Mastodon

Monolog

Kişisel görüşler, düşünceler ve deneyimler. Her şeyin dönüştüğü bir çağda söyleyecek bir şeyim var.

Teknoloji

Siber güvenlik: Çağımızın 1 numaralı sorunu

Teknolojik gelişmeler, yüzyılın başına kadar insanın takip edebileceğinden daha hızlı gelişmedi. İnsanlar, teknolojinin hızına adapte olabilecekleri zamanı, geçen yüz yılın sonuna kadar yakalayabildiler. Ancak 2000’li yıllarla beraber teknoloji devrimi, bırakın sıradan insanı, en büyük teknoloji şirketlerinin dahi uyum sağlamakta zorlandığı bir hızla evrilmeye devam ediyor. Üstelik bu hızın ne zaman istikrara kavuşacağı da belli değil.

Dijital devrimi özümseyemeden kuantum çağa giriyoruz. Bir bilgi bombardımanı altında hızı yakalamaya çalışırken, siber çağın risklerine karşı savunmasız kalıyoruz.

Ülkeler ve sektörler, değişen teknolojik manzarada siber güvenliği sağalayacak tedbirleri almaya çalışıyorlar. Bugün siber uzay ya da siber ortam dediğimiz sanal dünyada bütün teknolojik donanımlar, yazılımlar ve iletişim cihazları birbirine bağlanıyor. Siber alemde her gün açık veya gizli kabul edilen birçok bilgi, dijital ortamda birbirine bağlı bu teknolojiler arasında akıyor. Yeni oluşan düzen içerisinde bütün ilişkiler, yeniden tanımlanıyor ve düzenleniyor.

Günlük hayatımızın büyük kısmını sanal dünyada geçiriyoruz. İşin içinde insan olduğu için de karşılaştığımız en büyük tehlikelerden biri, hızla yayılan yanlış ve yetersiz bilgi oluyor.

Siber çağda yapay zeka ve makine öğrenmesi geliştikçe, siber güvenliğe daha çok ihtiyaç duyuyoruz. Teknoloji, hızlı bir şekilde ilerlemeye devam ettikçe tehlikenin anlamı da değişiyor. Teknolojinin ucuzlaması ve bilgiye kolay erişim, siber korsanların da yeteneklerini en az teknoloji şirketleri ve devletler kadar geliştirmelerine imkan sağlıyor.

Siber güvenliğin kısa tarihi.

İnsan, ürettiği teknoloji ile kendisinin ve çevresinin evrilmesine sebep olur. Atom çağına girmemizle değişen güvenlik tehditlerinin bugün bildiğimiz anlamına ulaşması, yaklaşık 100 yıl sürdü diyebiliriz.

20. yüzyıl başında atomların parçalanacağı fikrinin gelişmesiyle, güvenlik tehditleri de değişti. İnsanın algıları, tehlikenin kendi türünden geleceğini kabul etti. Bu sebeple, insanlığın faydasına olacak zincirleme reaksiyonlar, nükleer santrallerden daha çok nükleer silahlanmada kullanıldı. Güvenlik stratejileri her zaman diğerinden daha güçlü olmak üzerine kuruldu. Bunun sonucu olarak, yapılan her atom bombasından daha güçlüsü yapıldı. İnsanlar, atom bombalarının olmadığı bir dünyada değil, daha güçlüsüne sahip oldukları bir dünyada kendilerini güvende hissetti.

1940’larda transistörlerin bulunması ile bilgisayar çağı başladı ve insanın yönü yeniden değişti. Alan Turing’in şifre çözen makinesi, yapay zekanın olabileceği fikrini akıllara soktu. 21. yüzyılda ise insanlık için ortak tehdit, yapay zekayla gittikçe yükselen siber güvenliktir. Gelecekte yapay zeka tabanlı tehditlerle daha çok karşılaşacağız. Geçmişin benzerini yaşamaya devam edeceğiz ama sabit kalan tek şey yine değişim olacak.

Siber saldırı, asimetrik bir tehdittir.

Bugün siber korsan olmak için yüksek lisans yapmaya gerek yok. Bir ortaokul öğrencisi de kötü amaçlı yazılımı ağ içinde bir nesneye indirebilir. Bir hacker için inşa edilen güvenlik duvarlarını aşacak yazılımları geliştirmek, onun en yüksek motivasyonudur. Saldırı paketleri, siber uzayda ışık hızında ilerler. Saldırının başladığı zamanla etkisi arasındaki süreyi ölçmek neredeyse imkansızdır.

