Değişen paradigmaya yeni bir güvenlik modeli

Son bir kaç yıldır, piyasadaki güvenlik araçlarının sayısındaki yüksek artışın yanı sıra gittikçe artan bir şekilde makine öğrenimi, yapay zeka ve güvenlik düzenlemeleri hakkında çok şey duyduk.

Aslında buradaki temel sorun, bir şirketin güvenliğini iyileştirmek için bunların nasıl kullanılacağının net olmamasından kaynaklanmaktadır. Örneğin, hepsini birden kullanırsanız daha mı çok güvenli olursunuz, daha mı az, yoksa güvenlik seviyeniz aynı mı kalır? Günümüz data hızını düşündüğümüzde, örneğin, 100 Gigabit Ethernet ağlarını; bu ağlarda hareket eden data paketlerinin arasındaki zaman dilimi 6.7 nanosaniye, yani diğer bir deyişle saniyenin 6.7 milyarda biri. Böylesine bir hız tehdidin saptanmasını, analizini ve akıllı güvenlik uygulamalarının kullanılmasını, dolayısıyla tehdidin önlenebilmesini imkansız hale getirmekte.

Diğer bir yandan, günümüzde sofistike kötü amaçlı yazılımlar ve platformlar darkweb üzerinden kiralanabilmekte veya satın alınabilmektedir. Bu erişimin kolaylaşması nedeniyle, siber saldırı tekniklerinden herhangi birini kullanmak, artık sadece elit ve sofistike hackerlar veya devlet otoritelerinin tekelinde değil, aksine herkese açık hale gelmiştir.

2000’li yılların başlarına geri döndüğümüzde, “güvenlik” dediğimiz zaman akla sadece bir kaç tool gelirdi. Zararlı yazılım ve veri ihlallerinin hızla giderek artması her geçen gün pazara yeni teknolojiler ve çözümlerin sunulmasını gerektirdi. Çözüm ve teknolojilerdeki bu artış, SecOps ekiplerinin daha önce sahip olmadığı bir yeni yetkinlik ve uzmanlık ihtiyacı doğurdu. Gerek tool, gerekse insan kaynağı ihtiyacı öyle bir hal almaya başladı ki, SecOps ekipleri artık bu talebe yetişmekte ciddi olarak zorlanmaya başladı. Üstelik bugün, karşılaşılan tehditler engellenmiş olsa da, yarın ne olacağını ve ne büyüklükte bir riskle karşı karşıya kalınacağını halen öngöremiyoruz.

Bunlara ek olarak diğer bir konu da, işletmelerin saldırıları bertaraf etmek için çoğunlukla manuel iş akışları kullanması. Bu da genellikle otomatik botlar kullanan saldırganların gerisinde kalmalarına neden olmakta. Böylece, yetişmiş eleman ve kaynak sıkıntısı açısından dezavantajlı hale gelen işletmeler bir “makina-insan savaşı” ile karşı karşıya kalmaktadır. İşletmeler sıklıkla, güvenliğin kalitesinin sahip olunan güvenlik araçlarının sayısı ile ölçüldüğü yanılgısına düşmektedirler. Maalesef sağlam bir yapıya sahip olabilmek adına, birbiri ardına güvenlik ürünlerini altyapıya eklemek, tıpkı ciddi bir hastalığı yara bandı ile tedavi etmeye benzer Hem veri hızını hem de kolay erişilebilir hale gelen kötü amaçlı yazılımları düşündüğümüzde, kabul etmemiz gereken temel konu; “Bilinmeyen tehditlerin, kurumların savunmalarını geçerek, altyapıları içine sızabilmeleridir.”. Bu bağlamda günümüzdeki geleneksel, yani tehdidi engelleme odaklı güvenlik stratejileri, yeterli olmadığından, siber tehditlerin polimorfik yapısına, artan hızına ve hacmine karşı koymak için işletmelerin, ihlallerin gerçekleşeceği varsayımıyla hareket ederek yeni bir güvenlik modelini kucaklamaları gerekmektedir.

Yeni model; temel bir görünürlülük katmanı ve üzerine oturtulan önleme, tespit, öngörme ve sınırlama olarak, dört ana yapıdan oluşan bir framework sunmaktadır.Temel katman olan Güvenlik Dağıtım Platformu, işletmelerin gerek fiziksel, gerek sanal, gerekse bulut yapısında dolaşan tüm veriyi görünür kılarak kör noktaları ortadan kaldırmaktadır. Bu katman, yaşam döngüsü boyunca tehditleri öğrenen, saptayan, öngören ve sınırlayan gelişmiş ve farklı güvenlik hizmetlerinin sağlanmasına imkan tanır. Aynı zamanda, onları güçlendirerek, verimliliklerini arttırarak ve modelin oluşturulması, sürdürülmesi ve optimize edilmesi için maliyetlerin sınırlandırılmasına yardım ederek, diğer dört yapıya temel servisleri sağlar.

