Liderlerden Görüşler

Siber güvenlik alanı, her sektörde farklı riskleri ve dinamikleri barındırıyor. Teknolojik gelişmeler ve bu teknolojilerin sektörel kullanımları hem savunma hem de atak biçimlerini dönüştürüyor. Özellikle GenAI’ın giderek benimsenmesi, güvenlik uygulamalarına entegrasyonu ve potansiyel riskleri açısından güvenlik liderlerinin gündemine yerleşti. Bulut bilişimin de dijitalleşmenin demirbaş teknolojisi olması, siber direnci artırmada kritik konular arasında bulunuyor. Sektöründe lider şirketlerin güvenlik uzmanları siber güvenliğin 2024 gündemini, yeni teknolojilerle birlikte siber güvenlik yaklaşımındaki dönüşümleri değerlendirdi…

“Siber direnci artırmak için güvenlik altyapısı güncel tutulmalı ve risk yönetimi uygulanmalı”

Okan Erin – Pazarama Bilgi Güvenliği Direktörü

E-ticaret sektöründe, özellikle bilgi hırsızlığı ve kredi kartı dolandırıcılığı en sık rastladığımız siber güvenlik riskleridir. E-ticaret siteleri, müşterilerin kişisel ve finansal bilgilerini toplayan ve depolayan önemli veri saklayıcılardır. Bu veriler, siber saldırganlar için değerli bir hedeftir. Saldırganlar, bu verileri kimlik avı, dolandırıcılık veya kara borsalarda satış gibi amaçlarla kullanabilirler. Kredi kartı dolandırıcılığı da yine e-ticaret sektöründe en yaygın görülen siber güvenlik tehditlerinden biridir. Saldırganlar, e-ticaret sitelerindeki güvenlik açıklarını kullanarak müşteri kredi kartı bilgilerini ele geçirebilir ve bu bilgileri sahte alışverişler yapmak için kullanabilirler.

2024 yılında ise siber güvenlik alanında öne çıkacağını düşündüğüm konu başlıklarını ise şu şekilde sıralayabiliriz:

• AI ve ML kabiliyetli sistemler siber güvenlik alanında çok daha fazla öne çıkacak.
• Siber güvenlik istihbaratı altında, sosyal medyayı ve trendleri daha sık takip etmemiz gerekecek.
• Müşterilerin ve çalışanların siber güvenlik konusunda bilinçli olması da farkındalık açısından kritik bir konu olacak.

Bulut bilişim ve yapay zeka (AI) teknolojileri de son yıllarda siber güvenlik alanında devrim yarattı ve siber saldırıları tespit etme, önleme ve yanıt verme yeteneklerini önemli ölçüde artırdı. Bulut bilişim, kuruluşlara güvenlik açıklarını daha hızlı ve verimli bir şekilde bulmalarına ve düzeltmelerine yardımcı olan çeşitli güvenlik hizmetleri sunarken, yapay zeka ise siber saldırıları tespit etme ve önleme sistemlerinde etkin bir şekilde kullanılıyor. Bu teknolojileri kullanırken, siber direnci artırmayı da unutmamak gerekiyor. Yeni siber tehditler ortaya çıktıkça, bulut sistemlerinde bunu yönetmek daha kolaydır, fakat hata etkisi de çoktur. Burada kontrollü olmak çok önemlidir. Kuruluşlar, siber güvenlik risklerini tanımlamalı ve bu riskleri azaltmak için önlemler almalıdır. Bunun için de güvenlik altyapısını güncel tutmak ve risk yönetimi uygulamak mutlaka ajandaların ilk sıralarında yer almalı.

Öte yandan, 2023’ün en önemli teknoloji gelişimi olan GenAI, siber güvenlik alanında çeşitli uygulamalar için kullanılabilecek güçlü bir araç ancak modellerin eğitilmesi ve bakımı zor olabilir. Bu modeller yanlış veya yanıltıcı sonuçlar da üretebilir. GenAI, siber saldırıları tespit etmek, güvenlik açıklarını bulmak ve yeni tehditleri araştırmak için kullanılmasının yanında, yeni siber güvenlik tehditleri oluşturma potansiyeline de sahip. Siber saldırıları otomatikleştirmek veya yeni türde kimlik avı mesajları oluşturmak, örnek ataklar olarak verilebilir. Bir siber güvenlik uzmanı, bu faktörleri dikkatlice değerlendirerek, GenAI’ın güvenlik uygulamalarına entegrasyonu için en uygun yolu belirleyebilir ve potansiyel riskleri en aza indirebilir. GenAI, siber güvenlik alanında devrim yaratabilecek güçlü bir teknoloji olsa da bu teknolojiyi güvenli ve sorumlu bir şekilde kullanmak gerekir.

“Verinin çoklu bulut ortamlarına aktarılması, risk değişkenlerinin yeniden tanımlanmasını gerektiriyor”

İlker Çağrı Güven – Pluxee CISO’su

Odağında insan olan her kurumun siber tehditlere dayanıklılığı, yaptığı güvenlik yatırımlarının yanında çalışanlarının farkındalık seviyesiyle de ölçülmeli. Gelişen teknolojilerin iş hayatına adaptasyonunun ve kullanım yaygınlığının artmasına rağmen, insan faktörünün saldırganlar tarafından hala kolay hedef olarak görülmesini, kimlik avı ve sosyal mühendislik oranlarının giderek artmasını üzülerek takip ediyoruz. Buna bağlı olarak, saldırganlar sosyal mühendislik yeteneklerinin yanında, yapay zeka algoritmalarını da kullanarak hedefe yönelik daha özelleştirilmiş saldırılar gerçekleştirmeye başladılar. 

