Yaşam Tarzı Konuk Yazarlar 01 KASIM 2012 / 11:32

"10 yıl öncesinin güvenlik öğütlerini unutun, bugün hiçbir işe yaramazlar"

‘The Great Cipher Mightier Than Sword’ (Güçlü şifre, kılıçtan keskindir) sloganıyla düzenlenen RSA Europe 2012 etkinliğinin açılışında özellikle vurgulanan konu günümüz saldırılarından korunmak, bugünü ve yarını güvene almak için geliştirilen teknolojiler oldu. Etkinliği yerinde izleyen Handan Aybars'ın izlenimlerini sizlerle paylaşıyoruz.



Etkinliğin açılış konuşmasını RSA CEO’su Arthur Coviello yaptı. Dijital içeriğin son yıllardaki hızlı büyümesine dikkat çeken Coviello, güvenlik başlığında da hacktivistlerin yerini aldığını söyledi.

Geçtiğimiz yıl CIO’ların dikkat çektiği yeni bir siber güvenlik altyapısının ‘zeka tabanlı güvenlik’ anlamına geldiğini belirten Coviello, şöyle devam etti:
“Çevik altyapı ve risk tabanlı uygulamayla içeriğin önem taşıdığı bir yapı kurgulanmalı. Bu yapıda bilgi paylaşımı da önemli. Kulağa kolay gelse de, aslında hiç de değil. Temel sorun bütçeler. Bütçeler doğru konumlandırılmadığı için korunmaya da yeterli olmuyor. Bu nedenle anlayışı değiştirmek gerek.

Kendi bütçelerimizi konumlandırırken güvenliği geri planda tutan faktörlerden biri de yetenek eksikliği. Güvenlik konusunda doğru yetenek setine sahip insanlara ihtiyaç var. Herkeste güvenlik konusunda farkındalık oluşması şart.”

Savaşacağınız düşmanı anlamak zorundasınız

Coviello’ya göre, güvenlik konusunda basının da işi zor. Medyanın olaylar karşısında güvenlik kuruluşlarının gördüğünü görmediği eleştirisini yapan Coviello şunları söyledi:
“Sorunun temelleri, buzdağı gibi suyun altında. Ne konuda ne yapmak gerektiğini bilmek bu yüzden zorlaşıyor. Günümüzde büyük-küçük şirket farkı da kalmadı. Birçok kırılganlığı olan çok sayıda büyük ölçekli şirket var. En zayıf noktamız kadar güçlüyüz.

Birisine saldırı olduğunda, hepimiz saldırıya uğramışız demektir. Bu konuda olgunlukta 4 aşama var: Birincisi kontrol, ikincisi kurallara uyum, üçüncüsü BT riski, dördüncü aşama ise aynı zamanda stratejik olan iş riski”

Güvenlik herkesin sorumluluğunda

Coviello’nun ardından sözü RSA Başkanı Tom Heiser aldı. Geçen yılki toplantının ardından geçen süreçte kamu ve hükümetler de dahil olmak üzere tüm paydaşlarla önemli paylaşımlar yaptıklarını belirterek söze başlayan Heiser, “Riskleri yeniden ele almaya başladık. Çünkü riskler her yerden geliyordu” dedi.

Bu süreçte risk yönetimi kurumun ve BT biriminin bütününe yaydıklarını belirten Heiser, ikinci aşamada da stratejileri sürekli kontrol edip, denetimi sürekli kılmanın önemine dikkat çektiklerini söyledi. “Güçlü analitik yapılar bunun ne kadar yerinde olduğunu gösterdi” diyen Heiser, şöyle devam etti:
“Üçüncü konu erişim kontrolünü sıkılaştırmaktı. Bunu yaptık, ama daha yapılması gereken çok şey var. Erişim kontrolü, ‘kendi cihazını getir’ uygulamaları ve bulut bilişim yapısı da bunu gösteriyor.

Analizde davranış tabanlıyız, çünkü güvenlik birey bazında var. Dördüncü konu ise sürekli eğitim. Kişisel güvenlik disiplini için bu eğitimler hiç bitmemeli. Bu konuda kendimizi geliştirip eğitimi herkese sunabilmek gerek. Bu eğitimler kurumsal riskleri de azaltır.”

İnsanı da güvenceye almak lazım

Birçok şirketin yeni saldırılarla karşılaştığına ve her şirketin bu konuda sürekli hazır olması gerektiğine işaret eden Heiser, “Yeni araçlar, güvenliği açan çok açık var. Taktikler de sürekli değişiyor ve çevik, risk tabanlı hale geliyor” dedi.

Bu gerekçeler ışığında ‘zeka tabanlı güvenlik’ modeline geçiş zamanının geldiğine vurgu yapan Heiser, “Şirketler ‘fark etme’ ve ‘savunma’ modelleri geliştirmeli. Bu arada koruma yapısını kuralım, ama insanların güvenliğini tehdit edenleri de bulabilmemiz gerek” dedi.