Genel güvenlik tehditlerinde tanımlı bir düşmanla savaşırsınız. Mücadele ettiğiniz düşmanı görürsünüz ve eşit şartlarda savaşırsınız. Ancak siber savaşlar bundan farklıdır. Bilmediğiniz, yeri belirsiz ve görmediğiniz birisi tarafından saldırıya uğrarsınız. Bu sebeple bireysel hareket eden ve hızlı olan kötü adama karşı hantal yapıda olan kurumların savunma stratejileri esnek olmalıdır.

Bir siber saldırıyı kimin yaptığını tespit etmeniz neredeyse imkansız. Bir devleti veya kurumu doğrudan suçlayamazsınız. Üstelik saldırıyı tespit etseniz dahi bunu bir kanıt olarak kullanamazsınız. Ayrıca nereden geldiğini bulmanız büyük ihtimalle mümkün olmaz. Bulsanız dahi tespit edileceğini anlayan kötü adama, size çok büyük zarar verme fırsatını vermiş olursunuz.

Bir kişinin ya da küçük bir grubun siber saldırısı belki kurumu ya da devleti çökertmez ancak çarpan etkisi çok büyük olur. Mesela diğer ülkelerde ele geçirilen sunucular da devreye girdiğinde olay küresel bir boyut kazanır.

Siber saldırı, bir kurum tarafından yapılabileceği gibi tek bir kişinin bireysel de yapabileceği bir eylemdir. Ayrıca siber saldırı yapmak için sabit bir yere de ihtiyaç olmaz. Kötü adam, bir kafeden ya da parktan dahi siber saldırı gerçekleştirebilir. Bu sebeple siber saldırılar doğası gereği asimetriktir.

Siber güvenlik trendlerinin hızlı değişmesi, yeni yeteneklere ihtiyacı arttırıyor.

Siber güvenlikte 2023 yılında trend olan sorunlar yükselmeye devam ediyor. Bunların başında veri güvenliği ihlalleri bulunuyor.

Siber güvenlikte en önemli sorunlardan bir tanesi de istihdamdaki yetersizlik. Yetenek açığı kapanıyor görünse de bu yeterli olmuyor. Yapay zeka ve nesnelerin interneti, gelişmesini hızlanarak sürdürüyor. Bu sebeple siber güvenlik alanında nitelikli istihdama her zamankinden daha çok ihtiyaç var.

Şirketlerin en çok bulut bilişim, yapay zeka, makine öğrenmesi ve sıfır güven uygulamalarında yeteneklere ihtiyacı var. Bunun yanında siber güvenlik ve iletişim gibi daha az teknik bilgi isteyen beceri açıklarını da buna eklememiz gerekir.

Yapay zeka, iki tarafın da siber yeteneklerinin gelişmesine yardımcı oluyor.

Yapay zekanın potansiyel tehditleri öğrenme ve öngörme yeteneği hızla yükseliyor. Siber güvenlik tarihinde en önemli buluş olarak yapay zekayı görebiliriz. Makine öğrenimi sayesinde AI sistemleri, verileri analiz edip olası saldırı vektörlerini belirleyebiliyor. 

Ancak yapay zekadaki ilerlemeler, suçlular için de avantaj sağlıyor. Kötü adamlar, taktiklerini hızla uyarlamak ve geleneksel güvenlik önlemlerini almak için bu teknolojiyi kullanıyor. Yapay zeka sayesinde suçlular kimlik avı, kötü amaçlı yazılım saldırıları ve veri manipülasyonu gibi görevleri otomatik hale getirebiliyor. Yine AI odaklı botlar, daha karmaşık DDoS saldırıları başlatmak için de kullanılıyor. Ayrıca bir gün kriptografimizi kırabilecek olan kuantum bilgisayarları da gelecek tehdit algılamaları içinde düşünmemiz lazım.

Yapay zeka kaynaklı siber tehditler çoğalırken çözümleri de beraberinde geliyor. Mesela şifre kullanma, siber çağda önemini kaybediyor. Şifre kullanmanın yerini geçiş anahtarları alıyor. Fido Standardı ile artık şifre kullanmak zorunda kalmıyorsunuz. Daha kolay, basit ve daha güvenli bir şekilde veri merkezine giriş yapabiliyorsunuz.

