BT güvenlik endüstrisi, müşterilerini hayal kırıklığına uğrattı. Bu alana yapılan yatırımların çoğalmasına karşın, yakın zamanda gerçekleştirilen VMware ve Forbes Insights araştırmasına göre Avrupa, Orta Doğu ve Afrika’daki iş liderlerinin yalnızca çeyreği mevcut siber güvenlik uygulamalarına güveniyor. Beşte birinden azı ise (yüzde 18) çalışanlarının ve mevcut yeteneklerinin güvenlikle ilgili endişeleri gidermeye hazır olduğuna inanıyor.
Yazar: VMware Türkiye Ülke Direktörü Murat Mediçeler
Artık daha fazla etkileşim, bağlı cihazlar, sensörler, dünyanın farklı ve birbirinden uzak yerlerinde çalışanlar ve bulut gibi her biri katlanarak daha büyük bir saldırı alanı yaratan unsurların bulunduğu daha karmaşık bir dünyada yaşıyoruz. Bu durum, kurumların daha komplike hale gelen dijital çağda kendilerini koruma kabiliyetleriyle ilgili akıllarda soru işaretleri oluşturuyor.
Peki, bu soruların yanıtı ne? Pek çok kişi için yanıt daha fazla harcama yapmak. VMware / Forbes Insights anketine katılanların yüzde 83’ü önümüzdeki üç yıl içinde yeni güvenlik ürünlerin satın alımını veya kurulumunu artırmayı planlıyor.
Yatırım yapma isteği takdir edilesi olsa da insanların siber tehditlere karşı koyma yeteneklerine daha az güvenmelerinin sebebi, bu noktaya gelinene kadar yeterli yatırımın yapılmamış olması olabilir mi? Bu çok zayıf bir olasılık. IDC’nin öngörülerine göre; dünya çapında güvenlikle ilgili donanım, yazılım ve hizmetler için yapılan harcamalar 2018’e kıyasla yüzde 9,4 artarak 2019 yılında 103,1 milyar dolara ulaşacak.
Bir taraftan güvenliğe yapılan harcamalar yükselirken, diğer taraftan daha büyük sonuçlar doğuran güvenlik kazalarıyla karşı karşıyayız. Avrupa Birliği’ne göre, siber suçların ekonomik etkisi 2013’ten 2017’ye tam 5 kat arttı.
Yalnızca aynı güvenlik yöntemlerine para harcamanın sorunu çözmeyeceği çok açık. Beni yanlış anlamayın, yatırım bir ihtiyaç. Ancak burada önemli olan nokta; doğru yatırımın yanı sıra verilerimizi, uygulamalarımızı, ağlarımızı ve en nihayetinde kurumlarımızı güvence altına alma yaklaşımımızı yeniden gözden geçirmektir.
3 Adımda Siber Güvenliğinizi Onarın
Siber güvenliği daha iyi hale getirmek için atılması gereken üç adım bulunuyor. Reaktif tehdit tespitine bu kadar odaklanmayı bırakmalı, uygulamalara daha çok odaklanmalı ve güvenliği daha kapsamlı hale getirmeliyiz. Peki, tehdit tespitine bu kadar çok odaklanmayı neden bırakmalıyız? Tarihsel olarak baktığımızda, güvenlik harcamalarının yapıldığı alanın burası olduğu bilgisine ulaşıyoruz. VMware’in analizi; kurumların, BT güvenliği alanındaki yatırımlarının yüzde 80’ini reaktif tedbirlere yönlendirmeyi sürdürdüğünü ve aynı zamanda bu yatırımların yüzde 72’sinin güvenlik start-up’larındaki risk sermayesi fonlarına gittiğini gösteriyor.i VMware/Forbes Insights araştırmasına katılanların yarısından fazlası (yüzde 54), saldırıları tespit etmek ve tanımlamak için daha fazla harcama yapmayı planladığını ifade ediyor.
Sürekli bir sonraki tehdidin peşindeyseniz, bu zaten geride kaldığınız anlamına geliyor. Siber tehditler büyük bir hızla gelişiyor. Tehditleri tespit etmeye odaklanarak, kendinizi en iyi ihtimalle taklitçilerden koruyabilirsiniz. Ancak yine de farklı yöntemler kullanan saldırganların tehditlerine maruz kalacaksınız.
Bu durum, “Peki ya ne zaman?” meselesi değil. Saldırı, siz bunları düşünmeye vakit bulamadan oluverir, savunmanız kırılır: 14 saniyede 1 bir fidye yazılımı saldırısı gerçekleşiyor.ii Bu nedenle, sadece tehdidi tespit etmeye yatırım yapmak, güvenlikle ilgili diğer alanlara daha az kaynak aktarmak anlamına geliyor.
Beni yanlış anlamayın, reaktif tehdit tespiti kritik önemini hâlâ koruyor. Ancak “her ne pahasına olursa olsun” ihlalleri önlemeye çalışmaktan da kaçınmak gerekiyor. İhlallerin kaçınılmaz olduğu gerçeğinden hareket edersek; burada önemli olan, onları ne kadar hızlı şekilde tespit ettiğimiz ve etkili bir biçimde hafifletici önlemler alabildiğimizdir. Proaktif ve önleyici tedbirlere daha fazla odaklanılması gerekiyor. Aslına bakılırsa, saldırı alanını daraltanlar da işte bu önlemlerdir.
