‘GELECEK 10 YILDA SUNUCUSUZ YAPILAR GÜNDEMDE OLACAK’
“DIJITALLEŞME YATIRIMLARINI yapan kurumlar bu yeni sürece hızla adapte olurken diğer yandan siber risklerle de karşı karşıya kaldılar. Kurumlar siber risklerini en etkin şekilde yönetmeye, siber tehditlerine karşı korunmak için de standartlar, politikalar ve stratejiler geliştirmeye başladılar” diyen Coca Cola İçecek Bilgi Güvenliği Lideri CISO Alen Bohcelyan, kurum genelinde alınacak her bir kararın veri güvenliği perspektifinden bakılması gerektiğinin altını çiziyor.
Siber riski etkin şekilde yönetirken ve güvenlik risklerini değerlendirirken nelere odaklanıyor ve yeni nesil otomasyon çözümlerinde verimliliği maksimuma çıkarmak üzere hangi aksiyonları devreye alıyorsunuz?
“Konunun özü tehdit yüzeyini ve buna bağlı tehdit modellerini doğru şekilde yönetebilmekte. Çok hızlı değişen bir dünyadayız ve pandemi de ne kadar hızlı değişebileceğimizi, bize kanıtlamış oldu. Durmaksızın devam eden değişimle birlikte, her geçen gün sunduğumuz yeni kabiliyetlerle, yaptığımız yeni süreçsel değişikliklerle veya her yeni girişimle, tehdit yüzeyimizin değişmesine sebep oluyor buna bağlı olarak tehdit modellerimiz farklılaşıyor. Değişimin hızı ile orantılı şekilde tehditleri modelleyebilir ve önlem alabiliyorsanız, değişimin hızı bir dezavantaj olmaktan çıkmaya başlıyor. Verilen kararların ilk andan itibaren değerlendirilmesi yapılmaması halinde, değişiklik hayata geçtiği anda risk doğuyor ve güvenlik ekipleri durumu olması gerektiği hale getirene kadar risk sizinle birlikte yaşamaya başlıyor. O nedenle kurum genelinde alınacak her bir kararı, veri güvenliği perspektifinden değerlendirmek gerek.
Gelecek öngörüsü olarak, globalde güvenlik ekiplerinin sesinin ve becerisinin kuruma daha çok ve güçlü yayılacağı, bir 10 yıllık perspektif gözlemliyoruz. İkincisi teknik tarafta, yazılım geliştirme döngüsünde. O da şu; yazılım geliştiricilerin bütün kabiliyet geliştirme adımlarını olabildiğince hızlandırmaya odaklanıyoruz ki, daha hızlı servis getirelim, pazarda daha hızlı yarışalım ve daha çok katma değer üretelim. Tam bu noktada hızlı geliştirme, genişletme perspektiflerinden ötürü sunucusuz (serverless) altyapıların hayatımıza daha fazla girmeye başlayacağını öngörüyoruz. Bütünleşik olarak sunucu güvenliği, container güvenliği, sunucusuz altyapıların güvenliğinin yönetilebileceği çözümler maksimum verimlilik için temel bir teknoloji ihtiyacı olacağı görüşündeyiz.”
Gelecek döneme ilişkin Coca Cola İçecek olarak güvenlik konusundaki çözümleriniz neler?
“DevSecOps günümüz için kaçınılmaz bir işletme tekniği olmak ile birlikte kritik olan halen geliştirme döngüsünün (Software Development Life Cycle) olgunluğudur. Kurumların sürecin tamamını adım adım doğru anlamış olması, doğru şekilde tasarlamış olması ve bunların nasıl bir harmonide yerine getirileceğini belirlememişsek DevSecOps bir çözüm olmayacaktır. DevOps aslında sadece ve sadece bir otomasyon yöntemi veya tekniği değil, bütün standartları, sürecin kurumsallığının oluşturulmasını zorlayan ve ondan sonra bunları bir teknolojiyle harmanlayıp, en efektif şekilde yerine getirmenize yarayan bir mantalite ve haliyle bu da kurumsal bir kültür demek. Yani hem yazılım geliştirici hem operasyon hem de güvenlik ekiplerinin bu kültürü anlaması ve aynı zamanda da katkı göstermesi gerekiyor. Geliştirme döngüsüne ilişkin benim altını çizmek istediğim iki konu var.
