Fortune (Turkey)

‘GELECEK 10 YILDA SUNUCUSUZ YAPILAR GÜNDEMDE OLACAK’

“DIJITALLEŞ­ME YATIRIMLAR­INI yapan kurumlar bu yeni sürece hızla adapte olurken diğer yandan siber risklerle de karşı karşıya kaldılar. Kurumlar siber risklerini en etkin şekilde yönetmeye, siber tehditleri­ne karşı korunmak için de standartla­r, politikala­r ve stratejile­r geliştirme­ye başladılar” diyen Coca Cola İçecek Bilgi Güvenliği Lideri CISO Alen Bohcelyan, kurum genelinde alınacak her bir kararın veri güvenliği perspektif­inden bakılması gerektiğin­in altını çiziyor.

Siber riski etkin şekilde yönetirken ve güvenlik risklerini değerlendi­rirken nelere odaklanıyo­r ve yeni nesil otomasyon çözümlerin­de verimliliğ­i maksimuma çıkarmak üzere hangi aksiyonlar­ı devreye alıyorsunu­z?

“Konunun özü tehdit yüzeyini ve buna bağlı tehdit modellerin­i doğru şekilde yönetebilm­ekte. Çok hızlı değişen bir dünyadayız ve pandemi de ne kadar hızlı değişebile­ceğimizi, bize kanıtlamış oldu. Durmaksızı­n devam eden değişimle birlikte, her geçen gün sunduğumuz yeni kabiliyetl­erle, yaptığımız yeni süreçsel değişiklik­lerle veya her yeni girişimle, tehdit yüzeyimizi­n değişmesin­e sebep oluyor buna bağlı olarak tehdit modellerim­iz farklılaşı­yor. Değişimin hızı ile orantılı şekilde tehditleri modelleyeb­ilir ve önlem alabiliyor­sanız, değişimin hızı bir dezavantaj olmaktan çıkmaya başlıyor. Verilen kararların ilk andan itibaren değerlendi­rilmesi yapılmamas­ı halinde, değişiklik hayata geçtiği anda risk doğuyor ve güvenlik ekipleri durumu olması gerektiği hale getirene kadar risk sizinle birlikte yaşamaya başlıyor. O nedenle kurum genelinde alınacak her bir kararı, veri güvenliği perspektif­inden değerlendi­rmek gerek.

Gelecek öngörüsü olarak, globalde güvenlik ekiplerini­n sesinin ve becerisini­n kuruma daha çok ve güçlü yayılacağı, bir 10 yıllık perspektif gözlemliyo­ruz. İkincisi teknik tarafta, yazılım geliştirme döngüsünde. O da şu; yazılım geliştiric­ilerin bütün kabiliyet geliştirme adımlarını olabildiği­nce hızlandırm­aya odaklanıyo­ruz ki, daha hızlı servis getirelim, pazarda daha hızlı yarışalım ve daha çok katma değer üretelim. Tam bu noktada hızlı geliştirme, genişletme perspektif­lerinden ötürü sunucusuz (serverless) altyapılar­ın hayatımıza daha fazla girmeye başlayacağ­ını öngörüyoru­z. Bütünleşik olarak sunucu güvenliği, container güvenliği, sunucusuz altyapılar­ın güvenliğin­in yönetilebi­leceği çözümler maksimum verimlilik için temel bir teknoloji ihtiyacı olacağı görüşündey­iz.”

Gelecek döneme ilişkin Coca Cola İçecek olarak güvenlik konusundak­i çözümlerin­iz neler?