Kısacası, tehdit tespitine mutlaka yatırım yapın ancak önlem almaya daha da fazla yatırım yapın. İkinci olarak, esas odaklanacağınız alan uygulamalar olmalıdır. “Uygulama farkındalığına sahip” olduğunu iddia etmeyen bir güvenlik ürünü bulmakta zorlanırsınız ancak gerçekte bu tam olarak ne anlama geliyor?
Uygulama davranışının normal şartlarda nasıl olması gerektiği hakkında daha fazla bilgi sahibi olmak kritik hale geliyor. Bunu akılda tutarak, olması gerekmeyen 50 bin şeyden korunmaya çalışmak yerine olması beklenen 50 şeyi daha iyi anlamayı tercih edebilirsiniz. Bunu şöyle düşünün: Sabahları yataktan kalktığınızda, normalde nasıl hissetmeniz gerektiğini bilirsiniz. Kendinizi iyi hissetmiyorsanız, buna neden olabilecek binlerce farklı virüsü aklınızdan geçirip her biri hakkında tek tek düşünmezsiniz. Boğazınızın veya gözlerinizin ağrıdığını bilirsiniz. Çünkü vücudunuzu tanır ve normal şartlarda nasıl hissettiğinizi bilirsiniz. Aynı yaklaşım, güvenlikte de geçerli olabilir. Bu; güvenliğin, uygulamaların gerçekte nasıl çalıştığını anlamakla yani riski önleme amacıyla kısıtlanmaktan ziyade etkili bir biçimde çalışabilmekle ilgili olduğu anlamına geliyor.
Tüm bunlar, tepeden tırnağa inşa edilmiş bir güvenlik olmadan mümkün değil. Keza bu da sıklıkla dillendirilen bir sözdür ancak ne kadar sıklıkla gerçekten uygulanabiliyor? Kurumlar hâlihazırda 50 ila 100 farklı güvenlik ürününü kullanıyor. Bu 50’den 100’e uzanan çözümlerin yönetilmesi, güncellenmesi, yamalanması, sıralanması ve ilgili uygulamalara bağlanması gerekiyor; ki bu da bu çözümlerin devamlı olarak yönetilmesi ve güncellenmesini gerektiriyor. Bu çetrefilli, birbiriyle bağlantılı ve son derece karmaşık bir süreç.
Daha fazla ürüne yönelmek yerine bir adım geriye gitsek ve kurumumuzu güvenli hale getirmek için operasyonlarımızda hâlihazırda sahip olduğumuz unsurları nasıl kullandığımızı bir incelesek nasıl olur? Bu noktada yazılım faktörü öne çıkıyor. Yazılım; satın aldığınız, yüklediğiniz veya yönettiğiniz başka bir ürün ya da yüklemeniz ve yönetmeniz gereken bir faktör değildir. Uygulamalar ve verilerde hâlihazırda yaygın olarak kullanmakta olduğunuz temel yazılımdan bahsediyoruz: özel veri merkezleri, bulutlar, sınır, konteynerler, masaüstleri ve mobil cihazlar. Uygulamaların farkındayız; ne olduklarını, nerede olduklarını, ne yaptıklarını ve ne yapmaları gerektiğini de biliyoruz.
Güvenliği tepeden tırnağa nasıl sağlarsınız? Her noktayla bağı bulunan ortak unsur olan ağı koruyarak. BT ve ağ güvenliğinin ayrı ayrı ele alındığı dönemler eskide kaldı. Bugün bu iki alan hızla bütünleşiyor. Sanal bulut ağlarını etkin kullanmak, kurumlara evrensel bir yapı kazandırır. Sanal bulut ağlarını güvenli hale getirin ve dokundukları her şey güvenli olsun. Daha verimli, yönetmek daha kolay. Otomatikleştirildiği için de çalışanlarınızın daha katma değerli inovasyon çalışmalarına odaklanabilmelerini mümkün kılar.
Çok Katmanlı Yaklaşım
Bu üç odak noktasının yaptığı şey, güvenlik için çok katmanlı bir yaklaşım sunmak olarak ifade edilebilir. Tehdidi tespit etmenin yanı sıra proaktif olarak önlem alan, en kötüyü düşünmeye zaman ve para ayırmak yerine iyiye odaklanan ve kurumu korumak için bulut altyapısının sunduğu faydaları kullanan bir yaklaşım…
Güvenliğin geleceği, altyapının her bir unsurunu doğal olarak güvenli hale getiriyor. Eğer bir katman veya bileşen ihlal edilirse, o zaman bir sonraki bileşen ve ondan da sonraki bileşen güvenli hale geliyor. Böylece ihlalin ulaşabileceği boyut sınırlandırılıyor. Bu durum, saldırıların “Ya olursa?” meselesi değil, “Ne zaman olacak?” meselesi olduğunu ve buna uygun davranılması gerektiğini gösteriyor. Bu adımları hayata geçirerek, güvenlik politikalarımıza ve prosedürlerimize olan güveni artırabilir, gereksiz harcamaları kısabilir ve etkili saldırıların yol açabileceği zararı azaltabiliriz. Ayrıca bu yerleşik güvenlik; kurumların, işlerinin “kalbinin” güvende olduğunu bilerek, işlerini istedikleri noktaya taşıyabilecekleri, inovasyon yaparak yeni IoT, yapay zekâ ve makine öğrenme teknolojilerini iş yapış şekillerine dâhil edebilecekleri anlamına gelir.