Boşlukları özenle doldurmak emniyet sağlar

Siber risklerin istikrarlı (!) artışı ve gelişimi ışığında, yetkin danışmanlık, farklı katmanlar ve riskler için doğru güvenlik çözümleri ve bunların entegrasyonu elzem. Aksi halde kapıları kapalı ama tek penceresi açık ev misali, risklere davetiye çıkartmak söz konusu.

Bilişim Zirvesi dijital etkinliği “Kritik Sistemlerde Güvenlik” başlığıyla tüm katılımcılara kurumsal farkındalık ve hazırlık seviyesini değerlendirme imkanı sundu. Barikat Siber Güvenlik ve CyberArk sponsorluğunda düzenlenen etkinlik “Enerji Sektöründe ve Kritik Altyapılarda Ayrıcalıklı Hesap Yönetimi” başlığıyla, CyberArk Ülke Satış Müdürü Esra Çalışkan ve Barikat Satış Müdürü Ezgi Ceylan‘ın yer aldığı bir sohbetle başladı. CyberArk hakkında bilgi vererek konuşmasına başlayan Esra Çalışkan, uzun zamandır yetkili erişim güvenliği odaklı çalışmalar yürüttüklerini söyledi. Esra Çalışkan’ın dikkat çektiği gibi, iç katmanda güvenlik, sınır güvenliği, iç katma güvenlik tarafında neler yapılması gerektiği konuları önemli ve burada çok boyutlu düşünmek de şart. Bu kapsamda, bütün çözümlerde, içerde konumlandırılan bütün güvenlik çözümlerinde olduğu gibi çok boyutlu, tümleşik yapılar, mümkün olduğunca farklı alanları ve boşlukları kapatacak çözümlerin düşünülmesi ve bunların konumlandırılmasını gerektiriyor. Kurumsal yapılarda geleneksel ortamlar ve bulut ortamları varken, enerji sektöründe de SCADA ortamları, tüm bu ortamlarda kimlikler ve yetkili hesaplar var. Kimlik başlığında sadece insanları değil, uygulamalar tarafında ‘insan olmayan kimliklerin’ de düşünülmesi gerektiğine dikkat çeken Esra Çalışkan, “CyberArk tarafında mutlaka çok boyutlu düşünün derken, hesaplarımız ve erişimlerimizin yanında çok önemli bir boyut daha olduğunu düşünüyorum; tehdit analiz konusu” vurgusunu yaptı. Buna göre, şirketlerde CM çözümleri var ve belli düzenlemeler de yapılıyor. Ama kullanılan güvenlik çözümlerinin de bu CM çözümlerini iyi bir şekilde beslemesi ve bunun tehdit analizleri ile desteklenmesi şart. CyberArk’ı farklı kılan özelliği, ürünleriyle birlikte gelen tehdit analizi olarak gösteren Esra Çalışkan, “Yetkili hesaplar özelinde, yetkili hesap davranışları özelinde tehdit analizi yapabiliyor, akıl katıyoruz” dedi. CyberArk olarak Türkiye’de uzun senelerdir çalıştıklarını, çok farklı sektörlerde çalışmalar yürüttüklerini vurgulayan Esra Çalışkan’ın ardından söz alan Ezgi Ceylan da şu bilgileri verdi:

“Etkinliğimizin konu başlığı olan ‘kritik altyapıların’ tanımı için Ulaştırma Bakanlığı’nın eylem planına bakarsak, oradaki sektörler de bize daha net bir resim çıkartabilir. Enerji başta gelirken, savunma sanayi, ulaşım, iletişim, sağlık, gıda ve finans da ‘kritik altyapı’ olarak tanımlanmış sektörler arasında. Bunların işleyişinin durmaması veya manipüle edilmemesi için milli güvenliğe ve halk sağlığına etkileri olan sonuçlar doğuracak bu sektörlerin bilgi güvenliği de eylem planında yer alıyor. Yönetmeliklerle bu sektörün siber güvenlik seviyesini yukarıya taşımaya çalışıyoruz hep beraber. Burada enerji sektörünü örnek verdiğim için EPDK’nın 123 sayılı enerji sektöründe kullanılan sistemlerin bilgi güvenliği rehberi hemen onun ardından yayınlanan 30163 sayılı usul ve esaslara göre belirleyen EPDK yönetmeliği sektörü bu alanda belli seviyeye çıkartmaya çalışıyor. Bu normlar, bu tip yapıların her türlü içeriğe uygulanabilir olması ile başka sektörlere de ışık tutuyor. Yurtdışında benzer düzenlemeler var ve ülkeler kendi kritik altyapılarını korumak için çeşitli yönetmelikler ve regülasyonlar çıkartıyorlar. Barikat olarak böyle bir kuruma hizmet sunarken ya da ihtiyaçlarını belirlemeye çalışırken, hem ulusal regülasyonları dikkate alıyor hem de küresel geçerliliği olan IEC’nin 64143 gibi standartlarını da esas alarak hizmet vermeye, bunlara uygun şekilde altyapılarının güvenlik seviyelerini yükseltmeye yönelik tavsiyelerde bulunmaya önem veriyoruz. Uçtan uca eğitim, danışmanlık, test gibi hizmetlerimizin yanı sıra da teknoloji tedariği ile müşterilerimize yardımcı olmaya çalışıyoruz. CyberArk da hem dünya çapında sunduğu çözümlerle lider, her de ulusal ve uluslararası normlara ve standartlara uyumda ihtiyaca cevap verdiği için bizim müşterilerimize önerdiğimiz üreticilerimizden biri.”