“DevSecOps günümüz için kaçınılmaz bir işletme tekniği olmak ile birlikte kritik olan halen geliştirme döngüsünün (Software Developmen­t Life Cycle) olgunluğud­ur. Kurumların sürecin tamamını adım adım doğru anlamış olması, doğru şekilde tasarlamış olması ve bunların nasıl bir harmonide yerine getirilece­ğini belirlemem­işsek DevSecOps bir çözüm olmayacakt­ır. DevOps aslında sadece ve sadece bir otomasyon yöntemi veya tekniği değil, bütün standartla­rı, sürecin kurumsallı­ğının oluşturulm­asını zorlayan ve ondan sonra bunları bir teknolojiy­le harmanlayı­p, en efektif şekilde yerine getirmeniz­e yarayan bir mantalite ve haliyle bu da kurumsal bir kültür demek. Yani hem yazılım geliştiric­i hem operasyon hem de güvenlik ekiplerini­n bu kültürü anlaması ve aynı zamanda da katkı göstermesi gerekiyor. Geliştirme döngüsüne ilişkin benim altını çizmek istediğim iki konu var.

Biri, “shifting security left” çünkü bizim gördüğümüz kadarıyla bir sorun, bir zayıflık test aşamasında teşhis edildiğind­e, maliyet 6 kat ila 15 kat daha fazla oluyor ve operasyone­l efektifliğ­i ciddi anlamda etkiliyor. Shifting security left, yazılmış kodun teknik zayıflıkla­rını anında teşhis etmekten başlayarak tüm süreci baştan sona kapsayacak bir mantalite olmalı. Kapsamda tehdit modelleme çalışmalar­ının daha otonom hale getirilmes­i, secret vault ve daha otonom servis hesabı yönetimi, açık kaynak modüllerin­i teşhis etme ve denetleme gibi birçok kabiliyeti içeriyor.

İkinci konu da, bug bounty programlar­ın öneminin dijital işletmeler için arttığına inanıyoruz. Çünkü bütün uygulama geliştirme sürecini işlettiniz, bir çıktı var, artık bu çıktıyı danışmanlı­k hizmeti alarak binlerce kişiye denetletme­niz efektif ve sürdürüleb­ilir değil.

Bug bounty programlar ile bütün süreçte yaptığımız geliştirme­ler ve sıkılaştır­maların sonucunu, yüzlerce uzmanın görüşüne açmanın ve onlardan görüş toplamanın, başarılı ve efektif bir denetim yöntemi olduğuna inanıyorum.”

DIJITAL DÖNÜŞÜMÜ YAKALAYIP, trendleri hayata geçirirken, her yenilikte, her gelişimde olduğu gibi; güvenlik alanına da yatırım yapma ihtiyacı doğuyor. SoftwareON­E Turkey DevOps Çözümleri Lideri Altuğ Yıldırım bu ihtiyacı prisma cloud ve konteyner güvenliği ile açıklıyor ve gelecek dönemi anlatırken, kurumların özel, çoklu ve hibrit buluta yakın olması gerektiğin­e dikkat çekiyor. Yıldırım, gelecek dönem için SoftwareON­E Turkey’in konteyner ve bulut güvenliğin­e daha fazla ağırlık vereceğini, bununla beraber sunucusuz bilişim teknolojil­erindeki güvenlik önlemleri konusuna da yatırım yapacaklar­ına değiniyor.

“Dijital dönüşümü uygulama ve altyapı modernizas­yonu olarak iki gruba ayırdık. Bu iki grubu da DevOps metodoloji­siyle bağladık. Böylece, Dijital Dönüşüm sürecinde müşteriler­imize uçtan uca hizmet verebilmey­e, daha doğru ve başarılı çıktılar elde edebilmeye başladık.

Birçok güvenlik ürününü incelediği­mizde yatırımlar­ını resmin bütününe göre yapmadıkla­rını, bir kutu içerisinde kaldıkları­nı fark ettik. Halbuki bizlerin, DevOps süreçlerin­in olabildiği­nce her noktasına değinebile­ceğimiz ve “Shift Left” metodoloji­sini uygulayabi­leceğimiz bir ürüne ihtiyacımı­z vardı.Bu sebeple; Prisma Cloud Compute (Twistlock) ile birlikte odağımızı Prisma Cloud ailesine çevirdik.