Bu gelişmelerin yanında bulut tabanlı sistemler, API güvenliği ve container güvenliği de yeni yılda ön plana çıkacak diğer başlıklar. Kurumlar tüm bu başlıkları ihtiyaçlarına göre, kapsayıcı değil tamamlayıcı çözümler olarak algılamalı ve siber güvenlik ekosisteminin büyüyen parçaları olarak değerlendirmeli.

Günümüzde kurumların en kıymetli varlıklarının veri olduğu herkesin kabul ettiği bir gerçek. Bu verilerin korunaklı veri merkezlerinden çoklu bulut ortamlarına aktarılması, risk değişkenlerinin de yeniden tanımlanmasını gerektiriyor. Bulut ortamlarında da etkin kimlik ve erişim yönetimi ile çoklu kimlik doğrulama metodları, basit olandan başlamak için ideal seçimler olacaktır.

Yapay zeka destekli davranış bazlı önleme ve simülasyon sistemlerinin lokal ve bulut ortamlarına entegrasyonları da önemli başlıklar. Kurumlar uzun süredir gelişen yeni teknolojilerin yetkin iş gücüne olan ihtiyacını karşılamak adına, yönetilen servis alternatiflerini de değerlendirmeye başladı. Bu noktada SIEM/SOAR & SOC birlikteliğini, EDR/NDR & MDR birlikteliğinin takip edeceğini gönül rahatlığıyla söyleyebiliriz.

“Güvenlik profesyonelleri GenAI destekli sistemleri en az tehdit aktörleri kadar etkin kullanmak zorunda”

Üretken yapay zekanın gelişim eğrisi, bireysel ve kurumsal kullanım yaygınlığının artmasıyla pozitif yönde bir ivme oluşturdu. Üretken yapay zeka sistemlerinin kendi algoritmalarını daha etkin çalıştırabileceği çipleri yine kendileri için tasarladığı bir gündemden bahsediyoruz. Mikro ölçekte bir örnek olarak da kurumlar artık chatbot teknolojilerini kendi verileri ve iç mesajlaşma uygulamaları ile entegre edip siber farkındalık çalışmalarını ve gündelik işlemleri çalışanlarına ulaştırıyor ve kullandırıyorlar.

Tüm bu pozitif gelişmelerin yanında, yapay zeka teknolojilerinin sadece iyi niyetli bir kullanım içerisinde olmadığı, tehdit aktörleri tarafından da kullanıldığı gerçeğiyle de yüzleşmek gerekir. Buna bağlı olarak, güvenlik profesyonellerinin GenAI destekli sistemleri en az tehdit aktörleri kadar etkin kullanmak zorunda oldukları söylenebilir. Çünkü yapay zeka sistemlerinin verimli çalışabilmesinin ön koşulu, makine öğrenme algoritmalarının etkin olmasının yanında, düzenli ve sürekli doğru veri setiyle buluşmasıdır. Yapay zekanın güvenilir çıktılar vermesi tıpkı bir öğrenci gibi eğitime ve gözleme dayalıdır. Elde edilen çıktıların bütünlük ve doğruluğu düzenli olarak değerlendirilmelidir. Bu sistemlerin eğitildiği veri setlerinin, yapay zekanın ürettiği sonuçlara etki ettiğini düşünecek olursak, gizlilik standartlarına uygun bir şekilde korunması çok önemlidir. Tam da burada GenAI sistemleri için etik yaklaşım ve gözetimin önemi yadsınamaz bir gerçek olarak öne çıkıyor.

Sonuç olarak, kurumların yaşayan risk değerlendirme süreçleriyle kendilerini tanımaları, yeni teknoloji yatırımlarına yön vermeleri için kritik öneme sahip. MÖ. 6 yüzyılda Sun Tzu’nun Savaş Sanatı kitabında da dediği gibi “Rakibini ve kendini tanıyanlar için tehlike yoktur. Kendinizi tanımanıza rağmen rakibinizi tanımıyorsanız kazanma şansınız vardır. Karşısındaki gibi kendini de bilmeyenler için tehlike kaçınılmazdır.” 

 “GenAI’ın getireceği avantajlar ve riskler doğru analiz edilmeli”

Halil Çağdaş Darakçı – AgeSA Hayat ve Emeklilik Bilgi Güvenliği Yöneticisi

Siber güvenlik, her geçen gün karmaşık hale geliyor ve sektördeki güncel riskler sürekli evrim geçiriyor. Güvenlik risklerini belirlerken öncelikle tehdit aktörlerinin hangi yöntemlerden daha çok faydalanacağını belirlemek, buna karşı güvenlik alanında çalışan profesyonellerin hangi sorulara cevap aradığını iyi analiz etmesi ve bunların sonucunda da risk haritasının oluşturulması gerekiyor. Sigortacılık sektörünü göz önüne aldığımızda ise 2024 yılında siber güvenlik alanında öne çıkacak başlıkları şöyle sıralayabiliriz: Yapay zeka ve makine öğrenimi tehditleri, daha etkin güvenlik için bulut kullanımı ve mevzuatlar arasında kalma, yazılım güncellemeleri ve güvenlik açıkları, bilgi hırsızlığı ve veri ihlalleri, kuantum bilgisayarlara karşı güvenlik, siber güvenlik uzmanı yetişmişliği, ransomware ve sıfır gün atakları, tedarik zinciri güvenlik riskleri.

