2022 yılında olduğu gibi, bu yıl da saldırı türlerinin daha da karmaşık hale geleceğini vurgulayan Picus Security CEO’su Alper Memiş, “CISO’ların bu saldırılarla mücadelede varsayımlarla değil geleneksel yöntemlerin dışına çıkarak hareket etmeleri gerekecek.” dedi.
2022 yılına baktığınızda CISO’ları en çok yoran konu başlığı sizce neydi? 2023 yılında nasıl bir trend görüyorsunuz?
CISO’lar, bir kuruluşun güvenlik mimarisinin verimliliğini ve etkinliğini sağlamak ve güvenlik yatırımlarının getirisini (RoSI) kuruluştaki tüm paydaşlara açıkça iletmekle görevlidirler. Ancak siber tehditlerdeki artış ve bunların işletme geliri, üretkenliği ve itibarı üzerindeki yıkıcı etkileri, siber güvenlikle ilgili endişeleri üst düzey yönetime taşıdı. Bu tür gereksinimler de CISO’ları, gerçek zamanlı ve sürekli olarak kurum ve kuruluşların siber saldırılara karşı güvenlik duruşunun ölçülebilmesini sağlayan Siber İhlal ve Saldırı Simülasyonu (Breach and Attack Simulation – BAS) araçlarına yatırım yapmaya yönlendiriyor. Bu durum, özellikle büyük kuruluşların BAS çözümlerini benimsemesindeki büyük artışı da açıklıyor.
2023 yılında da geçtiğimiz yıl karşımıza çıkan saldırı türlerinin daha da karmaşıklaşarak faaliyetlerine devam edeceklerini söyleyebiliriz. Bunlara; web uygulama atakları, veri sızdırma atakları, zafiyet sömürü atakları, APT atak kampanyaları, hedefli oltalama saldırıları ve fidye zararlıları ve arka kapı yazılımları gibi zararlı yazılımlar örnek verilebilir. CISO’ların bu saldırılarla mücadelede varsayımlarla değil geleneksel yöntemlerin dışına çıkarak hareket etmeleri gerekecek.
Bir siber tehdit vakasında, olayı anlamak ve yanıt verebilmek çok önemli. Bu çerçevede Picus Security nasıl bir fayda sağlıyor?
Siber tehditler söz konusu olduğunda pek çok kurum hala varsayımlarla hareket ediyor ve çok sayıda güvenlik ürünü ile birlikte yılda bir kaç kez sızma testleri yaparak yüzde 100 koruma elde edeceklerini düşünüyor. Oysa bu önlemler faydalı olsa da asla yeterli olmuyor. Örneğin, dünyadaki en iyi sızma testi ekibine test yaptırsanız ve test sonucunda tespit edilen tüm bulguları kapatsanız bile, test yapıldıktan sonraki dönemde sisteminizdeki ufak bir değişiklik, örneğin dışarıya açık bir web sitenize yeni bir web sayfası eklenmesi dahi sistemlerinizin hacklenmesine sebep olabiliyor. Bütün bunlara ek olarak, güvenlik ortamlarının artan karmaşıklığı ve siber güvenlik alanındaki personel eksikliği göz önüne alındığında, bilgi sistemlerimizi ve ağlarımızı geleneksel yaklaşımlarla güvende tutmak her geçen gün daha da zorlaşıyor.
Biz Picus olarak, tam da bu noktada önemli bir çözüm sunuyoruz. Picus platformumuz, siber güvenlik yatırımlarınızın etkinliğine ilişkin kanıtlar sağlayarak bu yatırımlarınızın etkinliğini artırmanız, ayrıca otomatik ve sürekli bir şekilde daha tehdit merkezli olmanızı sağlayarak siber savunma yeteneklerinizi güçlendirebilmeniz ve ölçeklendirebilmeniz için geliştirildi. Yaklaşımımız sayesinde, güvenlik ürünlerinizin beklendiği gibi çalıştığını varsaymak yerine en güncel siber tehditlere karşı doğrulama yapmaya başlayabilirsiniz.
Teknoloji liderlerinin en büyük sorunlarından biri de regülasyonlar ve uyumluluk. Siber güvenlik ve veri koruma ile ilgili endüstri düzenlemelerine uyumu nasıl sağlıyorsunuz?
Siber güvenlikte regülasyonlara hızlı bir şekilde uyum sağlamak kurumlar için bir zorunluluk, ancak çoğu zaman ilgili regülasyonlara adapte olmak kurumlar için bir mücadeleye dönüşebiliyor ve uyumluluk süreçleri de oldukça yorucu olabiliyor. Picus çözümleri kurumların güvenlik kontrollerinin etkin olduğunu teyit ederek en son güvenlik regülasyonları ve standartlarıyla uyumlu olduklarını kanıtlamalarına yardımcı oluyor.
Şirketlerin en büyük sorunlarından biri de kendi siber güvenlik durumlarını öğrenebilmek. Bu çerçevede sizin puanlama sisteminiz onlara nasıl fayda sağlıyor?
