​Madem haklanmaktan kaçış yok, mimarimiz düzgün olsun!

Güvenlik ve kurumsal BT birimleri birbirini öğrenmeye çalışırken, kurumsal mimarinin her bir tuğlasında güvenliği düşünmek de artık bir gereklilik.
Son dönemde en çok konuştuğumuz konu şu: Riskler artık KOBİ ve evdeki kullanıcı tarafına da yayılıyor ve bu, fidye saldırıları ile oluyor. “Bunu o kadar geliştirdiler ki, ülkeler arasında siber savaşa varan saldırı aracı olmaya başladı” acı gerçeğini paylaşan Innovera Genel Müdürü Gökhan Say’a göre, bugün güvenlikle ilgili problemlerden bir tanesi Bitcoin ile para aklamanın çok kolaylaşmış olması. Bu gibi katlanarak büyüyen riskler, BT birimleri ve güvenlik departmanları arasında ‘olması ve kurulması gereken’ bağ ve Innovera’nın orta vadeli hedeflerini Gökhan Say ile konuştuk:
 
Bitcoin’i nasıl paraya dönüştürüyorlar?
İhtiyaç bile kalmadı ki. Gartner araştırmasına göre, bankalar 2020 yılı itibariyle 1 milyar dolarlık kripto parayı kabul etmek zorunda kalacaklar. Bunun resmi bir hal alması için yasal altyapının kurulmasına da çok fazla yol kalmadığını düşünüyorum. Ama işlem gücünün yeterliliği adına kuantum yapıların belirleyici olacağı öngörülüyor. Sonuçta şifreleme, güvenlik dünyasının en büyük felaketlerinden biri de olabilir. Çünkü IoT tarafında dijital dönüşümü desteklemede en büyük silah şifreleme olarak görürken, teknolojinin ilerlemesi ile bunu da yitirme riskine hazırlanmak lazım. Her alanda yeni teknolojiler ve kuantum bilgisayar geliştirebiliyorsak, bununla beraber bir güvenlik altyapısını da geliştirmek zorundayız.
 
Diğer tehditler neler?
Bir tehdit iş süreçlerine yönelik düzenlenen saldırılar. Virüs sayısı katlanarak artıyor. İçeri giren bir saldırganın içerde kalma süresi ortalama 150 gün. Araştırmalara göre her yıl bu süre azalıyor, ama yine de ortalama 150 gün diyoruz ve oysa 5 gün bile tolere edilebilecek bir şey değil. Haklayıcılar bunu yaparak, herhangi BT altyapısını kullanarak kendi kodlarını içerde geliştirmeye başlıyor, yani bu 100 küsür günde içerde kendi kodlarını yazıyorlar. Maalesef bunu yapmak için yeterli zamanları var. İçeri girdikten sonra haklayıcılara eğitimler bile verildiğini biliyoruz. Yani misal siz bankacılık yazılımında çalışıyorsunuz, siz çalışırken birkaç tane haklayıcı da arkada bir sınıfta gün içinde yapıyı nasıl zayıflatabileceklerine çalışıyor, sınıf yapısında süreçleri izleyip açıkları yakalıyorlar. Sosyal mühendisliğin de ötesi bu teknikle ilerleyip, tüm hareketleri öğrenip bunları kaydedip, saldırı fırsatlarını yakalıyorlar.
 
Peki kurumlar bu gerçeğin ne kadar farkında?
Bu tarz saldırılar çok zorlu ve herkes şunu kabul etmiş durumda: Biz de haklanacağız. Yüzde 100 güvenlik olmadığı gibi, ‘haklananlara’ karşı ‘haklanamayanlar’ devri bitti. Bunun yerine ‘haklandığını bilenler’ ve ‘bilmeyenler’ devri başladı. Bu devrin en kritik konu başlığı da haklandığınızı anladığınız anda nasıl hızlı bir yanıt vereceğiniz. Suçlu sonuçta içerde dolaşacak ve bunu engelleyemeyeceğiz. Asıl önemli olan ise para veya verinin dışarı çıkarmasını nasıl engelleyeceğiniz. Bizim güvenliğe dönüştürmeye çalıştığımız en önemli konu risk yönetimi. Bu noktada da, yüksek veya düşük risk değil, iyi risk ve kötü risk tanımını yapıyor, böylece iş dünyası ile konuşabilir hale geliyorsunuz. Güvenliğin bir sancısı da ‘security by design’, yani tasarımdan itibaren güvenlik algısının çok zayıf kalması.
 