Biri, “shifting security left” çünkü bizim gördüğümüz kadarıyla bir sorun, bir zayıflık test aşamasında teşhis edildiğinde, maliyet 6 kat ila 15 kat daha fazla oluyor ve operasyonel efektifliği ciddi anlamda etkiliyor. Shifting security left, yazılmış kodun teknik zayıflıklarını anında teşhis etmekten başlayarak tüm süreci baştan sona kapsayacak bir mantalite olmalı. Kapsamda tehdit modelleme çalışmalarının daha otonom hale getirilmesi, secret vault ve daha otonom servis hesabı yönetimi, açık kaynak modüllerini teşhis etme ve denetleme gibi birçok kabiliyeti içeriyor.
İkinci konu da, bug bounty programların öneminin dijital işletmeler için arttığına inanıyoruz. Çünkü bütün uygulama geliştirme sürecini işlettiniz, bir çıktı var, artık bu çıktıyı danışmanlık hizmeti alarak binlerce kişiye denetletmeniz efektif ve sürdürülebilir değil.
Bug bounty programlar ile bütün süreçte yaptığımız geliştirmeler ve sıkılaştırmaların sonucunu, yüzlerce uzmanın görüşüne açmanın ve onlardan görüş toplamanın, başarılı ve efektif bir denetim yöntemi olduğuna inanıyorum.”
DIJITAL DÖNÜŞÜMÜ YAKALAYIP, trendleri hayata geçirirken, her yenilikte, her gelişimde olduğu gibi; güvenlik alanına da yatırım yapma ihtiyacı doğuyor. SoftwareONE Turkey DevOps Çözümleri Lideri Altuğ Yıldırım bu ihtiyacı prisma cloud ve konteyner güvenliği ile açıklıyor ve gelecek dönemi anlatırken, kurumların özel, çoklu ve hibrit buluta yakın olması gerektiğine dikkat çekiyor. Yıldırım, gelecek dönem için SoftwareONE Turkey’in konteyner ve bulut güvenliğine daha fazla ağırlık vereceğini, bununla beraber sunucusuz bilişim teknolojilerindeki güvenlik önlemleri konusuna da yatırım yapacaklarına değiniyor.
“Dijital dönüşümü uygulama ve altyapı modernizasyonu olarak iki gruba ayırdık. Bu iki grubu da DevOps metodolojisiyle bağladık. Böylece, Dijital Dönüşüm sürecinde müşterilerimize uçtan uca hizmet verebilmeye, daha doğru ve başarılı çıktılar elde edebilmeye başladık.
Birçok güvenlik ürününü incelediğimizde yatırımlarını resmin bütününe göre yapmadıklarını, bir kutu içerisinde kaldıklarını fark ettik. Halbuki bizlerin, DevOps süreçlerinin olabildiğince her noktasına değinebileceğimiz ve “Shift Left” metodolojisini uygulayabileceğimiz bir ürüne ihtiyacımız vardı.Bu sebeple; Prisma Cloud Compute (Twistlock) ile birlikte odağımızı Prisma Cloud ailesine çevirdik.
Palo Alto, Twistlock’ı Prisma
Cloud ailesine kattı, Ardından da Aporeto dediğimiz, kimlik tabanlı mikro segmentasyon (identity based microsegmentation) tarafında bir güvenlik duvarı çözümüyle, konteynerlerin birbirleriyle konuşmasını güvenli hale getirdik. Ardından son olarak Bridgecrew ile beraber “IaC Security” dediğimiz alana yatırım yaparak, bünyesine büyük bir oyuncuyu dahil etti. Bugün neredeyse her müşterimiz bize diyor ki; artık altyapılarımızı kod olarak dağıtmak, Terraform, ARM kullanmak istiyoruz. Özellikle halihazırda kullanılan deklarasyon dosyalarıyla (YAML, Helm Chart vb.) beraber bu akım, güvenlik ekiplerinin yeni dönemde radarında olacağı kesin. Bu sebeple Bridgecrew ürününü çok önemsiyoruz ve Prisma Cloud ailesine katılmış olmasına çok seviniyoruz. Tabii tüm bu özelliklerin yanı sıra; bizler Prisma Cloud’u kurumumuza entegre ederek Azure kullanımını ve diğer çoklu bulut kullanımların güvenliğini ustaca sağlayabiliyoruz. Prisma Cloud bizim buradaki en büyük yardımcımız konumunda. Prisma Cloud, tek bir portal üzerinden neredeyse tüm yazılım yaşam döngünüze (SDLC) dokunabildiğinden bu sorunu da ortadan kaldırıyor. Özetleyecek olursak; hem altyapınızı, hem konteynerlarınızı, hem de ağ güvenliğinizi, hatta ve hatta yazmış olduğunuz “IaC” kodlarınızın güvenliğini tek bir platform üzerinden yapabiliyorsunuz. Prisma Cloud aslında kendini bir siber güvenlik platformu olarak değerlendiriyor. Microsoft’un da ve Palo Alto’nun da yoğunlaştığı bir diğer üçüncü altyapı var; o da sunucusuz bilişim ve şu anda karşılaşacağımız en niş güvenlik açıklarına neden olacak, konulardan biri olabilir. Bu noktada, hem
Azure Functions da, hem de bunun müadili yapılarda Prisma Cloud sizlere uçtan uca bir altyapı güvenliği sağlıyor. Konteyner güvenliğine biraz daha değinecek olursak, Palo Alto Networks’ün kendine has bir veri tabanı ve buna ait bir zafiyet ve uyum yönetimi mekanizması var. Kendi istihbarat veritabanı sayesinde 7/24 sistemleriniz en güncel ataklardan haberdar oluyor ve buna göre savunma mekanizması kurgulanabiliyor. Bu çok büyük bir artı.