Doğru çözüm ortağı fark yaratır

Bu noktada Ezgi Ceylan, “Enerji Sektöründe PAM Pratikleri” başlıklı panel için konukları ile bir araya geldi. CyberArk Satış Mühendisi Serhat Erkan, Barikat Güvenlik Analiz ve Uyumluluk Hizmetleri Takım Lideri Serkan Aydın ve Kazancı Holding BT Grup Müdürü Tolga Kormanlı’nın yer aldığı panelde, katılımcılar sektöre özel çözümlerin yarattığı farka odaklandı. Ayrıcalıklı hesapların yönetimi konusunda Tolga Kormanlı şu bilgileri verdi:

“Kompleks yapıları yönetirken erişimleri bir disiplinle yönetemediğiniz zaman kontrolü sağlamak çok mümkün olmuyor. Oysa, bu yapı birden fazla operasyonel yükü ve güvenlik sistemini ortadan kaldırıyor ve bu ihtiyacımıza önemli bir cevap veriyor. Bu süreci bu tür uygulamalar ve bir disiplinle yönetmediğiniz takdirde kontrolü elden kaybediyorsunuz. Bununla ilgili regülasyonların olması da hem yatırım alabilmek hem de bu kullanıcı alışkanlıklarını değiştirmek, bu uygulamayı konumlandırabilmek adına bizlere gerçek fayda sağlıyor. Siber güvenlik tarafında o kadar büyük ekosistem var ki hangisini yapsanız ‘yüzde 100 güvenli’ deme şansınız yok. Ama en bilindik yerde kontrolü kaybederseniz de, diğer taraflarda bir şeyleri daha iyi yapmaya çalışmak çok anlam ifade etmiyor. Bu sebeple sistemleri yöneten altyapı ve yazılım geliştirme hizmetleri başta olmak üzere dışarıdan hizmet aldığımız çözüm ortaklarımız ve danışmanlarımız da güvenli bir erişim platformu kurmamız gerekiyordu. Bu kontrolü sağlamak, bu erişimlerin dışarıya sızmasını önlemek için bir çözüm oluşturduk. Burada en temel şey, uçtan uca entegrasyon. Burada o kadar çok teknoloji kullanıyoruz ki bu ürünleri uçtan uca entegre edebilme yeteneğine sahip ürünler olması gerekiyor. Amacımız da oluşturduğumuz bu erişim yönetim sistemine tüm uygulama ve BT yapısındaki cihazları, şifreleri yönetebileceğimiz, hepsini entegre edebileceğimiz, bu sisteme erişenleri de kontrol altına alabilmek. Birçok uygulamayı sanallaştırarak yönetimini çözümün üzerine aktarabilmek de çok büyük problem yaratıyor ki buna üreticilerde de karşılaşıyoruz. BT tarafındaki birçok üreticinin de buralara entegre olması önemli ve uçtan uca beklentimiz bu yönde. PAM ürününden en büyük beklentimiz uçtan uca entegrasyon. Burada sadece güvenlik ekiplerinin katılacağı bir ekosistemle, BT’nın tüm fonksiyonları ve iş birimlerinin katıldığı bir ekosistem söz konusu. Böylece kurum adına aldığınız kurumsal hesapları da PAM ürünü üzerinde yönetmek çok mümkün. Buna benim örnek verdiğim şu oluyor: Dışarıdan gelen 5 kapınız oluyor, bir tane kapınıza 10 kilit vuruyorsunuz. Diğer 4 kapı açık. Bunu ilk etapta altyapı ürünlerinden başlamak önemli. Gerçekten birçok adminin hesapları birçok noktada ortada olabiliyor veya kişi tekil hesap kullanılabiliyor. Bunun önüne geçmek için çok kritik cihazları hem BT’de hem OT’de yönetmek için projenin başına koymak gerekiyor. PAM’i böyle konumlandırarak aslında herkesi hem şirket içinden hem şirket dışından bir Proxy yaptırabiliyorsunuz. PAM bir erişim sağlıyor, PAM’den sonra kimin görevi nereye yetişmesi gerekiyorsa onun üzerinden eriştiriyorsunuz. Bu noktada deneyimli bir çözüm ortağı ile çalışmanız çok önemli. Yanınızda bir iş ortağınızın olması, bir plan çerçevesinde az önce bahsettiğim nitelikte birçok fonksiyona dokunacağı için bir proje niteliğinde herkese yaygınlaştırılacak ve regülasyonları da bilen partnerlarla hareket etmek çok daha faydalı olacaktır. Tek başınıza bunu yapmak için yeterli kas gücüne sahip olsanız bile süreç çok uzun olabiliyor. En büyük kazancı da doğru bir çözüm ortağınız, kendi karşılaştığı problemlerle siz karşılaştığınızda çözüm arayışına girmeden hızlı bir şekilde çözmeniz.”