Karşılaşılan riskleri sürekli değerlendirerek buna göre savunmayı güçlendirecek aksiyonlar almak ve tehdit odaklı bir yaklaşım benimsemek siber saldırılara karşı kurumlara avantaj kazandırıyor. Picus platformu da kullanıcılarına bu olanağı sağlıyor. Biz Picus olarak, kritik güvenlik açıklarını hackerlar tarafından aktif olarak kullanılmadan önce tespit edebilmenin ve bu açıkları kapatabilmenin bir yolu olarak sürekli ve otomatik doğrulamanın her modern güvenlik ekibi için bir zorunluluk olduğuna inanıyoruz. Picus platformunu kullanarak bir siber güvenlik ihlali olmadan önce sürekli ve proaktif olarak güvenlik duruşunuzu iyileştirmeniz ve siber dayanıklılığınızı artırmanız mümkün. Üstelik Picus’un sunduğu çözüm sayesinde tamamen bilgiye ve kanıtlara dayalı bir güvenlik yaklaşımına geçerek, milyonlarca dolar harcanan siber güvenlik araçlarının nasıl çalıştığını bilerek, güvenlikle ilgili riskleri daha proaktif bir şekilde yönetmek de mümkün olacağından, büyük bir avantaj elde ediliyor.
Özellikle üst yönetim ile görüşürken, endüstri standardı puanlamaların ardında kalan teknoloji liderleri bütçe görüşmelerinden bu skordan yararlanabilir mi?
Elbette. Picus olarak bir kurumun herhangi bir zamanda ne kadar güvende olduğunu tespit edebilmek için güvenlik profesyonellerinin karşılaştıkları riskleri tam olarak bilmeleri gerektiğini söylüyoruz. Bu kapsamda sorulması gereken önemli sorulardan birisi “Güvenlik harcamalarına yaptığımız yatırımın karşılığını alıyor muyuz?” olmalı. Çünkü güvenlik harcamalarına yapılan yatırımın miktarı ile tam korunma sağlanması arasında bir bağ yok. Dahası Gartner’ın araştırmasına göre her on yönetim kurulu üyesinden dokuzu siber güvenliği bir iş riski olarak görüyor. Picus platformunun sağlayacağı bilgi ve kanıtlarla kesin olarak hangi alanlarda nasıl adımlar atılması gerektiğini bilerek, proaktif bir şekilde güvenlik ihtiyacının yönetilmesi mümkün olacağından, bu alanda yapılacak yatırımlarla ilgili bütçe görüşmelerinde CISO’ların mutlaka faydalanabileceklerini söyleyebiliriz.
Siber güvenlik skorunun artırılması noktasında siz bir danışmanlık veriyor musunuz?
Kuruluşunuz için genel bir güvenlik skoru da içeren gerçek zamanlı ölçümler sağlayan Picus, performansınızı ölçmenize ve katma değerinizi ortaya koymanıza yardımcı oluyor.
Picus platformu, kullanılan tüm ağ güvenliği, SIEM ve EDR araçlarını doğrulayarak genel bir skor belirliyor ve savunma yeteneklerinin bütünsel bir görünümünü sağlıyor. Bu, mevcut ve yeni ortaya çıkan tehditleri tespit etmek için yatırımların en uygun şekilde yapılandırılmasını, güvenlik kayıtlarının ve telemetrilerin analiz edilmesini ve güvenlikle ilgili tüm olaylarda uyarıların güvenilir bir şekilde tetiklenip tetiklenmediğini doğrulamayı içeriyor.
Picus olarak, belirlenen risklerin hızla ele alınmasına yardımcı olmak için değerlendirme sonuçlarını MITRE ATT&CK ile eşleştiriyoruz ve satıcıya özgü olarak 70 binden fazla önleme ve tespit etme özelliği sunarak güvenlik uzmanlarının kendi risklerini geliştirme ve test etme ihtiyacını ortadan kaldırıyoruz. Çok çeşitli güvenlik ürünleriyle entegre çalışan platformumuz, ayrıntılı performans içgörüleri sağlıyor ve operasyonel verimliliği artırmak için iş akışlarının otomatik hale getirilmesini kolaylaştırıyor.
Gelecek hedeflerinizde neler var? Özellikle global ölçekte neler yapıyorsunuz?
Picus Security olarak, Türkiye’de siber güvenlik alanında baraj kapaklarını açan şirket olmak istiyoruz. Bu yolda hedefimiz, ülkemizin mühendislik ve araştırma yetenekleriyle daha fazla başarılı siber güvenlik şirketi kurulmasına ve ülkemize gelecek yatırımlara öncü olmak. Önümüzdeki dönemde başarılı bir örnek yaratmak üzere araştırma ve geliştirme yeteneklerimizi güçlendireceğiz ve hızlı inovasyon ile küresel büyümemizi hızlandıracağız. Kanal ve teknoloji ortaklarımız ile Amerika, Asya Pasifik, Orta Doğu ve Avrupa pazarlarında varlığımızı güçlendirerek öncüsü olduğumuz Breach and Attack Simulation kategorisine yön vermeye devam edeceğiz.