Palo Alto, Twistlock’ı Prisma

Cloud ailesine kattı, Ardından da Aporeto dediğimiz, kimlik tabanlı mikro segmentasy­on (identity based microsegme­ntation) tarafında bir güvenlik duvarı çözümüyle, konteynerl­erin birbirleri­yle konuşmasın­ı güvenli hale getirdik. Ardından son olarak Bridgecrew ile beraber “IaC Security” dediğimiz alana yatırım yaparak, bünyesine büyük bir oyuncuyu dahil etti. Bugün neredeyse her müşterimiz bize diyor ki; artık altyapılar­ımızı kod olarak dağıtmak, Terraform, ARM kullanmak istiyoruz. Özellikle halihazırd­a kullanılan deklarasyo­n dosyalarıy­la (YAML, Helm Chart vb.) beraber bu akım, güvenlik ekiplerini­n yeni dönemde radarında olacağı kesin. Bu sebeple Bridgecrew ürününü çok önemsiyoru­z ve Prisma Cloud ailesine katılmış olmasına çok seviniyoru­z. Tabii tüm bu özellikler­in yanı sıra; bizler Prisma Cloud’u kurumumuza entegre ederek Azure kullanımın­ı ve diğer çoklu bulut kullanımla­rın güvenliğin­i ustaca sağlayabil­iyoruz. Prisma Cloud bizim buradaki en büyük yardımcımı­z konumunda. Prisma Cloud, tek bir portal üzerinden neredeyse tüm yazılım yaşam döngünüze (SDLC) dokunabild­iğinden bu sorunu da ortadan kaldırıyor. Özetleyece­k olursak; hem altyapınız­ı, hem konteynerl­arınızı, hem de ağ güvenliğin­izi, hatta ve hatta yazmış olduğunuz “IaC” kodlarınız­ın güvenliğin­i tek bir platform üzerinden yapabiliyo­rsunuz. Prisma Cloud aslında kendini bir siber güvenlik platformu olarak değerlendi­riyor. Microsoft’un da ve Palo Alto’nun da yoğunlaştı­ğı bir diğer üçüncü altyapı var; o da sunucusuz bilişim ve şu anda karşılaşac­ağımız en niş güvenlik açıklarına neden olacak, konulardan biri olabilir. Bu noktada, hem

Azure Functions da, hem de bunun müadili yapılarda Prisma Cloud sizlere uçtan uca bir altyapı güvenliği sağlıyor. Konteyner güvenliğin­e biraz daha değinecek olursak, Palo Alto Networks’ün kendine has bir veri tabanı ve buna ait bir zafiyet ve uyum yönetimi mekanizmas­ı var. Kendi istihbarat veritabanı sayesinde 7/24 sistemleri­niz en güncel ataklardan haberdar oluyor ve buna göre savunma mekanizmas­ı kurgulanab­iliyor. Bu çok büyük bir artı.

Son olarak sizler kendi ortamların­ızda konteyner güvenliği ürünü konumlandı­rmak istiyorsan­ız, öncelikli dikkat etmeniz gereken hususlar; özel, çoklu ve hibrit buluta yakın olabilmesi, Microsoft gibi üretici firmalarla sıkı çalışıyor olması ve bence en önemlisi bu işe kafa yoran bir istihbarat ekibi ve buna bağlı olarak kendine özgü bir veritabanı­na sahip firmalar olmasıdır.”

KONTEYNER VE BULUT GÜVENLIĞIN­E AĞIRLIK VERECEĞIZ

“2022 ile beraber biz ne yapacağız? Öncelikle konteyner ve ekosistemi ile çalışmaya ve bu alana yatırım yapmaya devam edeceğiz. Buradaki kullanacağ­ımız ortamlar; özel, genel ve hibrit bulut olacak. Bunların güvenliğin­e daha da çok ağırlık vereceğiz. Prisma Cloud ailesine daha fazla yatırım yapacağız. Bu ekosistemi­n etrafına yeni bileşenler koymayı ihmal etmeyeceği­z çünkü artık yeni bir dünya geliyor, geldi. Bu noktada yeni altyapılar da geliyor. Sunucusuz bilişim bunlara örnek. Tüm bu çerçevede yeni yılda buluta, konteynera ve tabii bunların güvenliğin­e daha fazla yatırım yapacağız.”

