olmak üzere özellikle finans ve enerji sektörlerinde onlarca sayıda önemli kuruluşun, inşaat sektörünün, holdinglerin ve güvenlik kurumlarının altyapılarında Vectra çözümleri çalışıyor ve hakikaten çok ilginç ve önemli saldırıları yakalıyor. Örneğin sahalardan elde edilen kritik bilgilerin oldukça korunaklı ve internet erişimi olmayan sunuculara yazılması akabinde bir gün Vectra’nın alarm vermesi üzerine yapılan araştırmada içeriden birisinin sunuculardan azar azar ve zamana yayılmış bir şekilde veri kaçırmaya çalıştığı anlaşılabiliyor. Anomali gözüyle baktığınızda erişim yetki seviyeleri ve veri transferi eşik seviyeleri açısından bir tehlike göremiyorsunuz. Ama toplam hareketin bir anlamı var mı diye baktığınızda, anlıyorsunuz ki ‘kıymetli veri dışarıya kaçırılmak üzere’. Bu açıdan değerlendirebilmek, saldırganın davranışını yapay zeka ile modelleyebilmek çok kıymetli. Bu perspektiften bakmanızı tavsiye edebilirim.