Siber güvenlik açıkları tüm ülkeler ve şirketler için oldukça kritik sonuçlar doğurabiliyor, bu nedenle siber saldırılardan korunmak için önemli yatırımlar gerçekleştiriliyor. Ancak yapılan yatırımların miktarı ile güvenliğin tam olarak sağlanması arasında bir korelasyon bulunmuyor. Oysa pek çok kurum yaptıkları yatırımın büyüklüğüne dayanarak gerekli önlemleri aldıkları varsayımıyla hareket edebiliyor.
ICWC - 5th International Cyber Warfare and Security Conference1'ta yaptığı konuşmasında güncel siber saldırılar, tehdit düzeyleri ve siber güvenlik yatırımlarını efektif kullanmanın önemini detaylarıyla anlatan Picus Security CEO’su ve Kurucu Ortağı H. Alper Memiş, siber güvenliğin tam olarak sağlanması için varsayımların ötesine geçilmesi gerektiğinin altını çizerek şunları söyledi: “Güvenlik ortamlarının artan karmaşıklığı ve siber güvenlik alanındaki personel eksikliği göz önüne alındığında, bilgi sistemlerini ve ağları geleneksel yaklaşımlarla güvende tutmak her geçen gün daha da zorlaşıyor. Fakat biz Picus olarak bu durumu değiştiriyoruz. Yaklaşımımız sayesinde, güvenlik ürünlerinizin beklendiği gibi çalıştığını varsaymak yerine en güncel siber tehditlere karşı doğrulamaya başlayabilirsiniz”
Güvenlik zafiyetleri kanıtlara dayalı olarak çok daha iyi anlaşılabilir
Gartner'ın 2021'deki anketine göre, kurumların ve şirketlerin yalnızca %22'si siber güvenlik kontrollerine güveniyor. Ernst & Young’ın araştırmasına göre ise organizasyonların sadece %25’i güvenlik kontrollerinin siber riski azaltmadaki etkinliğini ölçerken, kalan %75 varsayımlara göre hareket ediyor. 2025 yılında siber suçların finans sektörüne olan maliyetinin 25 trilyon doların üzerinde olması beklendiği de göz önüne alındığında durumun vahameti iyice ortaya çıkıyor. Varsayımlara göre hareket edildiğinde yanlış bir güvenlik algısı oluştuğunu ve siber riskleri yönetirken yanlış kararlar verildiğini aktaran Alper Memiş: “Siber saldırganlarla mücadelede daha etkin bir yöntem olarak saldırganlar gibi düşünmek ve daha proaktif olarak tehdit merkezli bir yaklaşıma geçmek gerekiyor. Tehditleri merkeze alarak ve onlara karşı güvenlik duruşumuzu doğrulayarak, zafiyetlerimizi varsayımlardan ziyade kanıtlara dayalı olarak çok daha iyi anlayabiliriz.” dedi.
Tamamen bilgiye ve kanıtlara dayalı bir güvenlik yaklaşımına geçmemiz gerekiyor
Günümüz güvenlik teknolojilerinin çoğu gerçekten iyi ve etkileyici olsa da asıl zorluğun, güvenlik araçlarının operasyonel etkinliğinin yeterince bilinmemesi ve etkin şekilde kullanılamamasından kaynaklandığına değinen Memiş, milyonlarca dolar harcanan siber güvenlik araçlarının nasıl çalıştığını bilmeden, güvenlikle ilgili riskleri yönetmede proaktif olunamayacağını vurguladı ve ekledi: “Çok fazla bilinmeyeni olan siber dünyada, siber güvenliğe varsayıma dayalı bir uygulama olarak yaklaşılması artık yeterli değil. Varsayımlar yerine tamamen bilgiye ve kanıtlara dayalı bir güvenlik yaklaşımına geçmemiz gerektiğine dair açık bir ihtiyaç var.”