Yapay zeka kullanımı noktasında hem tehdit aktörleri hem de güvenlik uygulama üreticileri bir yarış içerisinde. Tehdit aktörleri yapay zekanın gücünden, özellikle sofistike saldırılar gerçekleştirme, fidye yazılımları üretme, oltalama saldırıları oluşturma gibi birçok alanda yararlanıyor. Buna karşın, güvenlik uygulamaları üreticileri de ağ güvenliği, son nokta güvenliği, saldırı tespiti ve aksiyonları, kimlik ve erişim yönetimi, bulut güvenliği gibi alanlarda tehditlere karşı savunma noktasında yapay zekanın gücünü kullanarak ilerliyor. GenAI, güvenlik uygulamalarına entegrasyon konusunda önemli bir potansiyel barındırıyor. Fakat bu entegrasyonlar avantajları ve riskleri de beraberinde getiriyor. Bu noktada performans ve etkinlik, entegrasyon kolaylığı, güvenilirlik ve güvenlik, uyumluluk, veri gizliliği riskleri, güncelleme ve destek, operasyonel verimlilik, maliyet ve getiri analizi gibi başlıklar altında GenAI’ın getireceği avantajlar ve riskler doğru analiz edilmeli.

Bunun yanında, bulut bilişim ve yapay zeka teknolojilerinin yaygın olarak kullanılmasının, siber güvenlik stratejilerini ve direnci daha karmaşık hale getirdiği söylenebilir. Siber direncin artırılması için benimsenmesi gereken etkili bir yaklaşım; bütünlük, esneklik ve sürekli iyileştirmeye odaklanan bir güvenlik çerçevesi oluşturmaktır. Bu çerçevenin temel bileşenlerini ise bütünleşik siber güvenlik çözümleri kullanma, yapay zeka ve makine öğrenimi kullanarak daha hızlı tespit ve aksiyon alma, bulut güvenliği stratejileri oluşturma, sürekli iyileştirme ve güncelleme, bilgi güvenliği farkındalığı eğitimleri, erişim kontrolü ve kimlik yönetimi, siber güvenlik uzmanlarının yetkinliğini geliştirme, olay müdahale planları oluşturma ve uygulama güvenliği oluşturuyor. Bu yaklaşım, siber güvenliği bir süreç olarak ele alır ve organizasyonların sürekli değişen siber tehditlere karşı daha hazır ve dirençli olmalarını sağlar. Her organizasyonun, spesifik ihtiyaçlarına ve endüstri gereksinimlerine uygun bir güvenlik stratejisi oluşturması ve bu stratejiyi sürekli olarak güncellemesi gerekiyor.

“Siber hijyen ve yapay zeka tabanlı savunma sistemleri 2024’ün öncelikleri arasında”

Kuzey Aksu – ATP Yazılım Bilgi Güvenliği Müdürü

2024 yılı için önem arz ettiğini düşündüğüm tehditler uzun yıllardır masamızda. Lakin teknolojinin değişimine paralel olarak bu tehditler de sürekli kendilerini değiştirip yeniliyorlar. Hatta teknoloji sayesinde bilhassa saldırı tabanlı tehditler daha düşük bilgi seviyesindeki saldırganların bile çok karmaşık ve sofistike saldırılar yapmasına olanak sağlıyor. Bunun sonucu olarak, savunma tarafında olan bizlerin işi de daha zor bir hal alıyor. 2024 yılı içerisinde kurumların ana öncelik konusu olması gerektiğini düşündüğüm beş ana konu başlığı ise şöyle;

