Direksiyonu uzmana bırakmak, güvenlik sağlıyor

Kurumsal bilişim mimarisinde boşlukları bulma ve farklı hedeflerini gerçekleştirme yolunda kendini sürekli geliştiren siber saldırganlara karşı dış kaynak güvenlik desteği, MDR ve kesintisiz iletişim kritik önem taşıyor.

BThaber dijital etkinliği “Yeni Nesil Tehdit Önleme: CrowdStrike Falcon ve Adeo” başlığında düzenlendi. BTHABER Şirketler Grubu Başkanı Murat Göçe’nin yönettiği “CrowdStrike ve Adeo İşbirliği Ne Getirecek?” başlıklı sohbet, Adeo CBO’su Korhan Ergönül ve CrowdStrike Türkiye ve CIS Bölgesi Müdürü Ümit Nadim’i bir araya getirdi. Murat Göçe’nin genel strateji ve partner seçiminde önceliklerini sorduğu Ümit Nadim, 2011’de kurulan güvenlik şirketi CrowdStrike’ın ABD, Avustralya, Hindistan, Almanya, Romanya ve Birleşik Krallık’taki merkezlerinde 7/24 müşterilere hizmet verdiğini belirterek sözlerine başladı. Uç nokta güvenliği, yönetilen nokta güvenliği, tehdit istihbaratı, kimlik koruması olmak üzere pek çok sahayı kapsayan SaaS modeliyle 19 modülle müşterilerin sürekli daha güvenli olması için çalıştıklarını vurgulayan Ümit Nadim, pandemiye rağmen küresel bazda ciddi bir büyüme kat ettiklerini ifade etti. “Geçen sene açıklanan yüksek kârla yüzde 70 büyüme gösterdi” eklemesini de yapan Ümit Nadim, şöyle devam etti:

“Bizim bölgemizde 20 kullanıcılı müşterimiz de, 30 bin kullanıcılı müşteri de var. CrowdStrike, ürün ailesi ile küçük ve büyük ölçekteki şirketleri daha güvenli hale getirmek için çalışabiliyor. CrowdStrike’ın partner seçimlerinde en dikkat ettiği şey, olay müdahale ve araştırmayı yapabilecek kabiliyetlerde olmaları. Adeo da Türkiye’nin en büyük olay müdahale ekibine sahip. Güvenlik platformumuzu kullanarak müşterilerine verdikleri hizmetin kalitesini çok daha yukarılara taşıyacaklarına inanıyoruz. Uç nokta operasyonları implemantasyonlar bağlamında gerçekleştirilmesi uzun süren süreçler. Ancak biz, 30 bin uç noktalı projeyi iki haftada bitirebilmeyi müşteriye sunuyoruz. Böylece faydayı çok hızlı bir şekilde görüyorlar. Bulut mimari sayesinde müşterilerin ortamında performans problemleri çıkarmıyoruz. Adeo ile işbirliği çerçevesinde bilgi birikimi olarak müşterilere daha fazla katkı sağlayacağımızı düşünüyoruz. Lokal bir kaynakla MDR hizmeti vermek bizim için kritik bir konu. Bu da bize avantaj sağlayacak.”

Murat Göçe’nin CrowdStrike’ı seçme sebebini sorduğu Korhan Ergönül de, “Konu siber güvenlik olunca birlikte çalıştığımız üreticilerde müşterilerimiz pratiklik, kolaylık istiyorlar. CrowdStrike bu anlamda çok ciddi yatırım yapan esnek bir yapıya sahip” yanıtını verdi. Arkasında durabilecekleri, desteğini verebilecekleri birçok marka ile çalıştıklarını belirten Korgan Ergönül, “CrowdStrike da bu markalardan biri ve iş ortaklığımız başladı. Bizi ciddi anlamda geliştireceklerini düşünüyoruz” yorumunu yaptı. Korhan Ergönül’e göre, olay, müdahalede başlıyor. Burada çok hızlı, esnek, çevik üreticilere ihtiyaç oluyor. “Müşterilerimize alternatifler sunmak, CrowdStrike müşterilerini teknik anlamda desteklemek gibi noktalara inanıyor, CrowdStrike ile birlikte daha güçlü bir firma haline geldiğimizi düşünüyoruz” değerlendirmesini yapan Korhan Ergönül, ekledi: “Müşterilerimiz ne kadar güvenli de olsa, siber güvenlik noktasında bir satranç maçı gibi karşı hamle yapmak, çoğunlukla da hacker’ların hamlesini önceden düşünmek zorundayız. Müşteriler bu kadar insan kaynağını bir araya getiremedikleri için yönetilen hizmetler öne çıkıyor. Bunu en iyi servislerle müşterilerimize sağlamak istiyoruz.”