Bu nasıl bir algı değişimi demek?
İş bittikten sonra ‘şunun bir de güvenliğine bakın’ dememelisiniz. Güvenliğin tasarımın içinde olması gerek. İşle ilgili düşündüğünüz her başlıkla ilgili olarak güvenliğini de düşünmek zorundasınız. Güvenlik sadece bilgiyi değil, insanı koruma noktasına gelmiş durumda. Misal, IoT kaynaklı bir hata insan ölümüne yol açabiliyor. Böyle bir dünyada bizim güvenlik olarak farklı bakabilmemiz ve iş dünyasını çok iyi anlamamız, tasarımın içinde yer almamız gerek.
 
Güvenlik yapısı, bu mimari tasarımda nasıl bir yere sahip?
Yıllar boyu geride kalan güvenlik, şu anda açığı kapatıyor. İşin devam etmesini sağlamak birincil görevimiz. Ama yıllarca bunu anlatmayı beceremediğimiz için güvenlik ekipleri hep ‘sevilmeyen’ adamlar oldu. “Güvenlikçiye sorarsak, bu istediğiniz yapılmaz derler, bu da bizim iş yapmanızı engeller” düşüncesi yıllarca hakim oldu. Şirket çalışanı, işini yapıp şirkete gelir getirmesi gerekirken, güvenliği de ‘önünü kesen’ olarak tanımlıyor, mümkün olduğunca güvenliği es geçerek iş yapmaya çalışıyordu. Ama geldiğimiz noktada epey yol kat ettik.
 
Bu bakış tam olarak değişti diyebilir miyiz?
Hayır, ama en azından iki taraf da birbirine yaklaşması gerektiğini anladı. Öyle ki C seviyesinde güvenlik yöneticisi kadar, yönetim kuruluna raporlayan güvenlik altyapıları oluşmaya başladı. Güvenlik, kurumsal BT departmanından farklı bir yapı halini alıyor. Hala aynı dilde konuşuluyor diyemeyiz, ama en azından iki taraf da birbirini öğrenmeye çalışıyor. Çünkü haklayıcılar, iki taraf arasındaki bu kopukluğu çok kullandılar. Haklayıcılar dakikalar içinde bir araya gelebiliyor, uluslararası bağları kuruyor, suç örgütü değil, suç örgütleri konsorsiyumu şeklinde çalışıyorlar. Bizler de böyle bir dünyada açıkları iki taraflı olarak kapatmaya çalışıyoruz. Güvenliği kutu satışıyla sağlama dönemi bitti. Bu da güvenlik başlığında ‘danışmanlık’ desteğinin ve bunun sunumunun öne çıkmasını sağlıyor.  
 
Yeni dönemin temel gerekleri neler?
Güvenlik artık BT mimarisinin her tuğlasında olmak zorunda. Böylece güvenlik kat kat büyümeyi sürdürecek, bankalar ve telekom şirketleri burada öncelikli ve yoğun yatırım noktaları olmaya devam edecek. Güvenlikte bu ciddi büyüme, yıllardır yapılmamış şeylerin açığının kapatılması. Bir risk başlığı da devlet destekli saldırılar. Yani bir devletin bir şirkete saldırması olaylarını çok daha fazla görmeye başladık. Bunlar önlem alınması zor hamleler. Bir ülke ciddi bir saldırı kodu geliştiriyor veya güvenlik açıkları tespit ediyor, üstüne bunlar haklanıp başkalarının eline geçtiği zaman silah da artık her yerde. İşte tüm bu nedenlerle güvenlik, tasarımda doğru bir bütçe ve mimari ile yer almalı. 
 
