Riskleri bilmek artık yetmiyor!

ADEO Genel Müdürü Selçuk Ekin’e göre, çeşitlenen risk dünyasında yönetilen güvenlik hizmetlerine bakış da pozitif anlamda gelişiyor. Ama şirketlerin güvenlik başlığında dış kaynak kullanımına hala mesafeli durması, proaktif savunmanın da önünü kesiyor.

Son dönemde küresel bazda olduğu gibi Türkiye’de de yaşanan hedefli saldırılar, güvenlik farkındalığını önemli ölçüde artırıyor. Siber saldırı tehdidi yaşamış kişiler ve kurumlar, deneyimlerini yoğun şekilde paylaşıyor. Bu tespiti yapan ADEO Genel Müdürü Selçuk Ekin, BThaber 3G1K buluşmasında BThaber Yayın Koordinatörü Ayhan Sevgi, BThaber Ankara Temsilcisi Sedef Özkan ve BThaber Editörü Handan Aybars’ın sorularını yanıtladı. Kamunun ilgili birimlerinin sundukları rehber ve yönetmeliklerin farkındalığı pekiştirdiğine işaret eden Selçuk Ekin’e göre, evet farkındalığa varıyoruz. Ama kötü olayların başına geldiği kişi haricindekiler aksiyona geçme konusunda yavaşlar. “Farkındalıkla aksiyona geçme arasında bir uyum yok” eleştirisini yapan Selçuk Ekin, güvenlik başlığında bütünsel bakış açısı, entegre mimarinin önemi ve Palo Alto Networks işbirliği odaklı soruları yanıtladı:

Corona, güvenlik süreçlerini ve ihtiyaçlarını nasıl değiştiriyor, dönüştürüyor?  

Normalde siber saldırı ve suçlarla ilgili vaka sayısı yüzde 25 ila 50 artış gösterir; ama sadece pandemide yüzde 560 artmış. 4-5 aylık bir süreçten bahsediyoruz. Oltalama e-postaları ile ilgili saldırganların çok güzel kullanabilecekleri başlıklar var. “Aşı çıktı mı?” “Maske satıyorum” gibi ifadeler saldırı noktalarını artırdı. Pandemi sürecinde kendi çalışma ortamlarından çok daha rahat çalışabilen kötü adamlara karşılık, biz de uzaktan çalışmaya geçerek, onların saldırı yüzeylerinin artmasına sebep olduk. Çünkü evden çalışma ile siber saldırının geleceği yüzey çok büyüdü. Kullanıcının bilgisayarını eve gönderdik. Kullanıcı kurum bünyesinde alacağı güncellemeleri daha nadir almaya, evde kendi bireysel internetini kullanmaya başladı. Bilgisayarını belki eşi ve çocuğuyla paylaşmak durumunda kaldı. Saldırı noktalarının yüzeyi arttıkça, saldırılar ve bu saldırıların başarı oranı arttı. Bireysel kullanıcıyı korumak çok kolay değil. Saldırıya daha açık bir alan meydana getiriyoruz; ancak o kullanıcıyı siber güvenlik anlamında izlememiz, kurumsal güvenlik stratejisini o kapılara kadar genişletmemiz gerekiyor.

Yönetilen güvenlik hizmetlerine yönelik ilgi nasıl?

Yönetilen güvenlik hizmetlerine bakış pozitif anlamda gelişmeye devam ediyor; ancak bu yapıya geçiş aşaması kadar hızlı değil… Şirketler bu konuda dış kaynak kullanımına biraz mesafeli bakıyor. Bunun onlara net şekilde anlatılması lazım. Farkındalık ve bilgi düzeyi arttıkça, bu koruyucu tutumdan biraz daha uzaklaşacağız; ama son zamanlarda yönetilen güvenlik hizmetleri yelpazesinin genişlemesi ve yaşanan saldırılar; işletmelerin bu hizmetlere talebini artırdı. Yönetilen güvenlik hizmetlerinde en önemli sorun ise yetişmiş insan kaynağı problemi. Siber güvenlik uzmanı yetiştirmek anlamında devlet ve özel destekli programlar var; ama hala ihtiyacı karşılayacak düzeyde değil. Yetkin ve yetişmiş insan ihtiyacını her kurum kendi bünyesinde bulamıyor. Kurumun dört tane siber güvenlik uzmanı yetiştirmesi gerekli olmayıp, bu desteği dışarıdan alması gerekebilir. Yetişmiş siber güvenlik uzmanı yetiştirmek, bunları konumlandırmak ile ilgili büyük derdimiz var. Siber güvenliğin ardında çok farklı bölümler var. Hangisinin yetişmiş elemanını bulacaksınız? Ağ güvenliği mi, yoksa bulut güvenliği mi sağlanacak? İçeride Kırmızı Takım mı, Mavi Takım mı, yoksa ikisinin de ortak çalıştığı Mor Takım mı kurulacak? KVKK, GDPR gibi regülasyonlara bakan bir ekibi mi kuracağız? Bu insanları aynı bilgi seviyesinde tutmanız lazım. Dışarıdaki saldırılar değişiyor, çeşitleniyor, artıyor. İçerideki eğitimleri gerçekleştirerek bu bilgi düzeyinizi artırmanız lazım. Hacker’lar için gelişen bu teknolojileri, biz de kendi tarafımızda geliştirmeliyiz.