Saldırılar ve hedefler çeşitlilik gösteriyor

Yine Murat Göçe’nin yönettiği bir sohbet, “CrowdStrike 2021 Tehdit Avı Raporu’ndan Çarpıcı Başlıklar” oldu. CrowdStrike Ülke Müdürü Erhan Anuk ve Adeo CSO’su Halil Öztürkci’yi bir araya getiren sohbet, Göçe’nin paylaştığı önemli bilgilerle başladı. CrowdStrike 2021 Tehdit Avı Raporu’na göre, izinsiz girişlerde yüzde 60 artış gözleniyor. Saldırıların yüzde 68’si kötü amaçlı yazılım içermiyor, bu saldırılar başka yoldan deneniyor. Para odaklı saldırılar, bu saldırıların yüzde 65’ini oluşturuyor. Bir saldırgan hedef seçtikten sonra hedefe ulaşması ortalamada 1 saat 32 dakika sürüyor. Telekomünikasyon konularında saldırıların arttığı da görülüyor. Bu gerçekler ışığında CrowdStrike Türkiye’nin stratejisini Erhan Anuk şöyle anlattı:

“Türkiye CrowdStrike Install Database’ini geliştiriyoruz. Müşterilere daha fazla CrowdStrike anlatıyoruz. Adeo işbirliği ile Türkiye’de daha fazla müşteriye ulaşıp daha fazla kuruma CrowdStrike’ı tanıtmak, göstermek istiyoruz. CrowdStrike’ı denediklerinde aradaki teknoloji farkını, MSP ile birlikte tehditlere karşı nasıl aksiyonlar aldığımızı görebilecekler. Ücretsiz olarak da çözümümüzü deneyebiliyorlar. Raporda öne çıkan 1 saat 32 dakikanın aktörleri, e-suç aktörleri. Para odaklı saldıran tehdit aktörlerinin sisteme giriş yaptıktan sonra ortalama yayılma aktivitesine geçen süre overwatch test analizleri tarafından 1 saat 32 dakika olarak ölçülmüş. Özellikle Rusya menşeili tehdit gruplarına, hedefli ataklara baktığımızda bu süre 30 dakikalara dek inebiliyor. Bunun sektör ortalaması da 60 dakika. Biz her zaman “Survival of the Fastest” adlı bir kavram üzerinden konuşuruz. 60 dakika içerisinde siber saldırıya müdahale edilmezse geriye dönüş, temizleme çalışmaları haftalar, aylar alabiliyor. CrowdStrike olarak tüm cümlelerimizde ‘hız’ vurgusunu yapıyoruz. F1 sponsorluğu da buna işaret eden bir unsur. Müşterilerimize 60 dakika içerisinde tespit ve müdahale etmeyi sağlayabilecek bir altyapı sunuyoruz. Günümüzdeki en güncel e-suç tehditleri, ransomware’ler. Süre, hedefli ataklarda daha da kısa. Hedefli saldırılar politik odaklı, ülkeler arasında yapılan saldırılar. Dolayısıyla onların hedefinin telekomünikasyon sektörü olması çok doğal. Telekomünikasyon sektörü saldırılarında zarar vermekten daha çok oradan gizli, siyasi bilgi çalmak ön plana çıkıyor. E-suç, tamamen para kazanma odaklı. Bilgiyi çalmak istiyorsa telekom şirketine saldırıyor, para çalmak istiyorsa teknolojiye gidiyor. Teknolojinin üzerine, günümüz saldırıları insan destekli tespit edilebiliyor. Artık saldırganlar içeriye normal bir kullanıcı gibi gelip hareket ediyorlar. Biz de CrowdStrike Falcon platformu üzerinde bunların detaylı fizibilitesini çıkardığımızda MDR servisi ile birleştirilerek saldırılar ortaya çıkarılıyor. Bu yüzden Adeo ile birlikte çalışıyoruz.”