Geleneksel güvenlik modellerinin tamamını oluşturan, ancak, yeni modelde temel katman üzerine oturan ilk yapı olan “önleme” ,hijyen oluşturarak güvenlik duvarını geçmeyi daha zor bir hale getirmeyi hedefler. Firewall, kimlik ve erişim kontrolü, ağ segmentasyonu, ve asetlerin izolasyonu gibi geleneksel koruyucu önlemlerden türetilmiş olan iyi hijyen,saldırganın işletmenin içine sızmasına ve yayılmasına engel olur. Diğer bir deyişle, saldırganın varlığının saptanmasını kolaylaştırır ve başka yöntemlere başvurmaya zorlar.

Katmanın üzerine oturan ikinci yapı “tespit” saldırganları doğal olmayan adımlar atmaya zorlayarak, davranışlarındaki anormallikleri daha kolay saptamayı amaçlar. Ağdaki günlük davranışlarla bir baseline yaratıldıktan sonra, sistemdeki anormallikleri tespit etmek için kullanıcı davranışları bununla kıyaslanır. Öğrenmek, hatırlamak ve değişen kullanıcı, cihaz ya da uygulama davranışına uyarlamak ve de bu davranıştan sapmaları tespit etmek, günümüzdeki “machine learning teknolojisi”nin temelini teşkil etmektedir. Bir sonraki yapı olan “öngörme” ise yapay zeka ve davranışsal çözümlerin devreye girdiği yapıdır. Önceki yapıyla tespit edilen anormallikler, davranışın amacı hakkında tam bir fikir vermez. Yapay zeka tabanlı çözümler, polimorfik yüzeydeki paternleri ortaya çıkarır, niyeti tahmin eder, yaşam döngüsündeki bir sonraki adım olan “sınırlama ve aksiyon alma” fazına geçmek üzere gerekli aksiyonları almak için, davranış paternlerinin altında yatanları yüzeye çıkarır. Ancak ve ancak amacı saptayınca, tehdidi kontrol altına alabilir, maliyet ve riski minimize edebilirsiniz.

Günümüzde tehdidin sınırlandırılması süreci oldukça zaman alıcı bir şekilde endpointler, routerlar, switchler, güvenlik duvarları ve IPS’ler arasında koordinasyonu gerektirecek şekilde manuel olarak yapılmaktadır. Bu basamaklar ve değişim yönetimi işletme içinde değişik departmanlar tarafından ele alınmakta ve her biri farklı prosedür, yetenek ve gözden geçirme süreçleri gerektirmektedir. Aslında bunun değiştirilerek, işletmelerin kesintisiz süreçler, en aza indirgenen dokunma noktaları, otomasyon ve güvenlik iş akış orkestrasyon çözümlerinin geliştirilmesi ve konuşlandırılmasıyla aksiyon almayı hızlandırmaları gerekmektedir.

Böylece, bu yeni yaşam döngüsü modeli ile fiziksel, sanal ve bulut ortamında hem altyapı içinde, hem de altyapılar arasında çalışan, sürekli öğrenen ve adapte olan ve de hızlı yanıt vererek aksiyon alan bir sistem oluşturmalıdır. Aslında bu yeni model, mücadele alanını düzenleyerek, makina öğrenmesi, yapay zeka tabanlı teknolojilerin entegrasyonu ve bunların yanı sıra, güvenlik iş akışlarının da otomasyonuyla avantaj ve kontrolü, savunma halindeki işletmeye geri kazandırarak saldırganın avantajlı olduğu makina-insan savaşını makina-makina senaryosuna dönüştürmekte ve sürecin dinamiklerini değiştirmektedir. Bu yeni model ile kötü aktörleri ve tehditleri engelleyebilir, algılayabilir, öngörebilir ve hızlı bir şekilde önlemek için eyleme geçebilirsiniz. Aynızamanda maliyet, karmaşıklık ve güvenlik risklerini azaltarak, karar almayı da iyileştirebilirsiniz.

Gigamon - Bölge Satış Direktörü Berke Öncül