Tehditleri bilmek için ölç, tedbir al, optimize et!

Siber Saldırı Simülasyonu teknolojilerinin öncüsü olan ve ‘sürekli güvenlik doğrulaması’ ile BT güvenliğine yeni bir boyut getiren Picus, “Ölç, tedbir al, optimize et!” prensibine dayalı çalışıyor.

Endeavor Global girişimcisi de olan Picus, güvenlikte tarafsız bir yönetim mekanizması sunuyor. Türkiye’de ilk satışlarını birkaç kamu kuruluşu sonrası bazı bankalara yapan Picus, kurumsal güvenlikte açıkları tespit ederek, atılması gereken adımları gösteriyor. Bu yönüyle Picus, hem güvenlik şirketlerine hem de onların ve Picus’un müşterilerine kurumsal güvenlikte SWOT analizi ve üstüne reçete sunumunu, dinamik ve hızlı bir yapıyı, proaktiviteyi sunuyor. Şirketlerin dijitalleşme süreçlerinde siber güvenlik risklerini proaktif olarak yönetebilmelerini sağlamak amacıyla 2013’te kurulan Picus, Gartner tarafından hazırlanan ‘Güvenlik ve Risk Yönetimi 2019’ raporuna girmekle kalmadı. Her yıl inovatif teknoloji ve çözümler sağlayan şirketleri ‘Cool Vendor’ olarak tanımlayan Gartner, 2019’da da Picus’u bu unvana değer buldu. Picus da ‘Cool Vendor’ seçilen ilk Türk şirketi oldu. Son olarak Early Bird’den 5 milyon dolar yeni yatırım alan Picus’un kurucularının temennisi ortak: “Bu topraklardan çıkan en iyi güvenlik firması neden biz olmayalım?’ Picus kurucularından ve CEO’su Hamdi Alper Memiş, Picus kurucularından ve CTO’su Volkan Ertürk, Picus kurucularından Süleyman Özarslan ve Picus kurucularından Aycan İrican sorularımızı yanıtladı:

Sürekli güvenlik doğrulaması ne demek?

Hamdi Alper Memiş: Kurumsal şirketler bir sürü güvenlik ürünü alıyor, tüm kapıları kapattıklarını sanıyorlar. Bir kurumda ortalama 60 tane güvelik ürünü var ve bunların büyük bölümü birbiri ile entegre değil. Tüm bunları yönetmek bu yönüyle apayrı bir sorun. Neyin çalışmadığının farkına varılamıyor ve otomasyonla bu gibi yüklerden kurtulma çabası oluyor. Ama güvenlik dediğinizde, kullandığınız bulutta ayrı bir güvenlik, bireysel bilgisayarınızda işletim sisteminizin güvenliği, mobil cihazınızdaki güvenlik, sanallaştırmanın güvenliği, uzak ofisin güvenliği gibi dikkate alınması gereken çok fazla alan var. Zaten bu yüzden güvenlik uygulamalarınızın sayısı sürekli artıyor. Güvenlik her sektör ve her ölçekte şirket için kritik. Siber güvenlik bizzat yönetim kurulunun gündemi. Ama bütçeden alınan para ile yapılan güvenlik yatırımında atlanan ufak bir konu, birkaç ay içinde bir güvenlik sorununa yol açabiliyor. Bunlar çok gördüğümüz senaryolar. Bu nedenle güvenlik yatırımının faydasını görmek adına sürekli güvenlik doğrulama yapısı, güvenlik yöneticilerinin kendini koruyup, işin düzgün olup olmadığını kontrol eden bir hamle. Bir güvelik pusulanız olmazsa rotanızı bilemezsiniz ve karanlıkta el yordamıyla ilerlemek de katlanan riskler demek. Güvenlik çalışanlarını günlük rutinlerinden çıkartıp, sürekli güvenlik doğrulaması mekanizmasıyla proaktif olmalarını sağlıyoruz. Kurumsal bazda sürekli iyileştirme önemli ve biz de sistemimizle haklanabilecek durumlarını öğrenmelerini ve bu açıklarını kapatmaları için onları yönlendirmeyi önemsiyoruz.

Güvenlik şirketleri ile nasıl bir proaktivite kıyası yaparsınız?

