Duvarları yenilemekte geç kalmayın!

PanOs 10.0 ile birlikte akıllı güvenlik yönetimi bir adım daha ileri giderken, dünyanın ilk makine öğrenmesi destekli güvenlik duvarında bu yeni işletim sistemi, tehditlerin bir adım önünde olmayı mümkün kılıyor.

Pek çok kurumun ağlarında birçok güvenlik duvarı var; ancak çoğunlukla ayrı cihazlar arasında oluşan uyuşmazlıklar ve karmaşıklıklar nedeniyle bunların yönetimi ve denetimi giderek önemli bir sorun halini alıyor. Bunun sonucunda da yönetimsel işlemlerde ve ilgili süreçlerde harcanan zaman artıyor. Bu gerçek ışığında Palo Alto Networks ise çözümleriyle gelecek nesil güvenlik duvarlarının merkezileştirilmiş bir şekilde yönetimini ve izlenmesini sağlıyor. Dünyanın ilk makine öğrenmesi destekli güvenlik duvarında yeni işletim sistemi, tehditlerin bir adım önünde olmayı, IoT cihazları dahil her şeyi görebilmeyi ve hataları en aza indirmeyi hedefliyor. Bilişim Zirvesi’nin düzenlediği özel etkinlik “Makine Öğrenme Tabanlı NGFW Platformu” kapsamında Palo Alto Networks ve Armada Bilgisayar sponsorluğunda Palo Alto Networks’ün yeni nesil güvenlik duvarlarının merkezileştirilmiş yönetimini ve izlenmesini sağlayan  ‘Panorama’ çözümünün detayları ele alındı. PAN-OS 10.0 ile birlikte akıllı güvenlik yönetimi bir adım daha ileri giderken, dünyanın ilk makine öğrenmesi destekli güvenlik duvarında bu yeni işletim sistemi, tehditlerin bir adım önünde olmayı mümkün kılıyor. PAN-OS 10.0 ile gelen yeni özelliklerin ele alındığı dijital etkinlikte Palo Alto Networks Sistem Yöneticisi İbrahim Eskiocak ve Armada Bilgisayar Çözüm Güvenlik Mimari Vedat Söyleyen açılışı yapan isimler oldu. Palo Alto Networks’ün siber güvenlik platformu içerisinde olan Strata, Prisma, Cortex ürün grupları hakkında bilgiler verilirken, 10.0’ın özellikleri de paylaşıldı. İbrahim Eskiocak’ın dikkat çektiği gibi, günümüzdeki mimariye baktığımızda lokasyon bağımsız bir şekilde çalışan kullanıcılar, yaygın bir şekilde kullanılan cihazlar, cihazların içerisinde yer alan IoT’ler söz konusu. Bu noktada amaçlarını ‘bunların her zaman güvenli bir şekilde kontrol edilebilmesini, denetlenebilmesini sağlamak adına her bir platform için bir ürün yatırımı yapmak’ olarak tanımlayan İbrahim Eskiocak’ın dikkat çektiği gibi, sadece bir amaç için alınan cihazlar alanında çok iyi olsa dahi artık yeterli olmuyor. Burada teknolojilerin veya üreticilerin birbiriyle konuşabilmesi çok önemli. “Bunu sağlayamadığımız sürece buradaki zero-trust hedefine hiçbir zaman sağlayamayacağız” saptamasını yapan Eskiocak, platformda tüm kullanıcıları, uygulamaları, verileri, cihazları, nerede olursa olsunlar, her türlü seviyede ve noktada aynı, eşit şekilde koruyabilmenin Palo Alto Networks’ün vizyonu olduğunu vurguladı. NGFW son işletim sistemi PAN-OS’un bu noktada önemine dikkat çeken Eskiocak, şu detayları paylaştı:

Ürün ailesi uçtan uca aktif

“Merkezi yönetim noktasında Panorama kapsamında tek bir ekran, arayüz üzerinden yönetilmesini sağlayan basit bir mimariden bahsediyor, bunu “Network Security Platform” şeklinde özetliyoruz. Palo Alto Networks ürün ailesinde son satın alma, geliştirmelerle 3 ana grup bulunuyor. İlki; Strata’dır. İçerisinde NGFW teknolojileri yer alıyor. App ID, User ID, Content ID, Device ID gibi teknolojiler patentli ve Palo Alto’yu, Palo Alto yapan teknolojiler. İkincisi Prisma Access tarafı. Cloud Security, Hibrit Cloud noktalarında kullanılabilecek Prisma Cloud, Prisma Access çözümlerimiz kendi içerisinde yer alıyor. Kubernetes ortamlarındaki kullanımlar için container, container security için cloud security container ürünümüz Prisma Cloud çok revaçta bir güvenlik. Strata’dan elde ettiğimiz firewall olarak buluttan ‘as a service’ olarak Prisma Access ürünü olarak görebiliyorsunuz. Bunun içerisinde SD-WAN, NG SD-WAN ürün ailesi de bulunuyor. Üçüncüsü; Cortex XDR ürün ailesi. Burada 4 farklı ürün yer alıyor. Diğer ürünümüz; Cortex XSOAR adında güvenlik operasyon merkezleri (SOC) için güvenlik orkestrasyonu ve otomasyonu konusunda kullandığımız ürün. Son satın almalarla birlikte Expanse ve Crypsis de ürün ailemize eklendi. Expanse, günümüzde yeni konuşulmaya başlayan Attack Surface Management’ı içeriyor. Çünkü konu artık kurumların network’lerinin ayak izlerinin nerede bittiği değil. Esas uygulamalarınızda, veri merkezinde, bulutta da ayak izleriniz var. Bu yüzden kurumlar atağın nereden gerçekleştirileceğinin bilinmezliği zorluğunu yaşıyorlar. Expanse bu anlamda işlev görüyor. Crypsis ise Data Breach Response noktasında danışmanlık ve servis sağlayan ürünümüz. Herhangi bir atak olması durumunda buradaki soruşturulması ve ilgili yanıtını uzman teknik kadrodan hizmet olarak alabiliyorsunuz. Ayrıca Cloud-Delivered Security Services adını verdiğiniz ML destekli, birbirleriyle entegre ürünlerimiz de bulunuyor.”

Platform yapısı fark sağlıyor

İbrahim Eskiocak’ın verdiği bilgiye göre, bu platform her şeyden önce çok daha iyi bir görünürlük, planlamaya dayalı bir güvenlik elde edilmesini sağlıyor. Tüm bu teknolojiler birbirine entegre, yönetim olarak daha kolay bir yapıda. “Birden fazla üretici ile çalışıp onların farklı ürünlerini almaktansa platform mantığında çok büyük bir fark sağlanır” saptamasını yapan İbrahim Eskiocak, Palo Alto Networks çözümlerinin küresel yaygınlığı ve bunun Palo Alto Networks pazar payına etkileri hakkında bilgiler paylaştı. Gelinen noktada İbrahim Eskiocak’a göre, IoT güvenliği, artık network’ümüzün çok büyük bir parçası olması nedeniyle çok önemli. Evde bile birçok cihazın bu network kapsamında olduğunu görürken, benzer bir durum kurumlar için de geçerli. PAN-OS 10.0’da IoT güvenliğini sağlamak adına NGFW’lar sensör olarak kullanılıyor. Sensörler de topladıkları bilgilerle IoT görünürlüğü ve güvenliğin sağlanabilmesini mümkün kılıyor. Bu noktada Visibility ID tarafında çok fazla cihaz olmasından dolayı görünürlüğü iyi sağlamak gerekiyor. ML’nin de burada önemli bir katma değeri söz konusu. “IoT tarafında zero-trust mantığını ve görünürlüğü sağlamak adına buradaki IoT -ML bağı çok önemli” hatırlatmasını yapan İbrahim Eskiocak, şöyle devam etti:

“Cihazlarımızı end-point kontrol altına almak adına NAC teknolojileri yer alıyor. IoT Security tarafında çok daha farklı bir görünürlük seviyesi var. IoT tarafını NGFW ile buluşturduktan sonra toplamda kaç cihazınızın olduğunu, bu cihazların hangi uygulamalarını kullandığını, üzerinde koşan işletim sistemlerinin zafiyetlerinin neler olduğunu çok rahat bir şekilde dashboard’lardan takip edebiliyor, bağlı varlıklarınızı görebiliyorsunuz. Örneğin; IoT güvenlikleri bir hastanede çalıştıklarında hastanede bulunan MR cihazının hangi marka bir cihaz olduğunu görmekle birlikte üzerinde koştuğu işletim sistemi, yaptığı işlemi, o anda çektiği filmin ne olduğunu anlayabiliyorum. Bunlar gibi detaya kadar inebileceğiniz çok yüksek seviyede bir görünürlük var. Bununla beraber buradaki cihazların IoT değerlendirmesini da yapabiliyorsunuz. IoT işletim sistemlerindeki zafiyetleri de görüp öneriler alabiliyorsunuz ve bu zafiyetleri kapatmaya çalıştığınız zaman kural tabanlı bir şekilde kesebiliyorsunuz. Bu kayıt sayesinde firewall’a kural önerme politikası uyguluyoruz. Cihazın kural dışına çıkmamasını sağlayabiliyor, böylece onlarca firewall’u direkt olarak kontrol altına alabiliyorsunuz. PAN-OS 10.0 üzerindeki bir diğer geliştirme SD-WAN. Zoom, Outlook365, SalesForce gibi kritik uygulamaları PAN-OS 10.0’da SD-WAN üzerinde hangi hattan gideceğinin kararını verebiliyoruz. Burada SaaS, HTTPS uygulamalarını monitör edebiliyoruz. Bunun sonrasında uygulamaların LTE, ISP 1, ISP 2 çıkıp çıkmayacağı ya da yükün aynı anda dağıtılıp dağıtılmayacağı noktasında Application Level 1 geliştirmesi sağlandı. Bu hem daha iyi bir SD-WAN teknolojisi, hem de kullanıcı için daha iyi, daha kesintisiz uygulama ve performans deneyimi anlamına geliyor. Biz bunu PAN-OS 10.0’da bir geliştirme olarak sağlıyoruz. SaaS uygulamalar artık çok kritik hale geldi. Bunlara çok hızlı bir şekilde erişmek SD-WAN tarafında çok daha kolay durumda. Kubernetes ortamlarında de NGFW çözümlerini kullanmak artık mümkün. Firewall’un kendisi zaten konteynır şeklinde geliyor. Konteynır güvenliği ile ilgili bir görünürlük ihtiyacınız varsa CM firewall’u sunuyoruz. Sonuçta Kubernetes tarafındaki oyuncular size farklı olasılıklar sunuyor. Biz ise kendi içinizde kuracağınız on-premise ortamlarda ya da tamamen bulut tabanlı ortamlarda önemli oyuncularla entegrasyon sağlıyoruz.”

ML korumaya destek veriyor

PANOS 10.0 ile birlikte Inline ML teknolojisi geldi. Vedat Söyleyen, bu teknoloji ile birlikte her saniyenin kendileri için öneminin arttığını vurguladı. Çünkü yeni ve bilinmeyen tehditleri belirmek, durdurmak kurumlar adına büyük bir zorluk. Her yıl milyonlarca siber saldırı, tehdit ortaya çıkıyor ve sürekli olarak bunları engellemek için uğraş veriliyor. Farklı tabanlı kurgularla imzaları atlatabilen saldırganlar, ayrıca otomasyon, ML ve yapay zekanın gücünden de yararlanıyorlar. Bizlerin de kendimizi korumak adına bu teknolojilerden faydalanmamız gerektiğini vurgulayan Vedat Söyleyen, teknik canlı demosu öncesinde dijital etkinlikte şu bilgileri verdi:

“PANOS 10.0 ile beraber daha önce hiç görülmemiş saldırılara karşı yüzde 95 oranında ML teknolojisi beraberinde imzalı bir şekilde koruma sağlayabiliyoruz. Bunu trafikte hiçbir kesintiye mahal vermeden anlık bir şekilde gerçekleştirebiliyoruz. Inline ML teknolojisi ile beraber bunu artık firewall’unuz üzerine alarak yapabiliyorsunuz. Dosya, URL, DNS ataklarına karşı da firewall üzerinde anlık koruma sağlayabiliyoruz. Bilinmeyen dosya tabanlı ataklara karşı ML sayesinde NGFW üzerinde imzasız bir şekilde koruma sağlayabiliyoruz ve bunu çok hızlı bir şekilde, gecikme yaşamadan yapabiliyoruz. İmza tabanlı olmayıp tespit edilen saldırıları karşı koruma sağlayabiliyoruz. Platformlarınızda yapılan analizler gelişmiş malware analizlerini kapsıyor. Sınıfının en iyi tasarımına sahip. Partnerle ortak zeka paylaşımımız sayesinde analizler geliştirilebiliyor. Bilinmeyenin zararlı olduğunun tespitinin ardından saniyeler içerisinde imzalarını geliştirip dünya üzerinde bu imzaya sahip tüm NGFW’lar ile paylaşarak kendimizi koruma altına almış oluyoruz. Bu atak türünün herhangi bir varyantının gelmesi durumunda Inline olarak firewall üzerinde koruma sağlayabiliyoruz. Saldırganlar için en önemli şey; zaman. Gerçek zamanlı update’ler dağıtabiliyoruz. Dünyanın herhangi bir yerinde bir atak geldiği zaman bu atak için geliştirilmiş imzayı 10 saniyeden kısa bir süre içerisinde upgrade edilmesi ve sizin o atağa karşı korunmanız anlamına geliyor. Korumamızı otomatik hale getirmemizin ardından zamanımızı daha iyi şeyler için kullanabiliyoruz. Günümüz internet trafiğinin yüzde 95’i şifreli. Bu şifre çözülmediğinde internet üzerindeki görünürlüğümüzü yüzde 95 oranında kaybediyoruz. Saldırganlar yaptıkları atakların yüzde 70’ini şifreli bir şekilde yapıyorlar. Bu trafiğin şifresini çözmediğimizde ataklar başarılı bir şekilde sonuçlanabiliyor. Bu atakları durdurmak istiyorsak bu trafiğin şifresini çözerek içeriğinde bulunan zararları tespit edip engellememiz gerekiyor. Trafiğin şifresini çözmek zor ve karmaşık, yüksek işlem gücü gerektirmesi nedeniyle maliyetli. Günümüz internet trafiğinin yaklaşık yüzde 23’ü TLS 1.3 destekli bir şekilde gerçekleşiyor.  TLS 1.3 daha güçlü bir şifreleme kullanıyor. Palo Alto Networks de yıllardır şifre çözme konusunda lider durumda. Diğer üreticilerin şifre çözme maliyetleri yüzde 90’a varabiliyor. NGFW’unuzda PAN-OS 10.0 ile beraber bu oran yaklaşık yüzde 30-35 aralığında. Bunu da TLS 1.3 mimarisi sağlıyor. DNS Security gün geçtikçe önem kazandı. DNS türevleri kullanarak verileri çalabiliyorlar. Biz, henüz sorgu aşamasında bunları engelleyebiliyoruz. Bunun için arka planda ML’nin gücünü kullanıyoruz. Bu yüzden hiçbir şekilde NGFW’ı geçerek amaçlarına ulaşamıyorlar. Bu noktada kullanıcılarımızı network’ümüzde otomatik bir şekilde izole edebiliriz. Kurumunuzda yaptığınız tüm DNS sorgulamalarını müteakiben bir görünürlük sağlayabiliyor, hangilerinin domain’e gittiği, hangilerinin zararsız, malware, komite kontrol sunucusunu olduğunu istediğiniz bir şekilde görüntülemesini sağlayıp raporlayabiliyoruz. Burada imza tabanlı güvenlik korumalarının yanında DNS Security imzasız bir şekilde çalışabildiği için sizin diğer güvenlik çözümlerinin önüne geçilmesini sağlayabiliyor.”