18 Haziran 2017 Pazar

Bilgi Güvenliğinin Sıcak Başlıkları

6-8 Haziran tarihlerinde Londra'da düzenlenen InfoSec Europe konferasına katılma fırsatım oldu. Startup'lar dahil olmak üzere her ülkeden birçok güvenlik firmasının güvenlik ürünlerini anlattığı ve bunun yanında çeşitli vizyon sunumlarının olduğu bir etkinlikti. Tüm güvenlik sektörü tek çatı altında toplanınca bilgi güvenliği sektörünün mevcut durumu hakkında gözlem yapma imkanım da oldu. 2009 yılında güvenlik alanında çalışmaya başladığımda InfoSec'e katılmış olsaydım sanırım sadece firewall ve antivirus firmalarını görürdüm. Ama geçen zaman içinde neredeyse nefes alırken bile interneti kullanmamız ve sistemlerin karmaşıklaşmasından dolayı bilgi güvenliği alanında ki ihtiyaçlar Moore Yasası'ndan bile daha hızlı artmaya başladı. Peki bu ihtiyaçlar göz önünde bulundurulduğunda bugün bilgi güvenliği dünyasında en çok konuşulan, merak edilen ve çözüm geliştirilen konular neler olabilir?

1-Cloud

Teknolojinin gelişimine ayak uydurmaya çalışmak kurumları kendi iş alanlarına odaklanma konusunda zorlamaya başladı. Bu yüzden kurumlar, IT yönetimini dış kaynağa vererek kendi işlerine daha fazla zaman ve kaynak ayırarak rakiplerine karşı avantaj sağlamak istiyorlar. Durum böyle olunca da cloud hizmetlerine yönelmeye çalışan kurumlar güvenlik kaygısıyla istedikleri aksiyonu alamıyorlar. Verilerin kontrolünü bir başkasına vermek haklı olarak kurumları cloud hizmetine yönelmekten alıkoyuyor. Bu nedenle güvenli bir cloud hizmeti alınmasını sağlamak için firmaların ciddi çalışmalarının olduğunu ve ürünlerine olan ilginin oldukça fazla olduğunu söyleyebilirim. Ayrıca vizyon sunumlarında cloud konusunda düzenlenen oturumlar ve söyleşilere olan ilginin fazla olması da kurumların kaygılarını ve çözüm arayışı içinde olduklarını gösteriyor. Ancak dikkatimi çeken bir nokta oldu. Yandex, Microsoft gibi firmaların CISO'larının katıldığı bir panelde cloud güvenliği tartışıldı. İnteraktif olarak dinleyicilerden bir ankete katılmaları istendi. Anketteki soruları gördüğümde çıkacak sonucu hemen tahmin etmeye çalıştım. Benim tahminlerim şu şekilde oldu: 

    Soru 1 - Cloud'u güvenli buluyorum: %15
    Soru 2 - Cloud'u güvenli bulmuyorm: %65
    Soru 3 - Entegrasyona göre değişir:  %20

Sonuçlar açıklandığındaki şaşkınlığımı itiraf etmeliyim. Sonuçlar aşağıdaki gibiydi: güvenli bulanların oranı %50, entegrasyona göre değişir diyenlerin oranı %27, güvenli bulmayanların oranı ise %23. Açıkçası hiç beklemediğim bir sonuçtu. Bu sonuçların analizini şu şekilde yapıyorum. Teknolojinin gelişimine ayak uyduramayan firmalar aynı şekilde artan siber tehditlere karşı da kendilerini savunamıyorlar. Bu nedenle artılarını eksilerini analiz ettiklerinde cloud'un daha güvenli olabileceğini düşünüyorlar. Bu anketi Türkiye'de yapsak sonuçların tam tersi yani tahminlerime yakın çıkacağı kanısındayım. Ancak zaman içinde aynı algının bizde de bu şekilde oluşacağını öngörüyorum. Çünkü Dünya bir yöne giderken bizim ters yöne gitmek için direnç göstermemiz pek mümkün ve sürdürülebilir değil.