Volkan Ertürk: Güvenlik duvarı ve antivirüs alıp güvende olduğunu düşünenler var. Ama bunların doğru işlediğinin bir garantörü olması lazım. İş hayatında denetim, operasyondan ayrıdır. Denetim bağımsız ve görevler ayrılığı ilkesi bağlamında direkt genel müdür yardımcısına bağlıdır. Biri güvenliği sağlıyorsa birinin de onu denetlemesi lazım ve güvenlik denetimi de bağımsız olmalı. Küresel güvenlik şirketleri her zaman çözümlerini sürekli daha güvenli kılmaya çalışırken, bu teknoloji laboratuvar ortamında evet çok iyi çalışıyor, ama bunu çalıştıran insanın bilgi seviyesini değerlendirdiniz mi? Çünkü teknoloji, kullanabildiğiniz derecede verimli olur. Oysa ürünleri alıp kurduğunuz zaman her şey daha yeni başlıyor. Ekibiniz bu yeni ürünleri nasıl kullanıp değerlendirmesi gerektiğini bilmiyorsa, nasıl fayda elde edersiniz ki? Mesela yanlış konfigürasyonlar güvenlik çözümlerinin devredışı kalmasına neden olabiliyor ve bu da yapılandırma, yani insan hatası demek. Teknoloji insanın istediğini yapar ve insan da bazen bazı şeyleri gözden kaçırabilir. Güvenlikte en zayıf halka insan ve iç müşteri, yani güvenlik ekibinizin farkındalığı burada önemli. Benim zayıf yönüm nedir diyecek bir üst bakışa ihtiyaç var.

Zafiyet yönetimi burada nasıl bir yere sahip?

Süleyman Özarslan: Birçok sektör bağlayıcı regülasyonlar ve düzenleyici kurumların direktifleri paralelinde hareket ediyor. ‘Sistemimiz çalışıyor’ demek ise detaylı bakmayarak risk almak demek. Bu nedenle uygulama ve yama yüklemekten çok daha fazlasından, bir zihin değişiminden bahsediyoruz. Kurumsal departman olarak bir sürü işiniz var ve gerekli özeni her gün gösteremeyebilirsiniz, ama haklayıcının tek işi bu. Şirketler network’te, bulutta, sanallaştırmada sistemlerinde hijyen sağlamaya çalışıyorlar. Bu yönüyle zafiyet yönetimi aslında 20 yıldır hayatımızda. Yeni açıklar hep açılacak. Biz ise evet, bu pürüzlerin hepsini çözmek için çalışalım, zamanında kapatamayacağımızı bilelim, ama tüm yapımızın önünde engeller oluşturabiliriz. Güvenlik teknolojileri de bunu yapıyor, engelleyebildiğini engelliyor, bunu yapamadığını da tespit ediyor. Biz bu yapbozun bu eksik parçasını tamamlıyoruz.

Böylece sürekli güvenlik doğrulama mekanizması mı hayat buluyor?

Aycan İrican: Evet, içerde kaç ürün ve hangi amaçlar için var bizim için önemli değil. Biz de bir haklayıcı gibi düşünelim istedik. Yani içeri bir atak yapalım, içine bir bileşen koyalım, atağı yapan Picus’un yazılımı. İçerde saldırının hedefi olan kısım da Picus yazılımı olsun ve kendi kendimizi haklamaya çalışalım. Kendini haklayan yazılımımız ile hacker haklama yapmadan siz onun simülasyonunu yapıyor, haklanırsanız ne olacağını görüyorsunuz. Bu simülasyon tekniğimiz otomatik işliyor. Türkiye’de bunu yapan ilk şirketiz ve küresel bazda da 4 şirket var. Bu yapıyı yaratarak Gartner’da ‘attack simulation’ isimli bir dikey oluştu. Sürekli güvenlik doğrulama mekanizmasını hayata geçirdik. 2013 yılında ODTÜ’nün hızlandırma programını kazandık, 1 ay ABD’de kaldık, yatırımcılarla da görüştük. Hatta görüştüğümüz bir şirket kısa zaman sonra bizim gibi bir şirket kurdu, ABD’de büyük yatırımlar aldı ve 3 ay önce de satıldı.

Başka hangi ülkelerde varsınız?

Aycan İrican: İngiltere’de bir, İtalya’da iki çalışanımız var. Her ülkede şirketleşmedik. Türkiye ve ABD’de tüzel kimliklerimiz var. Hollanda’da da bir şirket kuruyoruz. Böylece Schengen ülkelerinin hepsinde bordrolu eleman çalıştırabilecek, Avrupa’nın tamamına seslenebileceğiz. İtalya ve İspanya bizim için iyi pazarlar.