Kurumlar ve şirketler düzenli zafiyet taramaları, sızma testleri ve hatta bazen kırmızı takım çalışmaları yürütseler de bunların yeterli olmadığını ifade eden Alper Memiş, “Dünyadaki en iyi sızma testi ekibine test yaptırıp, tespit edilen tüm bulguları kapatsanız bile, test yapıldıktan sonra sisteminizdeki ufak bir değişiklik sistemlerinizin hacklenmesine sebep olabilir. Bütün bunlara ek olarak, güvenlik ortamlarının artan karmaşıklığı ve siber güvenlik alanındaki personel eksikliği göz önüne alındığında, bilgi sistemlerimizi ve ağlarımızı geleneksel yaklaşımlarla güvende tutmak her geçen gün daha da zorlaşıyor. Fakat biz Picus olarak bu durumu değiştiriyoruz. Platformumuzu, hem siber güvenlik yatırımlarının etkinliğine ilişkin kanıtlar sağlamak ve bu yatırımların etkinliğini artırmak hem de otomatik ve sürekli bir şekilde, daha tehdit merkezli olmayı sağlayarak siber savunma yeteneklerini güçlendirebilmek ve ölçeklendirebilmek için geliştirdik” şeklinde konuştu.
Picus Platformu ile sürekli ve proaktif olarak güvenlik duruşunuzu iyileştirin
Karşılaşılan riskleri sürekli değerlendirerek buna göre savunmayı güçlendirecek aksiyonlar almak ve tehdit odaklı bir yaklaşım benimsemek kurumlara siber savaşa hazırlıkta avantaj kazandırıyor. Picus platformu kullanıcılarına bu olanağı sağlıyor. Picus Security, en kritik güvenlik açıklarını, hackerlar tarafından aktif olarak kullanılmadan önce tespit etmek ve bu açıkları kapatabilmek için sürekli ve otomatik doğrulamanın bir zorunluluk olduğuna inanıyor. Picus platformunu kullanarak bir siber güvenlik ihlali olmadan önce sürekli ve proaktif olarak güvenlik duruşunuzu iyileştirmek ve siber dayanıklılığını artırmak mümkün.
1Picus Security, T.C. Cumhurbaşkanlığı Savunma Sanayii Başkanlığı ve T.C. Cumhurbaşkanlığı Dijital Dönüşüm ofisi himayelerinde, Türkiye Siber Güvenlik Kümelenmesi tarafından düzenlenen Siber Güvenlik Haftası’nda Ana Sponsor ve Yaka Kartı Sponsoru oldu. 3. kez gerçekleştirilen Siber Güvenlik Haftası, bu yıl hem ICWC - 5th International Cyber Warfare and Security Conference'a hem de Milli Siber Güvenlik Fuarına ev sahipliği yaptı ve 2 gün boyunca üye firmaların online etkinliklerine de yer verildi. ICWC - 5th International Cyber Warfare and Security Conference'ın Keynote Speakerları arasında yer alan H. Alper Memiş burada yaptığı "Cyberwar is Inevitable; Be Ready by Validating Your Security" başlıklı konuşmasında güncel siber saldırılardan ve siber savaşlardaki tehdit düzeylerinden örnekler vererek, kurumların her türlü tehdide karşı hazırlıklı olması için, güvenlik doğrulamasının neden önemli olduğunu detaylarıyla aktardı. 6 binin üzerinde ziyaretçiyle gerçekleşen Siber Güvenlik Haftası’nın online etkinlikleri kapsamında, Picus Kurucu Ortağı Dr. Süleyman Özarslan tarafından "Ransomware Saldırılarında Kullanılan Teknikler ve Savunma Yöntemleri" webinarı ile Picus Siber Güvenlik Analisti Hüseyin Can Yücel tarafından "Siber Güvenlikte Kırmızı, Mavi, ve Mor Takım Yaklaşımları" webinarı düzenlendi. Her iki webinar da kamu ve özel sektör temsilcileri tarafından ilgiyle takip edildi.
Kaynaklar:
1. Basın Bülteni