• Yapay zeka hızla gelişiyor. Bunun sonucu olarak, yapay zeka destekli sofistike siber saldırıların sayıları hızla artarak karşımıza çıkıyor. Bu saldırılar, bireyleri hassas bilgileri ifşa etmeleri için kandırmak adına kullanılan deepfake saldırıları, tespit edilmekten kaçınmak için tasarlanmış uyarlanabilir kötü amaçlı yazılımlar gibi geniş bir yelpazeden oluşuyor. Bununla birlikte, savunma tarafında ise gerçek zamanlı anomali tespiti, akıllı kimlik doğrulama ve otomatik olay müdahalesi gibi çözümlerin de dahil olduğu yapay zeka temelli yeni nesil siber güvenlik çözümlerinin, üreticiler tarafından savunma ekiplerinin kullanımına sunulması, tabir yerindeyse bu sonsuz mücadelede elimizi güçlendiren yardımcılar olarak karşımıza çıkıyor. Siber saldırganlar ve biz savunmacılar arasında süregelen savaşta, yapay zeka uzunca bir süre güçlü bir araç olarak varlığını sürdürecek ve bu teknolojiyi kullanmakta ustalaşmanın, sürecin savunma tarafında olan bizler için önemli bir avantaj sağlayacağını düşünüyorum. Bu nedenle de 2024 yılında yapay zeka tabanlı savunma ürünlerine yapılacak yatırımları listenin en başına ekliyorum. 
• Yakın zamanda uluslararası iki kurum olan Enterprise Strategy Group ve Information Systems Security Association (ISSA) tarafından yapılan anket çalışması, BT ve siber güvenlik profesyonellerinin yaklaşık %71’inin kurumlarında siber güvenlik becerileri eksikliğinin etkisini yaşadıklarını ortaya koydu. Diğer yandan, ABD’de 700.000’den fazla açık iş ve bazı tahminlere göre de küresel olarak 2,7 milyondan fazla siber uzmana ihtiyaç olduğu uluslararası kaynaklar tarafından raporlanıyor. Bu durum ülkemizde de çok farklı değil. Siber güvenlik alanındaki yetenek açığı, yeni ve sürekli büyüyen siber tehditleri ve olayları önlemek, tespit etmek ve bunlara yanıt vermek için yetenekli ve nitelikli kişilere ciddi bir ihtiyaç yaratıyor. Bu durum da maliyetleri ve olası riskleri azaltmak adına dış kaynak kullanımını bir alternatif olarak karşımıza çıkarıyor. Tabi bu çözüm de kendi riskleriyle masamıza geliyor: Tedarikçi temelli riskler ve tehditler. Kendi değerlendirme skalama göre, yetişmiş insan kaynağı riskini ikinci sıraya koyuyorum. Nedeni ise ister ana iş kolu siber güvenlik hizmeti sağlamak olsun ister iç müşteriye hizmet veren BT ekiplerinin bir parçası olsun, insan kaynağı sektördeki tüm paydaşlar için ortak bir tehdit. 
• Kullanıcıları kandırarak saldırganlara sistemlere erişim izni vermelerini sağlayan sosyal mühendislik saldırılarının karmaşıklığının da artacağı, gerek uluslararası raporlarda yer alması gerekse hali hazırda yaşanan vakalar göz önüne alındığında yadsınamaz bir gerçek ve tehdit olarak karşımıza çıkıyor. Üretken yapay zeka (ChatGPT gibi) araçları daha fazla saldırganın daha akıllı, daha kişiselleştirilmiş yaklaşımlarda bulunmasını sağlayacak ve deepfake saldırıları giderek daha yaygın hale gelecek. Buna verilecek en güçlü yanıt, büyük ölçüde kurum çapında farkındalık ve eğitim çalışmalarının artırılarak sürdürülmesi ve benim deyimimle, “İnsan Güvenlik Duvarı (Human firewall)” katmanını yaratmak ile mümkün olacaktır. Tabi bunun yanında yapay zeka ve sıfır güven yaklaşımları da bu yeni nesil oltalama saldırılarına karşı oluşturmaya çalıştığımız savunma hattımızda büyüyen bir rol oynayacaktır. 
• Karanlık ağdaki organize suç örgütlerinin iş modelleri evrim geçirerek ölçek olarak büyüyor ve izlerinin sürülmesi zorlaşıyor. Siber suçluların artık saldırı gerçekleştirmek için kendi kötü amaçlı yazılımlarını geliştirmelerine gerek yok. Sadece bir satıcıdan satın alarak bu saldırıları gerçekleştirme olanağını ödeme yapmak isteyen herkese açabiliyorlar. RaaS satıcıları, yasal işletmelerden çok farklı çalışmıyor. Bağlı kuruluşların fidye yazılımlarını bir müşteri portalından satın almalarına ve özelleştirmelerine izin veriyorlar ve başarılı saldırılardan elde edilen karın bir yüzdesi satıcıya geri dönüyor. Kuruluşların bu siber güvenlik trendlerine ayak uydurabilmeleri için temel olarak iyi bir siber hijyene öncelik vermeleri ve yapay zeka tabanlı savunma sistemlerine yatırım yapmaları kaçınılmaz bir gerçek olarak karşımıza çıkıyor.  
• Bilhassa son birkaç yıl içerisinde, gerek ülkemizde gerekse uluslararası arenada yaşanan siber saldırılar, tedarikçi güvenliğinin kuruluşlar açısından çok büyük bir risk maddesi olduğunu gösterdi. Her şeyden önce hiçbir zaman tam kontrolümüz altında olamayacak bir alan. Bu sebeple tedarikçi yönetimi süreçlerinin dikkatli, titizlikle ve risk tabanlı olarak hazırlanması çok büyük önem arz ediyor. Diğer yandan, olası tedarikçiler hakkında değerlendirme aşamasında firmaların siber dayanıklılıkları ve mevcut atak yüzeyleri hakkında bilgi toplayan, kurumların güvenlik değerlendirmelerini yapan ve raporlayan hizmetleri kullanmanın tedarikçi seçiminde çok büyük önem arz ettiğini düşünüyorum.

“Güvenilir bir bulut hizmetinde erişim, şirfreleme, izleme ve koruma en önemli unsurlar”

Hepimizin bildiği gibi, hizmetlerimizi kendi veri merkezimizde oluşturduğumuzda tüm güvenlik gerekliliklerinin belirlenmesi ve karşılanmasından da biz sorumlu oluruz. Bulut hizmetlerinde ise kullandığımız bulut modeline paralel olarak, ilgili hizmetlerin yönetiminden dolayısıyla güvenlik isterlerinin yerine getirilmesinden bulut hizmetini sağlayan kurum sorumlu olur. Örnek vermek gerekirse; hemen hemen tüm bulut hizmeti modellerinde sunucularının kullanılabilirliğini ve fiziksel korumalarını sürdürmek hizmet sağlayıcının sorumluluğundadır. Bununla birlikte, hizmetin güvenlik ihtiyaçlarını karşılayabilmesini sağlamak, kullanılan hizmetleri güvenli bir şekilde yapılandırmak ve kullanılan hizmetlerde hangi verilerin saklanacağına vermek, hizmeti kullananlar olarak her zaman bizlerin sorumluluğunda olacak.

Güvenli bir bulut hizmeti alabilmek için her zaman göz önünde bulundurmamız gereken bazı temel konulardan da bahsetmek istiyorum. 

Transit halindeki verilerin korunması: Bulut hizmetlerini kullanırken ağ üzerinden geçen veriler üçüncü kişiler tarafından dinlemeye ve/veya değiştirilmeye karşı korunmalıdır. Bunu sağlamak için akış (transit) halinde olan verinin korunması için şifreleme, ağ koruması ve kimlik doğrulama gibi önlemlerin alınması hayati önem taşır. Sonuç itibarıyla, verinin son kullanıcı ile hizmet alınan uygulama; ilgili hizmeti oluşturan bileşenler ve API gibi diğer harici hizmetlere veri aktarımları sırasında dinleme, değiştirilme vb. tehditlere karşı korunduğundan mutlaka emin olmalıyız.

Veri şifreleme: İlgili bulut hizmeti üzerinde tutulan veriler, veri depolama seviyesinde şifrelenmeli. Böylece ilgili hizmetin sağlandığı altyapıya, fiziksel erişimi olan tarafların yetkisiz erişimine karşı yeterince korunma sağlanmalıdır. Bu şifreleme için hem gizlilik (verilerin izinsiz okunmasını önlemek için) hem de bütünlük (şifrelenmiş verilerin fark edilmeden değiştirilmesini önlemek için) sağlayan bir çalışma modunda simetrik bir şifreleme algoritması kullanılması yüksek önem taşıyor.