Son olarak sizler kendi ortamlarınızda konteyner güvenliği ürünü konumlandırmak istiyorsanız, öncelikli dikkat etmeniz gereken hususlar; özel, çoklu ve hibrit buluta yakın olabilmesi, Microsoft gibi üretici firmalarla sıkı çalışıyor olması ve bence en önemlisi bu işe kafa yoran bir istihbarat ekibi ve buna bağlı olarak kendine özgü bir veritabanına sahip firmalar olmasıdır.”
KONTEYNER VE BULUT GÜVENLIĞINE AĞIRLIK VERECEĞIZ
“2022 ile beraber biz ne yapacağız? Öncelikle konteyner ve ekosistemi ile çalışmaya ve bu alana yatırım yapmaya devam edeceğiz. Buradaki kullanacağımız ortamlar; özel, genel ve hibrit bulut olacak. Bunların güvenliğine daha da çok ağırlık vereceğiz. Prisma Cloud ailesine daha fazla yatırım yapacağız. Bu ekosistemin etrafına yeni bileşenler koymayı ihmal etmeyeceğiz çünkü artık yeni bir dünya geliyor, geldi. Bu noktada yeni altyapılar da geliyor. Sunucusuz bilişim bunlara örnek. Tüm bu çerçevede yeni yılda buluta, konteynera ve tabii bunların güvenliğine daha fazla yatırım yapacağız.”
PALO ALTO NETWORKS, Bölge Sistem Mühendisliği Lideri Burak Sadıç, önümüzdeki 5-10 yıl içinde yaşanması beklenen gelişmelerin pandeminin etkisiyle birkaç ayda yaşandığını belirtirken, birçok kurumun, çalışanlarının uzaktan çalışmaya başlamasıyla güvenlik çözümlerine daha fazla ihtiyaç duyduğunu ve bu süreci de kısa sürelerde kurumlarına adapte ettiklerini ifade ediyor.
Palo Alto Networks olarak bilginin kurumun iş önceliklerine uygun olarak gizliliği, bütünlüğü ve erişilebilirliğinin sağlanmasına nasıl yardımcı oluyorsunuz?
“Normal şartlarda 2025 ya da
2030 yılında hayatımıza girecek gelişmeleri pandeminin etkisiyle birkaç ayda yaşamaya başladık. Geleneksel yapılarda uzaktan çalışma kavramı; kısıtlı sayıda çalışana verilen laptoplar, bunların VPN ile kuruma ulaşması ve çalışanların da cep telefonlarından kurum e-maillerine erişmesinden ibaretti. Şimdi ise çalışanların hangi saatte, nereden, hangi cihazlardan çalıştığı çok da önemli değil. Palo Alto Networks olarak, ‘yarının güvenliğini bugünden sağlamak’ vizyonuyla, tam da bu noktada kurumların yardımına yetiştik. Çalışanları uzaktan ama güvenli olarak çalışmaya ihtiyaç duyan birçok kurumun, bunu geleneksel güvenlik çözümleriyle sağlaması mümkün değildi ve biz bu geçişi günler, haftalar diyeceğimiz bir süreçte sağladık.
Güvenliği sağlama konusuyla ilgili üç konunun altını çizmek isterim. Bunlardan ilki bulut güvenliği. Buluta devşirilmiş değil, bulut için yazılmış bir güvenlik platformu oluşturma vizyonuyla yola çıktık ve şu anda da üçüncü versiyonu olan olgun bir güvenlik platformu haline geldik.