CrowdStrike, görünürlük açısından yetkin

Raporu değerlendiren Halil Öztürkci’ye göre, her şey bir yapbozun parçası. Bir olay yaşayan müşterilerinin kendileri ile iletişime geçtiğini, MDR ile bunu 7/24 izlediklerini vurgulayan Halil Öztürkci, “Ama öncesinde bizim elde ettiğimiz bir takım istatistikler var” dedi. Türkiye özelinde de rakamların benzerlik gösterdiğine dikkat çeken Halil Öztürkci, tehdit aktörlerinin tamamının kendi içerisinde çok profesyonel insanlarla çalıştıklarını, suçlularından kendilerinden de hizmet aldıklarını, operatörlerin ayrı çalıştığını, malware’lerin yayılmasında çalışan başkaları olduğunu örnek verdi. “Sızma testlerini gerçekleştiren ve içeriye yayılan başka siber saldırganlar var. Bunlar birbirleriyle paylaşımlı çalışıyorlar” gerçeğine dikkat çeken Öztürkci, “90 dakikalık maçta o hareketi yakalamamız lazım. Saldırganların bir hatası, bizim onları tespit etmemiz için yeterli” dedi. Öztürkci’ye göre, CrowdStrike, görünürlük açısından çok iyi bir araç. Bu aracı kullanan analistlerin ve Adeo’nun uzmanlığının önemine dikkat çeken Öztürkci, devam etti:

“90 dakika içerisinde bir alarm varsa, orada bir şeyin gerçekleştiğine ilişkin rahatlığı bize verdiği noktada müşterilere anormalliği algılayabiliyoruz. Bu saldırganlar artık herhangi bir şekilde zararlı kod kullanmıyor, admin gibi davranıyor, ele geçirilmiş bir kullanıcı adıyla sistemde oturum açıyor. Sizin orada kuracağınız uyarı mekanizmasıyla bu kişinin admin mi, yoksa saldırgan mı olduğunun ayrımını yapmanız lazım. Raporda; Çin’den Pandas, İran’dan Kittens, Rusya’dan Bears, Vietnam’dan Buffalos gibi saldırgan grupların adı geçiyor. Sektörde her ülke bir hayvanla anılıyor. Çin menşeili bir saldırıdan bahsedildiğinde Pandalar, Ruslarda Ayılar, İran’da Kediler bulunuyor. Türkiye’nin bir hayvanı bulunmuyor. Türkiye’den de saldırı yapanlar var; ama başka ülkelerin telekom yapılarına yerleşen, istihbarat yapan saldırılar yok. Var olup tespit edilip edilmediğine ilişkin bilgiye sahip değiliz. Türkiye ile alakalı rapora girecek bir siber aktivite tespit edilmediği için yer almıyor. ABD’nin en muzdarip olduğu iki hayvan var. Tüm raporlarda Pandaları ve Ayıları görürüz. Bu bir teknoloji üreticisi tarafından hazırlanan bir rapor değil. Servis üreten, ürettiği teknolojinin üzerinden bir sonuç çıkarmış bir firma tarafından gerçekleştirilmiş. Bu rakamların Türkiye’yi ne kadar yansıttığını sorardım. Çünkü bizde MDR hizmeti 250 bin uç noktada veriliyor. Çok benzer rakamları istatistiklerimizde karşılaşıyoruz. Bu konularda yapacağımız çok şey var.”

“Çözümünün MDR olduğuna inanıyoruz”

Murat Göçe’nin yönettiği son panel “Olay Müdahalesi ve MDR servisleri” başlığında oldu. Adeo CSO’su Halil Öztürkci ve Adeo CTO’su Melih Özhan’ın konuşmacı olarak yer aldığı panelde saldırı tespit stratejisi ve saldırı ile atılması gereken adımlar ele alındı. Halil Öztürkci, şunları söyledi:

“Saldırıyı tespit ettikten sonra internetin kablosunu çekmek konvansiyonel anlamda yapılabilir. Bu güvenlidir, işi çözer; ancak sizin kabloları çektiğinizde, sistemin durduğunda bir problem yaşamayacağınız dükkanınız, sisteminiz yoksa. Dünya böyle değil. Sistemin çalışması lazım. Kabloyu çekmeden saldırıyı tespit etmek ve güvenliği sağlamak birincil önceliğimiz. Siber güvenlik bir teknoloji problemi değil. MDR servisi ile ilgili ürünlerin doğru pozisyonlanmasını motive ediyorlar; çünkü biz sadece teknolojiyi sağlayarak müşterilerin güvenliklerini sağlayamayız. Bu teknolojiyi en iyi kullanan, bu teknolojinin dilini en iyi bilen ekiplere ihtiyacımız var. MDR servisinin pazarda bu kadar kabul görmesinin sebebi bu. MDR, siber güvenliğin sadece bir parçası. Oradaki CSO’ların sorumluluğu çok başka. Onlar bizim destekçimiz olacaklar. Hızlı, çevik bir güvenlik operasyonu çalıştırabilmemiz için içeride az teknoloji, çok uzmanlık gerektiren bir alana müşterilerimizi itiyoruz ve CSO’ları uğraşacakları diğer işlere yönlendiriyoruz. Siber güvenlik ile ilgili herkesin her şeyi yapmasını beklemek çok doğru değil. Siber güvenlik kapsamında bir anomaliyi belirli bir SLA çerçevesinde tespit edeceğimizi taahhüt ediyoruz. Siber güvenliğin yönetimlerini dış kaynağa bırakmalarını, artık uğraşmamaları gerektiğini ifade ediyoruz. Dolayısıyla CSO’lara rahat edebilecekleri, geniş bir alan kalacak. Adeo’nun çok ciddi bir güvenlik ekibi var. Kullanılan teknolojiler bu güvenlik ekipleri tarafından test ediliyor. CrowdStrike, bu testlerin tamamından geçmiş, birlikte çalışacak olmaktan heyecan duyacağımız bir üretici. Adeo’da bu işin çözümünün MDR olduğuna inanıyoruz. Bir servis olarak bunun şirketlere outsource edilmesinin çok ciddi katma değeri olduğunu düşünüyorum.”