Güvenlik ekibinin BT ekibinden ayrılmasının da herhalde bunda etkisi olacaktır.

Evet ve bu yaklaşım artık değer görmeye, kurumlar bu anlamda kararlar almaya başladı. Büyük kurumlar, işletmeler bunu yapıyorlar; ancak bunun sayısının daha da artması, güvenliğe artık biraz daha çatıdan, yukarıdan bakılması gerekiyor. Güvenliğe dokunan şey, tüm işletmenizin altyapısını da, finansa da, hukuka da dokunuyor.

Palo Alto Networks ile işbirliğinde hedefleriniz neler?

‘Uç noktada siber güvenlik müdahalesi’ kavramına Palo Alto Networks, kendi ürünlerinde daha bütünleşik bir bakış açısıyla yaklaşmış. “Sadece uç noktaya değil, ağ ve bulut tarafını da izleyeceğiz. Bunların hepsini bütünleşik bir ekrandan sunacağız. Bu işlerde makine öğrenmesi kullanacağız” dediğiniz zaman XDR ile gelişmiş müdahale ve tespit mimarisini görüyorsunuz. Biz de kendi içimizde uzun bir süre bunu kullandık. Kendi verdiğimiz MDR, yani yönetilen tespit ve müdahale hizmetini MXDR’a dönüştürdük. Sadece uç nokta değil, ağ ve buluta da bakacağız, bütünleşik bir yapıdan bu yönetim ve servisi sunacağız. Saldırıya uğrayan kurumda olayın nasıl, ne zaman, hangi açıkları kullanarak gerçekleştiği sadece bir başlangıç. Ardından temizlik yapmak, onları dışarı atmak gerekir. Bu temizlik ihtiyacı ile sadece siber güvenlik uzmanlarının çalışması yetmiyor. Sistemin sıfırdan ayağa kaldırılması için operasyon uzmanları da işin içerisine giriyor. Çünkü belki bulutu yeniden yapılandıracaksınız. Hedefli saldırıların tamamının şifrelendiğini görüyorsunuz. Düzgün bir altyapınız varsa geri dönüşünüz bir nebze kolay. Ancak yoksa, bu yapının sıfırdan kurulmasında siber güvenlik uzmanlarının yanında operasyon uzmanlarına da ihtiyacınız var. MXDR içerisinde hem bu teknolojiyi hem de bu işi yıllardır yapan analistlerin bilgi ve becerilerini buluşturuyoruz. İç operasyonu dahil ederek bir MXDR servisi ortaya çıkarıyoruz. Dolayısıyla Palo Alto Networks ile işbirliğimiz bizim için çok değerli. Bu işbirliğini açıklayalı bir ay oldu; ama hem verdiğimiz hizmetler, hem ekibin genişletilmesi anlamında çok hızlı ilerliyoruz.

MXDR, geleneksel güvenlik merkezini nasıl değiştirecek? 

Güvenlik operasyon merkezini kullananlar da bu merkezi hiç kullanmamış olanlar da MXDR ihtiyacı içerisindeler. Güvenlik operasyon merkezi yaklaşımı, genel olarak uyarı tabanlı bir yaklaşım. MXDR yaklaşımında bir süreç ilerletmeye çalışıyoruz. Bu süreç, “erken tespit” ile başlıyor. “Uyarı” ve “yok et” ile devam ediyor. “İyileştir” ile sonlandırıyoruz. MXDR’da sadece uyarı yok, müdahale var. Güvenlik açığı ve içeri sızıldığı görülürse buna müdahil olarak sistemin temizliğini yapıyorum. Aynı açıkları kullanarak saldırganların içeri girmesini engelleyecek iyileştirme adımlarını atmaya çalışıyorum. Saldırılar para elde etme güdüsüyle ve hedefiyle ilerliyor. Otomatize olmayan saldırılar karşısında sadece otomatize uyarılar verilen sistemlerimizle ilerleyemeyiz. Haklayıcıların saldırı adımlarını bilen birini karşısına yerleştirmemiz gerekiyor. MXDR sürecinin içerisinde savunma yapacak insanın alacağı aksiyonlar ve karşı tarafa vereceği tepki çok daha değerli.