Veri temizliği ve ekipman imhası: Bulut hizmeti alınan kurumun ilgili hizmetin verildiği donanımları taşıması, değiştirmesi ya da kurumdan alınan hizmetin sona ermesi gibi durumlarda hizmet sağlayıcının sistemleri üzerinde bulunan verilerin, tüm kopyalarının tekrardan geri döndürülemeyecek şekilde imha edildiği mutlaka teyit etmelidir.

Güvenlik açığı yönetimi: Hizmet alınan kurum, ilgili hizmeti oluşturan tüm bileşenler için güvenlik açıklarını belirlemek, önceliklendirmek ve azaltmak için bir güvenlik açığı yönetim sürecine sahip olmalıdır. Bununla birlikte, bu sürecin ne şekilde işletildiğine dair ilgili bilgilendirmeyi hizmet anlaşması içerisinde hizmet alan kurum ile paylaşmalıdır.

İzleme: Hizmet sağlayıcı, alınan hizmet modeli türüne göre ilgili hizmete dahil olan tüm bileşenleri, saldırıları, kötüye kullanımı ve olası arızaları başarılı ya da başarısız olduğunu tespit edebilmek adına sürekli olarak izlemelidir. Bunun sonucu olarak, hizmet sağlayıcı şüpheli faaliyetleri hızlı bir şekilde tespit etmeli ve en hızlı şekilde karşılık verecek olay müdahale planlamalarını hazırlamalıdır. Bu planların da hizmet anlaşması kapsamında hizmet alan kuruma verilmesi büyük önem arz eder.

Güvenli geliştirme: Eğer uygulama seviyesinde bir hizmet alınıyorsa, söz konusu uygulamanın güvenli bir şekilde geliştirildiğiden mutlaka emin olmak gerekir. Bunun için hizmet sağlayıcıdan ilgili uygulamayla hakkında statik ve dinamik kod analizi raporlarıyla, uygulamada kullanılan üçüncü taraf kütüphanelerin güvenlik analizlerini istemek doğru bir yaklaşım olacaktır. Bununla birlikte, eğer imkan varsa, uygulamayı kullanmadan önce sızma testi yaptırmak ya da mevcut versiyonun yapılmış sızma testi raporları varsa servis sağlayıcıdan istemek güvenli bir yöntem olacaktır.

Güvenli kullanıcı yönetimi: Hizmet sağlayıcı, ilgili hizmeti yönetebilmesi için hizmet alan kuruma yetkisiz erişimi engelleyecek şekilde tasarlanmış uygun yönetim arayüzlerini sunmalıdır. Yönetim arayüzünün mutlaka çoklu doğrulama ile kullanılıyor olması önemlidir. Bununla birlikte, yönetim arayüzüyle ilgili her türlü talebin önceden belirlenmiş kanallar ve kişiler tarafından yapılması, bunların dışında yapılan isteklerin geri çevrilmesi de ilgili hizmet anlaşmaları sırasında kararlaştırılmalı ve hizmet sözleşmesine eklenmelidir.

Denetim: Bulut hizmeti alınan kurumların ISO 27001 ve eşdeğeri bilgi güvenliği sertifikalarının olması da önemli bir gerekliliktir. Bununla birlikte, imkan olan durumlarda hizmet sözleşmelerinde denetleme hakkı maddesini barındırmak ve gerek kendimiz gerekse yetkilendirdiğimiz kurumların ilgili servis sağlayıcı üzerinde ikinci taraf denetimler yapması, yukarıda belirtilen gerekliliklerin gerçekte yapılıp yapılmadığını ya da ne kadar etkin olarak yapıldığını görmemiz adına çok önemli bir maddedir.

“Güvenliğin tarihi, hacklenmeler üzerine yazılmıştır”

Tolgay Fıçıcı – AirTies BT Güvenliği Kıdemli Müdürü

Yıllar içinde güvenlik tehditleri, gelişen güvenlik teknolojileri ile birlikte değişti. Aslında teknolojiler, tehditlere göre değişti dersek daha doğru olur. Maalesef güvenlik teknolojileri her daim tehditlerin gelişimi üzerine ilerliyor. Havacılık alanında “Havacılık tarihi kanla yazılmıştır” diye bir deyiş var. Bu ifadeyi güvenliğe uyarlarsak “Güvenliğin tarihi hacklenmeler üzerine yazılmıştır” diyebiliriz. Bu nedenle -eğer güvenliği bir spor müsabakası olarak düşünürsek- biz güvenlikçiler olarak ne yaparsak yapalım çıktığımız her maça 1-0 yenik başladığımızı söyleyebiliriz. Çünkü çoğunlukla ancak bir tehdit ile karşılaştıktan sonra o tehdide karşı tedbirlerimizi almaya ya da o tehdidi karşılama amacıyla geliştirilen yeni teknolojileri kullanmaya başlıyoruz.

Söz konusu teknolojiler gelişmeden önce saldırılar ağırlıkla, otomatik taramalarla tespit edilen uygulama ya da sistem açıkları üzerineydi. Kurum ağında bir zayıflık tespit eden saldırganlar, bu açığı süistimal ederek kurum ağına kolay bir şekilde sızabiliyorlardı. Ancak son yıllarda gelişen teknolojilerle birlikte saldırganlar daha çok kurum çalışanları, kurumun tedarik zinciri içindeki firmalar ve bulut üzerindeki konfigürasyon hatalarını hedef almaya başladı. 