İkinci konu network güvenliğinin dönüşümü. Kurumsal sınırlar ortadan kalktı, bu dünyada da eski güvenlik çözümlerini kullanmak çok mümkün değil. Bizim kurumlara, müşterilerimize sağladığımız en büyük avantajlarından biri şu oldu; ihtiyacınız bir güvenlik duvarı (firewall) olabilir ama biz güvenlik duvarınızı, kapsamlı bir network güvenliği platformu haline dönüştürdük. Orta ölçekteki bir kurumda 30 ile 50 arasında güvenlik çözümü kullanılıyor ama bizim kurumlara sağladığımız avantaj, bunların hepsini tek bir network güvenlik platformu ile sağlayabilmemiz.
Üçüncü ve son konu ise, güvenlik operasyonlarının yönetimi. Yeni nesil güvenlik operasyon merkezlerinde artık gerekli insan kaynağını mümkün olduğunca aza indiren teknolojiler kullanılmalı ve sadece izleme değil müdahale yetenekleri de devreye alınmalı. o noktada da otomasyon ve erken müdahale, dolayısıyla da XDR, XSOAR ve atak yüzeyi yönetimi anahtar kelimeleri öne çıkıyor. Saldırganlar kurumlarımıza nerelerden saldırabilir, bunu saldırganlardan önce bizim keşfetmemiz ve engellemek için otomatik aksiyonlar alabilmemiz çok önemli. Bu konuda da kurumlara yeni nesil güvenlik operasyonları yönetimi platformumuzla yardımcı olmaya çalışıyoruz.
Özetle, Palo Alto Networks olarak, network güvenliği, bulut güvenliği ve güvenlik operasyonları yönetimi platformları sunuyoruz. Ve bu platformları kullanan müşterilerimize hem zaman, hem personel ihtiyacı, hem de güvenlik seviyesi açısından önemli avantajlar sağlıyoruz.”
Palo Alto Networks’ün vizyonu, ‘yarının güvenliğini bugünden sağlamak.’ İş ortaklarınızla beraber üst seviye müşteri memnuniyeti için hangi bulut güvenliği çözümleri gündeminizde?
“Bulutta güvenlik denildiği zaman ilk ve en önemli adımlar görünürlük ve uyumluluk. Uyumluluk derken bu bir regülasyon uyumluluğu olmak zorunda değil, bu kendi kurum standartlarımız da olabilir. Ama yarını bırakın bugün bile bu iki adım da yeterli değil. O nedenle, zafiyet yönetimi, API güvenliği, erişim kontrolü ve CI/CD entegrasyonu da muhakkak düşünülmeli. Bunlar olmazsa olmaz ve DevSecOps’ta da tıpkı DevOps gibi en temel öncelik Shift Left olmalı. Bulut, yazılım parçalarından oluşan karmaşık bir yapı, siz bu kod parçalarının oluşturulması ve özellikle devreye alınmasını güvenli olarak yapabilmelisiniz. Sürecin mümkün olduğunca başından başlayarak, özel ya da genel bulut ayrımı yapmadan ve birden çok genel bulut sağlayıcısının ya da konteyner orkestrasyon yapısının güvenliğini sağlayabilen bir bulut güvenliği platformu kullanmak çok önemli.”
KURUMLAR IÇIN bilgi ve iletişim teknolojilerinde başarılı ve kalıcı olmanın en önemli şartından biri de nitelikli ve sürdürülebilir iş gücüne sahip olmak. Bu nedenle kendi ihtiyaçlarına yönelik olarak kurumlar, doğru insan kaynağını bulmak, işe almak ve en iyi performans gösteren çalışanını elinde tutmak istiyor. Türkiye İş Bankası BT Güvenlik Yönetimi Müdür Yardımcısı Emre Alptekin, çalışanın aidiyetini ve katkısını arttıracak çözümler bulmak gerektiğinin altını çizerken, çalışanın zekasının da israf edilmemesi gerektiğinin üzerinde duruyor.
Yeni normal ve yeni nesil bankacılık bankalar için farklı hizmet modelleri ve yeni nesil altyapıların adaptasyonunu hızlandırdı. Bu yeni mimari konseptinde risk yönetim stratejisini nasıl hayata geçiriyorsunuz?
“ISC2 (International Information Systems Security Certification Consortium), 2021 Cloud Security Raporu’nda, bulut güvenliği konusunda kaç firmanın endişe duyduğu üzerine bir analiz yayınlıyor. Bulut güvenliği konusunda endişeli olup olmadıkları sorusuna, katılımcı kurumların yüzde 96’sı çok endişe duyduklarını söylüyor. Bu sorunun ardından, “Peki yeterli seviyede misiniz?” sorusunaysa, kurumların yüzde 72’si, “Hayır, yeterli seviyede değilim.” diye yanıtlıyor.