“Sistem artık ayrılmaz bir bütün”

“Koruma ve tespit ürünle birlikte geliyor. Doğru görünürlüğü almadığınız sürece operasyonunuzu durdurmadan, yaşam kalitesini aşağı indirmeden bu mümkün olmayacak. Teknoloji, insan, süreç olmak zorunda” vurgusu ile sözlerine başlayan Melih Özhan, MDR ve önemini şöyle anlattı:

“CrowdStrike ya da diğer ürünlerle olay müdahalesine gittiğimizde veya halihazırda verdikleri MDR’ı göz önünde bulundurduğumuzda insan, teknolojinin yanı sıra süreci doğru tanımlamak gerekiyor. Her zaman müdahale etmenizle doğru aksiyon olmayabilir. Tespit ettiğimiz saldırıyı durdurmadan önce hedefini anlamamız gerekiyor. Lokalde bu servisi eklediğimizde ürünün yetenekleri ile birlikte daha anlamlı hale geliyor. Siber güvenlikten bahsediyorsak yüzde 100 diye bir şey yok. Başınıza bir crypto geldiğinde bunu önleyebilecek 3 farklı teknolojiyi veya süreci oturtmanız gerekiyor. Bunlardan biri; izlenebilirlik. CrowdStrike gibi doğru bir ürünle gerçek zamanlı alarm alıp gerçek zamanlı müdahale edebilirsiniz. İkincisi; kimlik yönetimini, back-up yönetimini gerçekleştirebilirsiniz. Bir T anında doğru bir şekilde operasyona devam etmeniz gerekiyor. Görünürlüğü sağlamak, doğru back-up’ı doğru bir şekilde sistemdeki kimlik yönetimini yaptığınızda yüzde 99 gibi bir seviyeye gelebilirsiniz. Normalde bir izleme yaparken oradaki ilk alarm esnasında vücudun tamamını değil, bir parmağı kaybedersiniz. Bunun canlı bir örneğini yaşadık. MDR servisi verdiğimiz Türkiye’nin çok değerli bir üreticisinde ransomware atağı yedik. Sadece iki makineyi kaybettik. Geriye kalan 4 bin 724 makineyi kurtardık. Kağıt üzerinde yüzde 100 güvenliği sağlamadık; ancak 2 makine ile bunu yönetebildiysek, operasyon devam edip kritik hiçbir sistem durmadıysa yüzde 100’e yakın denilebilir. CSO’ların birçok sorumluluğu var ve yatayda belirli noktalarda kesişiyorlar. Dikeydeki sorumluluklar sadece siber güvenlik değil. KVKK, GDPR, kişisel veriler de var. Dijitalleşme ile birlikte her şeyi çok hızlı, doğru yapmamız gerekiyor. Yatay ve dikeydeki uzmanlıkları doğru ayrıştıran, yatay ve dikeydeki SLA’leri doğru planlayan kişiler günün sonunda başarılı oluyor. Sistem artık ayrılmaz bir bütün. Kooperatif olarak birlikte kural setleri belirlemek ve kararları uygulamak zorundalar. CSO’ların operasyonel anlamda izlenebilirlik açısından ellerinin kolaylaşacağını düşünüyorum. Dijitalleşmiş dünyada hız çok önemli. Bu ürün setinin bizi daha hızlandıracağına inanıyoruz. CrowdStrike’ın hız konusunda fayda maliyeti, operasyonel açıdan çok daha önde olduğunu gördük.”

Dijital etkinlik Adeo Siber Güvenlik Çözümleri Müdürü Cihan Çelik ve CrowdStrike Afrika ve CIS Bölgesi Kıdemli Satış Mühendisi Melih Önem’in teknik demosuyla tamamlandı.