Bu arada benim oyum "cloud'u güvenli bulmuyorum"du. :)


2-Artificial Intelligence / Machine Learning (AI/ML)

AI/ML sadece siber güvenlikte değil hayatın ve teknolojinin her alanında beklenenden daha fazla kullanılmaya ve etki etmeye başladı. Buna sebep olarak üretilen verinin artık geleneksel kurallarla veya analiz yöntemleriye anlamlandırılıp iş akışlarına dahil edilememesi gösterilebilir. Bu iş akışlarından biri de tabiki bilgi güvenliği. Sistemlerde üretilen dataların miktarı arttıkça bunları anlayıp çeşitli korelasyonlarla siber olayları tespit etme işlemi bekleneni karşılamamaya başladı. Bu yüzden sistemdeki verileri kendi kendine öğrenme, değerlendirme, analiz etme ve organize etme yeteneği sonucunda siber olayları tespit eden hatta aksiyon alan algoritmalara ihtiyaç doğdu. İhtiyacın artmasıyla birlikte güvenlik firmaları da bu alana yönelmiş durumdalar. Veriyi işleyip siber saldırıların tespitinde insan faktörünü en aza indirerek daha doğru ve gözden kaçmayan sonuçlar elde etmek istiyorlar. AI/ML ile daha sık karşılacağız gibi duruyor.

3-GDPR / KVKK

Bir diğer çok konuşulan ve ilgi gören konu ise GDPR, bizdeki karşılığı KVKK diyebiliriz. Kişisel verilerin korunması konusunda Avrupa'da 1995 yılından beri yürürlükte olan veri koruma kanunu Türkiye'de 2016 yılında yürürlüğe girdi. Bunun yansıması olarak kişisel veri işleyen kurumlar veri sahibine karşı tüm sorumlulukları yerine getirmek için çalışmaya başladılar. GDPR için Avrupa'da 1995 yılında çıkan veri koruma kanunun güncel hali ve daha ciddi yaptırımların yer aldığı bir düzenleme denilebilir. Örneğin, GDPR'da en fazla dikkat çeken başlık siber vaka ile karşılaşan kurumların bunu bildirme zorunluluğu. Bu madde dolaylı olarak kurumları veri güvenliğini sağlamak için süreç ve teknolojik çözümler aramaya itiyor. Avrupa'da GDPR, Türkiye'de KVKK bilgi güvenliği sektörünü bir çok yönden hareketlendirmeye başladı. 

KVKK için detaylı bilgiye www.kisiselverikanunu.com adresinden ulşabilirsiniz.

4-Sosyal Mühendislik

Kurumların aldığı güvenlik önlemleri artmaya başlayınca saldırganların da bu önlemleri atlatmak için harcadıkları çaba ve zaman aynı şekilde artıyor. Bunun farkında olan saldırganlar doğrudan insan faktörünün devreye girdiği sosyal mühendislik ataklarına yönelmeye başladırlar.  E-mail ile oltalama yöntemini yoğun olarak kullanmalarından dolayı kullanıcı farkındalığını artırmak için oltalama simulasyonu yapan firmaların sayısı artmaya başladı. Şimdilik senaryo oluşturup bu senaryoların sonuçlarını takip etme şeklinde basit bir mantığın üzerine otursa da farkındalık cephesinde farklı uygulamaların geleceğini ve gelmesi gerektiğini düşünüyorum. Sosyal mühendislik ve farkındalık konusunda bir diğer ilgimi çeken konu da en zayıf halka olarak insanları belirleme düşüncesinin artık değiştirilmesi gerektiği ile ilgili bir sunum olmasıydı. Bu sunumun adı "People: The Strongest Link"di. Aynı düşünceye sahip olduğum birilerini görmek güzeldi. Bu konuyla ilgili birkaç ay önce yazdığım "Zincirin En Güçlü Halkası Sensin" yazısına da buradan ulaşabilirsiniz.

***

Vizyon sunumlarından alıntılar: 

  • Everything works with computer. So, computer security becomes everything security. (Bruce Shinecer)
  • It takes an attacker longer to organize your data than it takes them to get it.
  • CISO'ların yıllara göre odaklarındaki değişiklikler:
              v1.0 Teknoloji
              v2.0 Süreç
              v3.0 İnsan
  • Siber vaka yönetiminde iyi-kötü kararlar yoktur, en az kötü - en çok iyi kararlar vardır.

Türk firmaların yaşattığı gurur:

500'den fazla firmanın içinde iki Türk firması Picus ve Atar'ı görmek oldukça mutluluk vericiydi. Umarım bu sayımız daha da artar.