Kurumların, güvenlik bilgi ve tecrübelerini birlikte çalıştıkları ve henüz yeterli güvenlik olgunluğuna ulaşmamış kurumlara aktarmaları önemli hale geldi. Bununla ilgili bir örnek vermem gerekirse, geçmişte çalıştığım firmalardan birine hizmet veren bir danışman, kendi ortamındaki kurulum üzerinden bazı yeni özellikleri ekranından paylaşıyordu. Sonra bu özellikleri bizim sistemimiz üzerinde göstermek için bizim ortamımıza bağlandı. O esnada gözüme çarpan ilgili danışmanın bize ait sistemlere giriş şifrelerini bilgisayarı üzerindeki bir metin belgesinde tuttuğu ve hatta bu danışmanın hizmet verdiği bütün büyük kurumların (banka, telekom, holding vb.) şifrelerinin de aynı dosyada yazdığı oldu. Güvenlik yatırımınıza milyonlar ödeyen bir banka olduğunuzu düşünün, kritik şifrelerinizden birisi danışmanın bilgisayarında açık halde duruyor. Bu göz ardı edilemeyecek bir risk. Bu nedenle çalıştığımız ve güvenlik farkındalığı az partnerlerimizi de kendi güvenlik kapsamımızın içinde tutmamız yine kendi güvenliğimiz açısından önemli olmaya başladı.

Kullanımı artan bulut teknolojileri, belirli güvenlik risklerini de beraberinde getirdi. Geçtiğimiz sene birçok firmanın bulut sistemleri üzerindeki konfigürasyon hataları nedeniyle bilgi sızıntısı yaşadığına şahit olduk. Kurumlar buluta hızlı bir şekilde adapte olsalarda klasik BT (IT) elemanları maalesef o kadar hızlı adapte olamadı. Hizmetleri buluta alarak maliyet ya da hız avantajı sağlayan firmalar BT elemanlarının bulut alanındaki eksiklerini tamamlamak için gerekli eğitimleri aldırmakta “yine” geri kaldılar. Maalesef Türkiye’de teknik eğitim konusu firmaların hiçbir zaman önceliği olmadı ve olmamaya devam ediyor. Kurumlar bulut yatırımlarını yaparken, kendi BT elemanlarını gerek teknik ve teknoloji olarak desteklemeyi atlamamaları önemli görünüyor. Burada güvenlik partnerlerinin de bulut konusundaki uzmanlıklarını hızlı bir şekilde artırması ve çalıştıkları müşterilere bu alanda destek olmaları gerekiyor. 

Güncel bir diğer tehdit ise kurum çalışanlarını hedef alan, kişiye özel hazırlanmış tehditlerdir. Bu tehditler kesinlikle artarak ve gelişerek devam edecek gibi görünüyor. Gittikçe güçlenen yapay zeka ile desteklenen özel aldatma saldırıları güvenlikçilerin yoğun mesai harcayacakları tehditlerden birisi haline dönüşecek. Yapay zeka bu tehdidin daha tehlikeli hale gelmesinin önünü açtı. Özellikle ses taklit edebilen yapay zekalar, klasik oltalama (phishing) saldırılarını sesli aramalara da taşıyıp, hedef alınan çalışanların daha kolay tuzağa düşmelerine olanak sağlıyor. Güvenlik farkındalığının önemi burada artmaya başladı. Çalışan farkındalığının artırılması, şu an için elimizde olan tek savunma hattı. Elbette AntiSpam teknolojileri belirli bir yere kadar savunma sağlıyor ama bu teknoloji maalesef yapay zeka ile desteklenen saldırılara karşı henüz tam anlamıyla bir savunma sağlayamıyor. 

“Yapay zeka, güvenlik analistlerinin üzerindeki alarm yoğunluğunu azalttı”

Sergio Leone tarafından yönetilen “İyi, Kötü ve Çirkin” filmini birçok kişi seyretmiştir ya da birçok kişi filmin adını biliyordur. Bu nedenle, güvenlik ve yapay zeka konusunu bu başlık altında yorumlamak isterim. 

“İyi” tarafından ele aldığımızda, yapay zeka insanlık tarihindeki en büyük gelişmelerden biri, bu nedenle kullanım alanına bağlı olarak insanlığa inanılmaz faydalar sunabilir. Güvenlik teknolojileri içinde bir süredir Makine Öğrenmesi (Machine Learning) kullanılmaya ve faydaları görülmeye başlanmış durumda. Birkaç sene önce güvenlik üreticileri bunu yapay zeka olarak tanımladılarsa da sorulan sorulara cevap veremediklerini fark edip hızlıca bu söylemden vazgeçtiler diye hatırlıyorum. Şimdi ise gerçek yapay zeka (olabildiğince) teknolojisi artık burada ve hızlı bir şekilde ilerliyor. Hatta yeni nesil güvenlik üreticileri kullandıkları makine öğrenmesi üzerine hızlıca yapay zeka teknolojilerini entegre etmeye ve müşterilerine bu çözümleri sunmaya başladılar bile.

Yapay zekanın güvenlik alanına da sunabileceği avantajlar var. İlk görünen avantajı, güvenlik analistleri üzerindeki alarm yoğunluğunu azaltması oldu. Hali hazırda kurum içinde biri hapşırsa oluşan alarmlar yerine yanlış alarmlar (false positive) ayıklanmış, oluşan saldırı şemasının geniş bir şekilde analizinin yapılmış ve temizlenmiş şekilde analistlerin önüne getirilmesi zaman ve kaynak olarak güvenlik tehditlerine müdahaleyi çok daha kontrollü ve hızlı bir şekilde yapabilmeye olanak sağlayacaktır.