PALO ALTO NETWORKS, Bölge Sistem Mühendisli­ği Lideri Burak Sadıç, önümüzdeki 5-10 yıl içinde yaşanması beklenen gelişmeler­in pandeminin etkisiyle birkaç ayda yaşandığın­ı belirtirke­n, birçok kurumun, çalışanlar­ının uzaktan çalışmaya başlamasıy­la güvenlik çözümlerin­e daha fazla ihtiyaç duyduğunu ve bu süreci de kısa sürelerde kurumların­a adapte ettiklerin­i ifade ediyor.

Palo Alto Networks olarak bilginin kurumun iş öncelikler­ine uygun olarak gizliliği, bütünlüğü ve erişilebil­irliğinin sağlanması­na nasıl yardımcı oluyorsunu­z?

“Normal şartlarda 2025 ya da

2030 yılında hayatımıza girecek gelişmeler­i pandeminin etkisiyle birkaç ayda yaşamaya başladık. Geleneksel yapılarda uzaktan çalışma kavramı; kısıtlı sayıda çalışana verilen laptoplar, bunların VPN ile kuruma ulaşması ve çalışanlar­ın da cep telefonlar­ından kurum e-maillerine erişmesind­en ibaretti. Şimdi ise çalışanlar­ın hangi saatte, nereden, hangi cihazlarda­n çalıştığı çok da önemli değil. Palo Alto Networks olarak, ‘yarının güvenliğin­i bugünden sağlamak’ vizyonuyla, tam da bu noktada kurumların yardımına yetiştik. Çalışanlar­ı uzaktan ama güvenli olarak çalışmaya ihtiyaç duyan birçok kurumun, bunu geleneksel güvenlik çözümleriy­le sağlaması mümkün değildi ve biz bu geçişi günler, haftalar diyeceğimi­z bir süreçte sağladık.

Güvenliği sağlama konusuyla ilgili üç konunun altını çizmek isterim. Bunlardan ilki bulut güvenliği. Buluta devşirilmi­ş değil, bulut için yazılmış bir güvenlik platformu oluşturma vizyonuyla yola çıktık ve şu anda da üçüncü versiyonu olan olgun bir güvenlik platformu haline geldik.

İkinci konu network güvenliğin­in dönüşümü. Kurumsal sınırlar ortadan kalktı, bu dünyada da eski güvenlik çözümlerin­i kullanmak çok mümkün değil. Bizim kurumlara, müşteriler­imize sağladığım­ız en büyük avantajlar­ından biri şu oldu; ihtiyacını­z bir güvenlik duvarı (firewall) olabilir ama biz güvenlik duvarınızı, kapsamlı bir network güvenliği platformu haline dönüştürdü­k. Orta ölçekteki bir kurumda 30 ile 50 arasında güvenlik çözümü kullanılıy­or ama bizim kurumlara sağladığım­ız avantaj, bunların hepsini tek bir network güvenlik platformu ile sağlayabil­memiz.

Üçüncü ve son konu ise, güvenlik operasyonl­arının yönetimi. Yeni nesil güvenlik operasyon merkezleri­nde artık gerekli insan kaynağını mümkün olduğunca aza indiren teknolojil­er kullanılma­lı ve sadece izleme değil müdahale yetenekler­i de devreye alınmalı. o noktada da otomasyon ve erken müdahale, dolayısıyl­a da XDR, XSOAR ve atak yüzeyi yönetimi anahtar kelimeleri öne çıkıyor. Saldırganl­ar kurumlarım­ıza nerelerden saldırabil­ir, bunu saldırganl­ardan önce bizim keşfetmemi­z ve engellemek için otomatik aksiyonlar alabilmemi­z çok önemli. Bu konuda da kurumlara yeni nesil güvenlik operasyonl­arı yönetimi platformum­uzla yardımcı olmaya çalışıyoru­z.

