Siber güvenlik açıkları tüm ülkeler ve şirketler için oldukça kritik sonuçlar doğurabiliyor, bu nedenle siber saldırılardan korunmak için önemli yatırımlar gerçekleştiriliyor. Ancak yapılan yatırımların miktarı ile güvenliğin tam olarak sağlanması arasında bir korelasyon bulunmuyor. Oysa pek çok kurum yaptıkları yatırımın büyüklüğüne dayanarak gerekli önlemleri aldıkları varsayımıyla hareket edebiliyor. ICWC – 5th International Cyber Warfare and Security Conference’ta yaptığı konuşmasında güncel siber saldırılar, tehdit düzeyleri ve siber güvenlik yatırımlarını efektif kullanmanın önemini detaylarıyla anlatan Picus Security CEO’su ve Kurucu Ortağı H. Alper Memiş, siber güvenliğin tam olarak sağlanması için varsayımların ötesine geçilmesi gerektiğinin altını çizerek şunları söyledi: “Güvenlik ortamlarının artan karmaşıklığı ve siber güvenlik alanındaki personel eksikliği göz önüne alındığında, bilgi sistemlerini ve ağları geleneksel yaklaşımlarla güvende tutmak her geçen gün daha da zorlaşıyor. Fakat biz Picus olarak bu durumu değiştiriyoruz. Yaklaşımımız sayesinde, güvenlik ürünlerinizin beklendiği gibi çalıştığını varsaymak yerine en güncel siber tehditlere karşı doğrulamaya başlayabilirsiniz”
Güvenlik zafiyetleri kanıtlara dayalı olarak çok daha iyi anlaşılabilir
Gartner’ın 2021’deki anketine göre, kurumların ve şirketlerin yalnızca %22’si siber güvenlik kontrollerine güveniyor. Ernst & Young’ın araştırmasına göre ise organizasyonların sadece %25’i güvenlik kontrollerinin siber riski azaltmadaki etkinliğini ölçerken, kalan %75 varsayımlara göre hareket ediyor. 2025 yılında siber suçların finans sektörüne olan maliyetinin 25 trilyon doların üzerinde olması beklendiği de göz önüne alındığında durumun vahameti iyice ortaya çıkıyor. Varsayımlara göre hareket edildiğinde yanlış bir güvenlik algısı oluştuğunu ve siber riskleri yönetirken yanlış kararlar verildiğini aktaran Alper Memiş: “Siber saldırganlarla mücadelede daha etkin bir yöntem olarak saldırganlar gibi düşünmek ve daha proaktif olarak tehdit merkezli bir yaklaşıma geçmek gerekiyor. Tehditleri merkeze alarak ve onlara karşı güvenlik duruşumuzu doğrulayarak, zafiyetlerimizi varsayımlardan ziyade kanıtlara dayalı olarak çok daha iyi anlayabiliriz.” dedi.
Tamamen bilgiye ve kanıtlara dayalı bir güvenlik yaklaşımına geçmemiz gerekiyor
Günümüz güvenlik teknolojilerinin çoğu gerçekten iyi ve etkileyici olsa da asıl zorluğun, güvenlik araçlarının operasyonel etkinliğinin yeterince bilinmemesi ve etkin şekilde kullanılamamasından kaynaklandığına değinen Memiş, milyonlarca dolar harcanan siber güvenlik araçlarının nasıl çalıştığını bilmeden, güvenlikle ilgili riskleri yönetmede proaktif olunamayacağını vurguladı ve ekledi: “Çok fazla bilinmeyeni olan siber dünyada, siber güvenliğe varsayıma dayalı bir uygulama olarak yaklaşılması artık yeterli değil. Varsayımlar yerine tamamen bilgiye ve kanıtlara dayalı bir güvenlik yaklaşımına geçmemiz gerektiğine dair açık bir ihtiyaç var.”
Kurumlar ve şirketler düzenli zafiyet taramaları, sızma testleri ve hatta bazen kırmızı takım çalışmaları yürütseler de bunların yeterli olmadığını ifade eden Alper Memiş, “Dünyadaki en iyi sızma testi ekibine test yaptırıp, tespit edilen tüm bulguları kapatsanız bile, test yapıldıktan sonra sisteminizdeki ufak bir değişiklik sistemlerinizin hacklenmesine sebep olabilir. Bütün bunlara ek olarak, güvenlik ortamlarının artan karmaşıklığı ve siber güvenlik alanındaki personel eksikliği göz önüne alındığında, bilgi sistemlerimizi ve ağlarımızı geleneksel yaklaşımlarla güvende tutmak her geçen gün daha da zorlaşıyor. Fakat biz Picus olarak bu durumu değiştiriyoruz. Platformumuzu, hem siber güvenlik yatırımlarının etkinliğine ilişkin kanıtlar sağlamak ve bu yatırımların etkinliğini artırmak hem de otomatik ve sürekli bir şekilde, daha tehdit merkezli olmayı sağlayarak siber savunma yeteneklerini güçlendirebilmek ve ölçeklendirebilmek için geliştirdik” şeklinde konuştu.
Sürekli ve proaktif olarak güvenlik duruşunuzu iyileştirin
Karşılaşılan riskleri sürekli değerlendirerek buna göre savunmayı güçlendirecek aksiyonlar almak ve tehdit odaklı bir yaklaşım benimsemek kurumlara siber savaşa hazırlıkta avantaj kazandırıyor. Picus platformu kullanıcılarına bu olanağı sağlıyor. Picus Security, en kritik güvenlik açıklarını, hackerlar tarafından aktif olarak kullanılmadan önce tespit etmek ve bu açıkları kapatabilmek için sürekli ve otomatik doğrulamanın bir zorunluluk olduğuna inanıyor. Picus platformunu kullanarak bir siber güvenlik ihlali olmadan önce sürekli ve proaktif olarak güvenlik duruşunuzu iyileştirmek ve siber dayanıklılığını artırmak mümkün.