Yeni nesil ürünlerden EDR (Endpoint Detection and Respond), Siber İstihbarat, NDR (Network Detection and Response) gibi ürünlere hali hazırda hızlıca adapte edilen yapay zeka teknolojilerinin uzun zamandır yapısal bir değişikliğe uğramamış teknolojilere de yenilik getireceğini düşünüyorum. Artık statik güvenlik ürünleri maalesef bizi koruyamayacak. Statik ürünlerden firewall ürün ailesini ele alırsak, önceden belirlenmiş sabit kurallar üzerinde işleyen bir teknoloji yerine öğrenilmiş, daha dinamik ve yapay zeka destekli kural yönetimi olanağı sağlayan ve hatta bunu kendi düzenleyen bir yazılım ailesi, kurum altyapısına ana giriş noktalarında ciddi bir güvenlik avantajı sağlayacaktır. 365 gün aynı şekilde işleyen kurallara bağlı olmak yerine yoğunluk, kullanım ve hatta anlık onaya bağlı olarak öğrenilmiş ve değerlendirmesi yapılmış kurallarla çalışmak daha avantajlı olacaktır. Hatta böyle bir ürün ailesine “Perimeter Security Device” denilebilir belki de…

Yapay zekanın etkilemesini umduğum alanlardan birisi de artık neredeyse hiç bir etkisi kalmayan statik şifrelerdir. İki faktörlü şifreleri kurumlarda kullanmaya başladık ancak yine de önde hala statik şifreler mevcut. Bunların güvenliği ve yönetim gereksinimleri BT ekipleri üzerinde hala ciddi bir yer işgal ediyor. Dolayısıyla şifre yerine geçebilecek bir çözüm bulunması inanılmaz faydalı olacaktır. Yönetmesi ve diğer riskleri nedeniyle statik şifrelerin ortadan kaybolma zamanı geldi, hatta geçti.

Yapay zekanın fark yaratabileceği bir diğer statik Teknoloji AntiSpam ürün ailesidir. Bu alandaki ürünlerin kısmen yapay zeka kullanımı olmasına karşın daha derin bir entegrasyon kullanıcıları direkt olarak hedefleyen oltalama (phishing) saldırıları açısından kurumlara ciddi bir avantaj sağlayacaktır. Bu alandaki üreticilerin kendi sistemleri içine yapay zeka entegrasyonlarını yapmaya başladıklarını da görüyorum.

Bu arada EDR teknolojisinin telefonlar üzerindeki ajan özelliklerine sesli aramalar için yapılabilecek kontrolleri eklemesi, özellikle sesli aramalarda araya girip arayanın bir yapay zeka tarafından taklit edilen kişi mi yoksa gerçek kişi mi olduğunu analiz etmesi, bize bu alanda önümüzdeki dönemde gittikçe artacak saldırıları tespit etmek için ciddi bir avantaj sağlayacaktır. 

“Yapay zekanın bir Süper Saldırgan olarak karşımıza çıkması çok yakın”

Tüm bu yapay zeka gelişmeleri çok hızlı bir şekilde ilerlerken, ülkeler hala bunlarla ilgili kuralları ve sınırları çizmeye çalışıyor. Yapay zekanın tüm insanlığın kullanımı için olduğunu unutmamamız gerekiyor. Bu da demektir ki bu teknoloji iyi amaçlar için olduğu kadar, kesinlikle “kötü” amaçlar için de kullanılacaktır. Bir ülkenin gerektiğinde düşman askerlerinin düşüncelerini etkilemek için yapay zeka teknolojisinden destek aldıkları ile ilgili bir habere denk geldim. Gördüğünüz gibi, bu haber bize olacaklar hakkında önden bilgi veriyor.

Birçok insan yapay zekanın öğrenme sürecine “iyi” olması amaçlı destek olurken, bir yerlerde amacı tamamen sistemleri, insanları ele geçirmek, yazılımların ve insanların açıklarını bulup onlardan faydalanmaya çalışacak yapay zekanın geliştirilmediğini düşünmek naiflik olacaktır. 

Güvenlik alanında farklı yetkinlikler, teknolojiler, zararlılar ve açıklar ile beslenmiş bir yapay zekanın karşımıza “Süper Saldırgan (Super Hacker)” olarak çıkması çok yakın. Futbol, basketbol, tenis, kickbox, badminton, yelken yarışları gibi spor müsabakaları düşünün. Tüm sportif amaçlı karşılaşmaların temeli oyun içinde galip sayılmanın ortak ve tek bir mantığı olması ve iki tarafında ilgili spor müsabakası için gerekli olan antrenmanlarla hazırlanmış bir takım ile sahaya ya da ilgili sporun yapılacağı yere çıkmasıdır. “Süper saldırgan yapay zeka” için bu geçerli değil. Süper Saldırgan yapay zekanın dijital öğrenme avantajı sizin karşınıza boks, gülle atma, futbol, su topu, yelken yarışı ve aikido karışımı olarak karşınıza çıkmasına olanak sağlayacaktır. Siz ise o sırada elinizde tenis raketi ile servis gelsin diye bekliyor olabilirsiniz. Bu kesinlikle zorlayıcı bir durum olacaktır. Yukarıda bahsettiğim maça 1-0 geride başlama durumu, yapay zeka işin içine girince güvenlikçilerin daha da aleyhine dönebilir. Yapay zekanın hızlı öğrenme yeteneği ve kazanacağı diğer özellikleri düşündüğümüzde, yakın zamanda dönüşebilen zararlıların (Morpware diyebiliriz) da ortaya çıkacağını söyleyebilirim. Bu zararlılar ağımız içine bir şekilde girip, içerde farklı amaçlar için kendi kendilerini değiştirebilecek, farklı sistemlere aynı anda erişmelerini sağlayacak şekilde kendilerini evrimleştirip, gizleyip ve var olan güvenlik teknolojilerimizi atlatıp kurum ağı içinde çok rahat bir şekilde tüm işlevlerini gerçekleştirebilirler. Bu durumun da biz güvenlikçilerin işini zorlaştıracak konulardan birisi olacağı kesin.