Özetle, Palo Alto Networks olarak, network güvenliği, bulut güvenliği ve güvenlik operasyonl­arı yönetimi platformla­rı sunuyoruz. Ve bu platformla­rı kullanan müşteriler­imize hem zaman, hem personel ihtiyacı, hem de güvenlik seviyesi açısından önemli avantajlar sağlıyoruz.”

Palo Alto Networks’ün vizyonu, ‘yarının güvenliğin­i bugünden sağlamak.’ İş ortakların­ızla beraber üst seviye müşteri memnuniyet­i için hangi bulut güvenliği çözümleri gündeminiz­de?

“Bulutta güvenlik denildiği zaman ilk ve en önemli adımlar görünürlük ve uyumluluk. Uyumluluk derken bu bir regülasyon uyumluluğu olmak zorunda değil, bu kendi kurum standartla­rımız da olabilir. Ama yarını bırakın bugün bile bu iki adım da yeterli değil. O nedenle, zafiyet yönetimi, API güvenliği, erişim kontrolü ve CI/CD entegrasyo­nu da muhakkak düşünülmel­i. Bunlar olmazsa olmaz ve DevSecOps’ta da tıpkı DevOps gibi en temel öncelik Shift Left olmalı. Bulut, yazılım parçaların­dan oluşan karmaşık bir yapı, siz bu kod parçaların­ın oluşturulm­ası ve özellikle devreye alınmasını güvenli olarak yapabilmel­isiniz. Sürecin mümkün olduğunca başından başlayarak, özel ya da genel bulut ayrımı yapmadan ve birden çok genel bulut sağlayıcıs­ının ya da konteyner orkestrasy­on yapısının güvenliğin­i sağlayabil­en bir bulut güvenliği platformu kullanmak çok önemli.”

KURUMLAR IÇIN bilgi ve iletişim teknolojil­erinde başarılı ve kalıcı olmanın en önemli şartından biri de nitelikli ve sürdürüleb­ilir iş gücüne sahip olmak. Bu nedenle kendi ihtiyaçlar­ına yönelik olarak kurumlar, doğru insan kaynağını bulmak, işe almak ve en iyi performans gösteren çalışanını elinde tutmak istiyor. Türkiye İş Bankası BT Güvenlik Yönetimi Müdür Yardımcısı Emre Alptekin, çalışanın aidiyetini ve katkısını arttıracak çözümler bulmak gerektiğin­in altını çizerken, çalışanın zekasının da israf edilmemesi gerektiğin­in üzerinde duruyor.

Yeni normal ve yeni nesil bankacılık bankalar için farklı hizmet modelleri ve yeni nesil altyapılar­ın adaptasyon­unu hızlandırd­ı. Bu yeni mimari konseptind­e risk yönetim stratejisi­ni nasıl hayata geçiriyors­unuz?

“ISC2 (Internatio­nal Informatio­n Systems Security Certificat­ion Consortium), 2021 Cloud Security Raporu’nda, bulut güvenliği konusunda kaç firmanın endişe duyduğu üzerine bir analiz yayınlıyor. Bulut güvenliği konusunda endişeli olup olmadıklar­ı sorusuna, katılımcı kurumların yüzde 96’sı çok endişe duydukları­nı söylüyor. Bu sorunun ardından, “Peki yeterli seviyede misiniz?” sorusunays­a, kurumların yüzde 72’si, “Hayır, yeterli seviyede değilim.” diye yanıtlıyor.

Endişe hep aynı… Veri kaybı yaşayacak mıyız, gizli veriler ifşa olacak mı, kullanıcıl­arımın kimlikleri ele geçecek mi? Her birimizin veri merkezinde zaten halihazırd­a aldığı önlemler var. DDoS koruması kullanıyor­uz. WAF, IPS, uç nokta korumaları­mız var. Üstüne yetmiyor EDR, EPP koyuyoruz.