ATAR (Automated Threat Analysis and Response), milli bir siber güvenlik çözümü ve bu anlattığınız yapıda nasıl bir yere sahip?  
Projeyi Türk Telekom ile geliştirdik ve birçok müşterisi var. Önümüzdeki süreçte birçok yeni banka, telekom ve kamu şirketi de alım aşamasında. Bu çok kritik bir konu başlığıydı ve üç ortak olarak uzun yıllardır gerekliliğine inanarak hedeflediğimiz yapıydı. Haklayıcılar, şirketlerden çok daha yaratıcı. Robotik otomatik saldırılarını geliştirmeye başladılar. Sistemleri körleştirecek biçimde, günde misal 3 bin alarm almaya başladınız ve büyük verinin arattığı karmaşaya güvenlik dünyası hazır değildi. İnsan robotik saldırıya manuel cevap veremez. İşte ATAR’ın çıkış noktası da bu oldu. Yani sayısı binlere ulaşan sahte alarmlara bakmayı ne zaman bırakacaksınız? Bir yerde bırakacaksınız ve ben size orada saldıracağım. İşte biz ATAR’la bu problemi ortadan kaldırdık.
 
Nasıl bir yapısı var ATAR’ın?
Öncelikle, tamamen robotla saldırılara cevap veriyor ve otomasyon bu noktada şart. ATAR’ın otomasyonda iki bacağı var. ATAR saldırıları kendisi analiz eder, bunun gerçek saldırı olup olmadığını anlar, sonrasında da gerekli cevabı üretir. ATAR’da yapay zeka yapısı da hayata geçecek. İkinci kısmı ise ATAR’ın sizi güçlendirmesi, daha hızlı harekete geçmenizi ağlaması. Sizin 4 saatte yapabileceğiniz incelemeyi, ATAR birkaç dakikada yapıyor. Bugünün dünyasında haklanmakla haklanmamak arasındaki farkı, tüm veri merkezi kapsamında birkaç saatten 4 dakikaya indirdik. Ayrıca sizi bir operasyoncu olarak daha da güçlendiriyor, 4 saatlik incelemeyi dakikalara indiriyor, size de karar alanız için gereken veriyi sunuyorum. Birinci modül her şeyi kendi yaptı. İkinci modülde ise ‘bana bilgiyi getir’ diyebilir, siz karar verebilirsiniz. Üçüncü modülünde ise bu operasyonun başarı kriterlerinin konulduğu, bunların izlendiği bir yapı söz konusu. Böylece kendi analizinizi yapıyorsunuz.
 
ATAR ile hedef kitleniz kimler? 
Bunu sadece büyük şirketler için değil, bir güvenlik izleme altyapısı kurmak zorunda olan herkes için tasarladık. KOBİ’lerin yanında, tüm şirketler için ‘ATAR as a service’ yapısını hayata geçirdik. Rakiplerimizden ayrıldığımız en önemli unsur ATAR’ın çok hızlı biçimde konumlandırılıp fayda sağlamaya başlaması. Ürünün doğru çalışması, kolay kullanımı ve çok hızlı fayda sağlaması, yani saldırılara daha etkili yanıt vermesi önemli. ATAR’da her zaman devam edecek bir geliştirme süreci olacak. Çünkü haklayıcılar durmayacak.
 
Peki ya kurumsal hedefler?
ATAR için Diffusion Capital Partners'tan 2,5 milyon avro çekirdek yatırım almasıyla uluslararası ofislerimize de hız verdik. Avrupa odaklı Amsterdam ofisimizin yanında, Dubai’de de satış ekibimiz var ve ofis kuruluyor. Londra’da da çalışmalarımız devam ediyor. Hedefimiz 2019’da ABD pazarı, ama 2018’de EMEA’da yeni ofislerimiz olacak. Önceliğimiz, ABD’den önce EMEA bölgesinde stratejimizi hayata geçirmek oldu ve geri dönüşler olumlu. ATAR Labs, Innovera’dan doğan bir şirket. Innovera’nın en büyük gücü Türkiye’de güvenlik entegrasyonunu bu kadar geniş bir alanda uçtan uca yapabilmesi. Biz küresel bazda önde gelen güvenlik şirketlerini Türkiye’de temsil ettiğimiz gibi ekibimiz de büyüyor. 32 tane üretici ile çalışıyoruz ve ATAR da 33’üncü üreticimiz oldu. Ben ATAR’ın yönetimindeyim, ama Innovera’nın da CEO’suyum. Bu yapı bizim için çok önemli.