“Yapay zekanın temel kodlarındaki insan hataları göz ardı edilmemeli”

İşin “çirkin” konularına gelecek olursak, yapay zeka şu an ilkokul çağındaki bir çocuk ve bir tehdit değil diye düşünebilirsiniz. Fakat şundan emin olunmalı ki 1-2 sene içinde ilk ya da kaçıncı master derecesini bitirmiş bir yetişkin olarak karşımıza çıkacak. Standart bir insan olmadığı için öğrenim kapasitesinin nereye gideceğini, aynı anda kaç kabiliyeti olabileceğini öngörmek mümkün değil. İnsanlar belirli konularda uzman olabilirler ancak yapay zeka için böyle bir kısıtlama mümkün değil, aynı anda her şey olabileceğini varsayarsak abartmış olmayız.

Zamanla kurumumuz içinde de farklı ürünlerden gelmiş olan farklı yapay zeka yapıları olmaya başlayacak. Bir yanda kurum ağ güvenliğini savunan, diğer tarafta kurum ağına sızmaya çalışan yapay zeka sistemlerinin olması, onlara verdiğiniz otomatik yetki ve kontroller, saldırgan tarafın kurum ağına sızmasını engelleyebilir. Ancak savunan yapay zeka alacağı aksiyonlarla kurum ağını tamamen kitleyebilir. Günün sonunda saldırgan engellenmiş olur ancak kurumun işlerini devam ettirmesini sağlayacak sistemler devre dışı kalabilir ya da birtakım başka müdahaleler nedeniyle bozulmuş olabilir. Bu durumda bir saldırıyı engellemiş olmamızın hiçbir önemi kalmayacaktır.

Yapay zekanın temel kodları içinde yapılabilecek insan hataları da göz ardı edilmemelidir. Yapay zeka sistemlerine verdiğiniz kontroller arttıkça, karar verme aşamasında hataların olma olasılığını da kabul etmemiz gerekecek. Hatalar ise seviyesine bağlı olarak ölümcül sonuçlara yol açabilir. Hobi olarak takip ettiğim havacılık sektöründe, uzun zamandır patronların bastırması nedeniyle uçakların 1 pilotla uçurulabilmesi talep ediliyor. Neyse ki şu an kabul gören bir öneri değil ancak bir gün kesin olacak. O gün geldiğinde, uçağı kontrol eden yapay zekanın karşılaşacağı aynı anda gerçekleşebilecek kompleks “sağdan bir leylek sürüsü geldi”, “sol kanada yıldırım çarptı”, “Ay’ı dağ sandı” senaryosunda kodlama ya da öğrenme hatası nedeniyle motorları kapatmayacağının garantisi yok. Bu hatanın telafisi de yok.

Gördüğünüz üzere çirkin taraflarla ilgili çok fazla bilinmez mevcut. Ancak gittiğimiz hıza bakarsak hepsini çok yakın zamanda öğreneceğiz. Genel olarak bardağın boş tarafını gören birisiyim. Bu nedenle insanlığın “iyilik” için geliştirdiği herşeyin geçmişte defalarca ispat edildiği üzere “kötüye” kullanım yönünün ağır basacağından endişeleniyorum. İnsansı yapay zeka destekli robotları şu an fuarlarda ya da belirli özel kullanım alanlarında (Japonya’daki Robot Oteli gibi) görebiliyorsunuz. Ancak bunları çok kısa süre içinde gerçek hayatta birçok alanda yoğun olarak görmeye başlayacağız. Karşınızda insana benzeyen bir robot olduğunu ve size baktığını düşünün, ona baktığınızda sizi yemeğe katılacak bir domates olarak mı görüyor, yoksa iş yerinden eve yorgun geldiğinizi değerlendirip size beğendiğiniz içeceği mi yapmayı planlıyor anlamayacaksınız. Evet, insanları değerlendirmek de zor ancak en azından bir kısmımız empati ve karar verme durumumuzu etkileyen duygulara (duruma göre iyi ya da kötü olabilir) sahibiz. Bu özellikler bizi insanlık olarak bulunduğumuz yere getirdi. Bundan sonraki üst seviyeye geçişimizin, şu an dünyayı getirdiğimiz duruma baktığımızda uzun zaman süreceğini düşünüyorum. 

Yapay zeka bir süre daha gerçek anlamda empati ya da duyguyu anlamayacak. Belki de hiç anlamayacak. Bundan dolayı kritik alanlarda ve karar noktalarında yetki verilmesinin doğru olacağını düşünmüyorum ancak bu mutlaka bir gün olacak. Umuyorum ki yapay zeka benim negatif öngörülerim yerine Star Trek filmlerindeki ütopik barış ve refah içinde yaşayan insanlığa ulaşmamızı sağlar. Bu arada bilim kurgu alanındaki neredeyse tüm dizi ve filmleri izlediğimi itiraf edeceğim. İnsanların hayal güçleri sayesinde yaratabildikleri hikayeler inanılmaz. Birçok icadın bu filmler ve diziler içinde çok önceden tahmin edilmiş olması, bu konuların bilim insanları tarafından merak edilip araştırılmaya başlamasını da tetikliyor olabilir. Kim bilir?

Güvenlik kolay bir iş değil; birçok tehditle ve tek bir seferde göremeyeceğiniz karmaşık bir altyapı içinde elinizdeki kısıtlarla (bütçe, insan kaynağı vb.) elinizden geldiğince sorumluluklarınızı gerçekleştirmeye çalışmalısınız. Yapay zeka da bu alandaki durumu hızlı bir şekilde değiştirecek.