Entegrasyon ve kontrol gücü

Serhat Erkan, pandemi sürecinde kurumsal güvenlik altyapısının gelişimine dikkat çekti. “Kendi müşterilerimden bir istatistik vereyim. Şimdi nerdeyse eskinin 5-6 katı kadar insanı eriştirme ihtiyacı doğdu. Bunun sonucunda riski yönetebilmek adına da hem araya daha güvenli erişim katmanları koyma ihtiyacı oluştu” bilgisini veren Serkan Erkan’ın belirttiği gibi, pandemi insanların iş yapma şeklini hızla dönüştürdü. Bu noktada güvenlik riskini alıp hızlıca herkese VPN bağlamak çözüm olsa da yönetilebilir değil. Bu noktada birçok ürün ve birçok teknolojinin yetersiz kaldığını bildiğimize dikkat çeken Serhat Erkan, şöyle devam etti:

“CyberArk’ın işbirliği platformunda bir kısmı BT’den bir kısmı OT’den gelen 200 civarında üretici var. Bunlarla entegre olarak BT ve OT dünyasındaki ayak izimiz değmedik yer bırakmamaya çalışıyor, entegrasyonları genişletiyoruz. Bu da değer katıyor. Yönetmedik, değmedik hiçbir sistem bırakmıyoruz. En temel noktalardan birisi entegre olmayan sistemler varsa, siz sisteme öğretebiliyorsunuz. CyberArk’ın en önemli avantajlarından birisi de bu, yani kolaylıkla kişiselleştirilebilir, kolaylıkla entegre edilebilir, genişleyebilir olması ve bu konuda da birçok farklı opsiyon sunabilir noktada.”

Hesapları doğru yönetebilmek kritik

Serkan Aydın, ‘Eskiden denetimlerde bir önceliklendirme mantığı vardı. Şu an kritik durumlara baktığımızda ilk önce uzak bağlantı erişimi uzak bağlantı sonrası, yanal hareketin kontrolü bizim birinci odağımız oldu’ vurgusu ile sözlerine başladı. Çünkü burada sayı inanılmaz arttı. Süreler, hesapların doğru yönetilmesi, kullanılmayan hesapların ne kadar erişim sağladığı gibi başlıklar öne çıktı. Ama Serkan Aydın’a göre bu sürecini bir avantajı da oldu ve çok fazla kontrol inisiyatifi başladı. “Salgının şöyle bir faydası olduğunu düşünüyorum. Uzak bağlantı güvenliğini bir üst seviyeye çıkarttı ya da çıkartmak için yatırımlara başlanıldı. Burada en önemli nokta hesap yönetimi, özellikle ayrıcalıklı hakların yönetimi, parolaları nerede tuttuk nerede kaybettik önemli” diyen Serkan Aydın, şöyle devam etti:

“Belli kriterler var. BT tarafında bu konulara rahat girebiliyoruz. Ama OT tarafında biraz daha ürün üretici, içeride bulunan ürünler odaklı bakıyoruz. Burada yaklaşım şöyle olmak zorunda: Üç ürün yerine iki teknoloji ile de bunları çözebiliyorsunuz. Sahada genelde uygulanması gereken kontrolleri uyguluyoruz. Ağ erişim kontrolleri gibi konularda da özellikle regülasyonların desteği ile bu tarafta birçok üreticinin artık OT tarafını da destekleyen, hatta güvenlik duvarı aşan switch’ler, bu switch’lerin arasındaki mikro segmentasyonu destekleyen ürünleri var. Burada kritik nokta şu: Oraya destek veren hangi marka varsa onların üreticileri ile entegre olmak zorundayız. Her biri için ayrı bir ekip var ve her biri ayrı analiz ediliyor. Güvenlik önlemini alırken belli şartlar var. Hesaplar ve hesapların da envanterini tutmak bizim için varlık. Varlık dediğimizde güvenlik duvarı, sunucu değil, hesaplar da bizim için bir varlık, bunları da tutmamız lazım. Bu tarafı da adresliyoruz. Genel güvenlik yaklaşımlarında birinci öncelik bu.”

“Endüstriyel Sistemlerde Cyberark Çözümleri Konumlandırma” başlıklı söyleşi, etkinliğin de son bölümü oldu. CyberArk Satış Mühendisi Serhat Erkan ve Barikat Güvenlik Analiz ve Uyumluluk Hizmetleri Takım Lideri Serkan Aydın’ın konuşmacı olduğu söyleşide güvenlik riskleri analiz edilirken, bunların bireysel hayat ve kurumsal sürekliliğe etkilerine de odaklanıldı. Pandemi süreci ile birlikte gelişen riskler karşısında erişim yönetiminin öneminin arttığına işaret eden panelistlere göre, parola yönetimi de herkes için kritik.