Saldırıları öngörmek açısından yapay zeka bu işin içerisine girmeye başladı mı?

Yapay zeka bu işe girdi, girmek zorunda. Cortex XDR, bizim kullandığımız araçlar da aslında yapay zekayı kullanıyor. Büyük saldırı gruplarının davranışları, ayak izleri neredeyse aynı. Yapay zeka bu saldırıları takip ederek bir anomali olduğunu söylüyor. Yapay zekayı hem analistlerin bilgi ve becerileri, hem de siber istihbarat konusu destekliyor. Siber istihbarat ile saldırı adımları takip edilerek saldırının bize gelmeden önlenmesine olanak tanıyacak.

Hangi ölçekteki firmalar bu hizmete yönelmeli?

Küçük bir işletme olmasına rağmen verisi değerli olan, koruması gereken şirketler var. Bu noktada küçük işletmenin MXDR alması önemli. Çok büyük şirketler bu anlamda yatırımlarını yapıyorlar; ancak sadece kamera almak değil, alınan kamerayı izlemek, onunla ilgili aksiyon almak da işin içerisine dahil oldu. Hizmet verdiğimiz kurumlar arasında 40-50 bin müşterisi olanlar da var, 150 müşterisi olan da… Bu anlamda MXDR’ın sadece “enterprise”a yönelik bir uygulama, hizmet olduğunu söyleyemiyoruz.

Kamunun güvenliğe yönelik yaklaşımını nasıl değerlendiriyorsunuz? 

Türkiye Siber Güvenlik Kümelenmesi üyelerinden biriyiz ve orada çalışmalar yapıyoruz. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin aldığı aksiyonlar, çıkardığı yönergeler farkındalığı artırıcı. Siber güvenlik konusu artık çok daha önemli bir yerde ve önemsenir durumda. Kamunun ayırdığı bütçeden de bunu anlayabiliyoruz. Süreçlerden dolayı kamuda biraz daha yavaş olmasına rağmen, aksiyonlar alınmaya başlandı. Türkiye’de ve dünyada kamuya yönelik siber saldırı artışı var. Ancak motivasyonlar farklı. Özel sektördeki siber saldırıların motivasyonları, yüzde 75-80 oranında para kazanma odaklı. Kamuya yapılan saldırılar ise daha çok bilgi edinmeye yönelik. Yaptığımız araştırmalar, incelediğimiz dokümanlara bakıldığında, bunların yabancı devlet destekli saldırı gruplarının işleri olduğunu görüyoruz. Kamu kurumlarındaki bilgilere sızıp, bunları kendi lehlerine kullanmak istiyorlar. Kimsenin varlıklarını tespit etmelerini istemezler, hiçbir yeri şifrelemezler. Ancak oradadırlar. Sektörün “Compromise Assessment” adlı bir servisi vardır. İçerisinin temiz olup olmadığına bakar. Temizse, korumaya devam edilir. Henüz sızma olmamasına rağmen içeride bir faaliyet olduğu takdirde ise o noktada aksiyon almamız, kamu tarafında biraz daha hassas davranılması gerekiyor. Biz de müşterilerimizle birlikte bunun üzerinde çalışıyoruz. İçeri sızmaları belki aylar alıyor; ama sızmaları büyük dert olabilir. Önlemlerin alınması şart.

2021 öngörüleriniz neler?  

Siber güvenlik çok aktif, değişken bir süreç. Saldırılar, saldırı teknikleri, verdiğimiz açıklar anlamında her sene farklı konu başlıkları ile karşılaşıyoruz. Siber güvenlik artık büyük bir başlık. Bir CEO’nun bu işe, bu gözle, ‘BT’nin bir departmanı’ olarak değil, tüm kurumu etkileyen bir başlık olarak bakması lazım. Bu başlık, finansınızı, üretiminizi, dışarıdaki saygınlığınızı etkiliyor. Önerim şu: Siber güvenlik çok büyük bir başlık ve artık bir ‘BT departmanı’ değil. Bu yaklaşımla ilerlendiğinde farkındalık da, alınacak aksiyonların sayısı da artacak. Buraya daha detaylı bakmaya ve daha detaylı çalışmaya başlayacağız ki, sonra ne olması gerektiğini göreceğiz.