Endişe hep aynı… Veri kaybı yaşayacak mıyız, gizli veriler ifşa olacak mı, kullanıcılarımın kimlikleri ele geçecek mi? Her birimizin veri merkezinde zaten halihazırda aldığı önlemler var. DDoS koruması kullanıyoruz. WAF, IPS, uç nokta korumalarımız var. Üstüne yetmiyor EDR, EPP koyuyoruz.
Bulut sağlayıcılarının sahip olduğu IP’ler zaten Google’da çok basit bir aramayla bulunabiliyor. Nasıl kendi ortamımızda güvenlik operasyonu yapıyorsak, saldırganlar da benzer araçlarla bu adresleri tarıyorlar ve bir açık olduğu zaman saldırıyorlar. Öncelikle bir temelimiz olmalı. Kendi kendimize kurallar koymalıyız ve ilk başta şu sözü vermeliyiz: Ben ayrıcalık tanımayacağım. Örneğin; yeni bir hesap oluşturduğumda, hemen ikinci faktörünü etkinleştireceğim ve sadece Kimlik Erişim Yöneticisi tarafında oluşturduğum yöneticiye yetki vermek için kullanacağım. Onlara çok faktörlü kimlik doğrulamayı, zorunlu kılacağım diye başlarsak, çok sıkı temeller oluşturmaya başlarız. Temelim var ama benim yıllarca geliştirdiğim
WAF tecrübem, IPS imzaları konusunda çok güzel prosedürlerim de var. Çünkü eski donanım ve işletim sistemlerinize destek sunan ortamınızı kapatamıyorsunuz ve
WAF kullanıyorsunuz. Şirket içinde biz konteyner altyapısı kuracaksak, bir otomasyon sağlayacaksak, onun güvenliğini sağlayacaksak niye biz bulut da da kullanabileceğimiz bir uygulama seçmeyelim? Klasik ortamlarda işlettiğiniz sürüm süreçleri, DevOPS uyumlu hale getirilebilir, bu sayede hem bulut ortamını da kapsayacak hem de veri merkezinizdeki uygulamalarınızı güncelleyeceğiniz bir sürüm süreciniz olabilir.”
Yeni güvenlik sorunlarıyla başa çıkmak için bulut güvenliği konusunda yetenekli siber güvenlik elemanlarının istihdamı konusunda hangi tedbirleri alıyorsunuz?
“Az emek değil uğraşıyorsunuz, didiniyorsunuz her çalışanı bir yere getiriyorsunuz. Belirli bir seviyenin üstüne çıkarttığınız anda, ‘ben gidiyorum’ diyor. Çalışanın kurumunuzda kalması için ilk madde; ücret-maaş-prim üçlüsüdür. İkincisiyse kurumunuzda sizi en çok bağlayan, kurumunuzun size ne verdiği değil, kuruma ne verdiğinizdir. Eğer siz kurumun vizyonuna, hedeflerine katkı sunduğunuzu hissediyorsanız ve alınan sonuçlarda benim de imzam var diyebiliyorsanız, oradaki aidiyet duygusu yükseliyor.
Çalıştırdığınız kişilerin zekası, yapay zekayı geliştirebilen, size otomasyon sürecini yazabilecek bir zekayken, onları düz operasyon süreçlerinde kullanamazsınız.
Bunun yerine onun aidiyetini ve katkısını arttıracak çözümler bulunmalı. Bunu da güvenlik ya da IT operasyon araçlarıyla yapacağız. İş yapışımızı değiştirmeliyiz, doğru araç ve doğru geliştirme imkanı varsa, elinizdeki insan zekasını bu araçları kullanarak artık operasyonu, otomasyona çevirecek seviyeye getirmek gerekiyor. Bu insanlar bunu başarabildiği zaman da kendini daha bağımlı hissedecek. Çünkü hoşuna gitmeye ve paylaşmaya başlayacak. Diyecek ki, eskiden günde 10 iş yapabiliyorduk, benim geliştirdiğim kodla saatte 10 iş yapıyoruz. Bunu dedirtebildiğinizde işte ücret döngüsündeki dalgalanmalardan daha az etkilenmeye başlayacaksınız. Siz onun aidiyetine dokunamadıysanız, o size bir şeyler verebildiğine inanmıyorsa, daha onu birinci maddeden kaybedeceğiniz kesin. O nedenle, operasyona feda ederek, insan zekasını israf etmeyin diyorum. Güvenlik ve altyapı otomasyon araçlarına yönelin.”