Güvenlik kontrollerinde atak olmak gerektiğine de vurgu yapan Heiser, “Gelişen kurumsal riskler konusunda çalışanlar bilgilendirilmeli. Çünkü onlar, iş ve gizlilik risklerini çok iyi bilmiyorlar. Geçen yıl yaptığım görüşmelerle bu konudaki eksikliği çok net gördüm. Çalışanların hepsinin kurumsal riskleri bildiğinden emin olmak gerek” dedi.

Öte yandan, risk ve düzenlemelere uyum dengesini sağlamak da Heiser’a göre, hiç de kolay değil. Çünkü uyum, bazı durumlarda güvenlik yapısına zarar verebiliyor. Bu nedenle bu yapıda denge sağlayabilmek çok önemli. Teknolojideki ‘bireysellik’ yapısına da dikkat çeken Heiser, buna örnek olarak herkesin akıllı telefon sahibi olmasını, bulut yapısına yönelik ilgiyi gösterdi.

Bilgi arttıkça riskler de artıyor

Heiser’in ardından sözü Symantec Kurumsal Ürün ve Hizmetler Grup Başkanı Francis de Souza aldı.

Sözlerine “Siber güvenlik 1 yıl öncesine kıyasla bile büyük bir değişim sergiledi” diyerek başlayan Souza, kurumsal BT’nin büyük bir değişim sergilediğine dikkat çekti.

“Veri merkezleri daha büyük ve BT birimleri de hiç olmadığı kadar heterojen” diyen Souza’ya göre artık BT yapısı üstünde yetkinlik daha az. Çünkü herkes kendi cihazını getiriyor, kullanıcıların bu eğilimi veri merkezi yapısını da değiştiriyor.

Bu noktada doğru güvenlik yapısını kurmanın gereklerini Souza şöyle aktardı:
“Şirket içindeki tüm saldırı ve risk yapısını iyi anlamamız, buna uygun çözümler geliştirmemiz gerek. Böylece savunma kalkanımız hep yukarıda olur.

Son aylarda çok sık görülen çok yönlü saldırılar (multi flank attacks) gündemde. DDoS saldırıları şeklinde ortaya çıkan bu saldırılar, hacktivistlerin elinden çıkmıştı, ama son aylarda bir değişim var ve bunlar bağımsız gibi görünüyor. Özellikle finans sektöründe bu saldırılar sık oluyor.

Sebebi ise şirketlerde farkındalığın azalması, körlük oluşması. Tek noktaya odaklanınca, bazı şeyler gözden kaçıyor. Ve kötü adamlar da şirketlerdeki bu körlüğün farkında.”

Phishing (oltalama) olayları ise Souza’ya göre, sosyal medyaya ilginin artmasıyla birlikte daha farklı ve etkili bir hale geldi. Burada da ‘farkındalığın’ artması gerektiğini vurgulayan Souza şunları ekledi:
“Sadece DDoS saldırılarına değil, her şeye karşı hazırlıklı olabilmek gerek. Çünkü sürekli büyüyen, BT’nin ilgilenmesi gereken bir ‘büyük veri’ gerçeği var ve saldırıları artıran da zaten bu. İşte bu nedenle haklayıcıların kurumda hangi değerli hedeflere saldırabileceğine odaklanarak, bilgi kaynakları ve geliş kanallarına sürekli bakması gerekiyor."

Souza bunu ‘Beklenmedik olanı beklemek gerek’ sözleri ile tanımlarken, savunmanın güçlü olduğunu göstermenin önemine vurgu yaptı.

Geçmişin öğütlerini unutun

Açılışta konuşmalarının sonuncusunu ise “Kullanıcıların çok farklı tercihleri var” sözleri ile başlatan RSA Konferansı Program Komitesi Başkanı Hugh Thompson yaptı. Bulunduğu uçağa giren kuş, bu kuşun yarattığı panik ve bu paniği farklı mesleklerden insanların yorumlama tarzını Thompson şöyle anlattı:
“Tam ‘Big Bang Theory’i izleyecekken ışıklar kapandı, yüksek sesle bağırmalar başladı. Bu olayı güvenlikçi bir arkadaşıma anlattığımda tepkisi, “Uçak yerdeyken içinde bomba olan mekanik bir kuş kabine sokulabilir’ derken, karım da kuşun sağlığını, bu panikten sonra uçaktan çıkarıldığında iyi olup olmadığını sorguladı. İşte herkesin güvenliğe bakışı da böylesine farklı”



Teknolojiyi anlamayan, riskleri bilmeyen insanlara bir şeyler sunduklarını belirten Thompson’a göre, herkes bir güvenlik tercihi yapmak zorunda. Bu tercihe göre güvenlik kontrolünü kurmak, güvenliği baştan tanımlamak gerektiğine işaret eden Thompson, şunları söyledi:
“Risk değerlendirmesi bireylerin seviyesinde başlamalı. Güvenliği kişiselleştirmek zorundayız. Çünkü saldırılar kişiselleşiyor. 10 yıl öncesinin güvenlik öğütlerini unutun, bunlar bugün hiçbir işe yaramazlar”

Handan Aybars'ın konferansa dair izlenimlerini aktarmaya devam edeceğiz.