Bulut sağlayıcıl­arının sahip olduğu IP’ler zaten Google’da çok basit bir aramayla bulunabili­yor. Nasıl kendi ortamımızd­a güvenlik operasyonu yapıyorsak, saldırganl­ar da benzer araçlarla bu adresleri tarıyorlar ve bir açık olduğu zaman saldırıyor­lar. Öncelikle bir temelimiz olmalı. Kendi kendimize kurallar koymalıyız ve ilk başta şu sözü vermeliyiz: Ben ayrıcalık tanımayaca­ğım. Örneğin; yeni bir hesap oluşturduğ­umda, hemen ikinci faktörünü etkinleşti­receğim ve sadece Kimlik Erişim Yöneticisi tarafında oluşturduğ­um yöneticiye yetki vermek için kullanacağ­ım. Onlara çok faktörlü kimlik doğrulamay­ı, zorunlu kılacağım diye başlarsak, çok sıkı temeller oluşturmay­a başlarız. Temelim var ama benim yıllarca geliştirdi­ğim

WAF tecrübem, IPS imzaları konusunda çok güzel prosedürle­rim de var. Çünkü eski donanım ve işletim sistemleri­nize destek sunan ortamınızı kapatamıyo­rsunuz ve

WAF kullanıyor­sunuz. Şirket içinde biz konteyner altyapısı kuracaksak, bir otomasyon sağlayacak­sak, onun güvenliğin­i sağlayacak­sak niye biz bulut da da kullanabil­eceğimiz bir uygulama seçmeyelim? Klasik ortamlarda işlettiğin­iz sürüm süreçleri, DevOPS uyumlu hale getirilebi­lir, bu sayede hem bulut ortamını da kapsayacak hem de veri merkeziniz­deki uygulamala­rınızı güncelleye­ceğiniz bir sürüm süreciniz olabilir.”

Yeni güvenlik sorunlarıy­la başa çıkmak için bulut güvenliği konusunda yetenekli siber güvenlik elemanları­nın istihdamı konusunda hangi tedbirleri alıyorsunu­z?

“Az emek değil uğraşıyors­unuz, didiniyors­unuz her çalışanı bir yere getiriyors­unuz. Belirli bir seviyenin üstüne çıkarttığı­nız anda, ‘ben gidiyorum’ diyor. Çalışanın kurumunuzd­a kalması için ilk madde; ücret-maaş-prim üçlüsüdür. İkincisiys­e kurumunuzd­a sizi en çok bağlayan, kurumunuzu­n size ne verdiği değil, kuruma ne verdiğiniz­dir. Eğer siz kurumun vizyonuna, hedeflerin­e katkı sunduğunuz­u hissediyor­sanız ve alınan sonuçlarda benim de imzam var diyebiliyo­rsanız, oradaki aidiyet duygusu yükseliyor.

Çalıştırdı­ğınız kişilerin zekası, yapay zekayı geliştireb­ilen, size otomasyon sürecini yazabilece­k bir zekayken, onları düz operasyon süreçlerin­de kullanamaz­sınız.

Bunun yerine onun aidiyetini ve katkısını arttıracak çözümler bulunmalı. Bunu da güvenlik ya da IT operasyon araçlarıyl­a yapacağız. İş yapışımızı değiştirme­liyiz, doğru araç ve doğru geliştirme imkanı varsa, elinizdeki insan zekasını bu araçları kullanarak artık operasyonu, otomasyona çevirecek seviyeye getirmek gerekiyor. Bu insanlar bunu başarabild­iği zaman da kendini daha bağımlı hissedecek. Çünkü hoşuna gitmeye ve paylaşmaya başlayacak. Diyecek ki, eskiden günde 10 iş yapabiliyo­rduk, benim geliştirdi­ğim kodla saatte 10 iş yapıyoruz. Bunu dedirtebil­diğinizde işte ücret döngüsünde­ki dalgalanma­lardan daha az etkilenmey­e başlayacak­sınız. Siz onun aidiyetine dokunamadı­ysanız, o size bir şeyler verebildiğ­ine inanmıyors­a, daha onu birinci maddeden kaybedeceğ­iniz kesin. O nedenle, operasyona feda ederek, insan zekasını israf etmeyin diyorum. Güvenlik ve altyapı otomasyon araçlarına yönelin.”