Yapay zekanın yükselen tehdit oluşturmasının sonuçlarından biri de oltalama denilen yanıltıcı maillerin atılması. Yapay zeka tabanlı oltalama mailleri öyle inandırıcı üretiliyor ki insanlar bilgilerini yanılarak verebiliyor. Ancak bir şifre yerine, sistemde saklı bir geçiş yetkiniz varsa yetkilerinizi paylaşacağınız bir ortam olmuyor.

Yapay zeka, siber tehditlere karşı iyi bir savunma aracıdır.

Yapay zeka, artık her iki tarafın vazgeçemediği bir araç. Siber güvenliğin sağlanabilmesi, bu teknolojiyi daha iyi kullanmaktan geçiyor. Tehdit olarak görülen AI tabanlı uygulama, bizi siber tehlikelerden koruyacak bir araca dönüşebilir. Üstelik yapay zekayı doğru eğiterek gelecek tehditlerden de kendimizi koruyabiliriz. Bu tehditlerden bir tanesi de halüsinasyon dediğimiz yanlış bilgilerdir.

Giderek büyük dilli modellerinden gelen bilgilere bağımlılığımız artıyor. Ancak yapay zekadan gelen her bilgi doğru değildir ve bunlara halüsinasyon denir. Bundan kaçınmanın bir yolu Rag Teknolojisi kullanmaktır. Bu teknoloji, harici bilgi tabanından gerçekleri alır, büyük dil modellerini doğru ve güncel bilgi üzerine temellendirir. Kullanıcılara LLM’lerin üretken süreci hakkında fikir vermek için kullanılan yapay zeka çerçevesidir. Böylece sistem, daha iyi ve doğru bilgi verecek şekilde eğitilir.

Geleceğe dönük bir başka yaklaşım da AI ve siber güvenlik arasında simbiyotik bir ilişki kurmaktır. Bunu, yapay zeka ve siber hayatın güvene dayalı bir dostluk kurması olarak tanımlayabiliriz. Böylece AI’yı kullanarak siber güvenlik de gelişmiş olur. Aynı şekilde siber güvenlik yeteneklerinin gelişmesi de yapay zekanın daha güvenli kullanılmasını sağlar.

Yapay zeka geliştikçe siber tehditlerin niteliği değişiyor

19. yüzyılda fotoğraf manipülasyonu olarak başlayan deepfake teknolojisi kısa sürede hareketli görüntülere uygulandı. Geçen yüzyılda dijital video teknolojisinin gelişmesiyle, özellikle son 20 yılda, herkesin duyduğu bir teknoloji oldu.

Günümüzde deepfake teknolojisi gerçekçi görüntüler, videolar ve ses oluşturmak için kullanılıyor. Dikkate değer bir ilerleme olsa da bu teknoloji siber güvenliğin evrimi açısından derin etkiler yaratıyor. Siber korsanlar, web siteleri ve e-posta mesajları oluşturmak için insanların kişisel bilgilerini bu teknolojiyle çalabiliyor.

Deep Fake teknolojisi gittikçe gelişiyor.

Yapay zekanın yükselmesiyle deepfake teknolojisini daha çok görmeye başlıyoruz. Bir insanın sesi, tavırları, görüntüsü ve ortamın aydınlığını çok başarılı taklit edebiliyor. Muhtemelen bu işletim sisteminin içine monte ediliyor ve biz bunu fark etmiyoruz.

Deepfake teknolojisi çok hızlı gelişiyor. İyi adamlar, bunu kontrol etme mekanizması kurmak yerine onu çevreleyecek bir güvenlik mekanizması kurmayı daha doğru buluyor. Böylece deepfake üzerinden gelen bilgilere bağımlılık azalıyor.

Nesnelerin interneti, yapay zeka ile siber korsanların en çok yararlandığı teknoloji

Nesnelerin interneti ile bilgi paylaşımında insan müdahalesi artık neredeyse yok diyebilliriz. Bilgi teknolojileri geliştikçe makineler veriyi topluyor ve işleyerek kullanıma hazır hale getiriyor. Sadece daha fazla veri toplanmıyor, daha hassas bilgi de dolaşıma sokularak riskler artıyor.

Devletler de dahil tüm kurumlar birbirine siber alemde bağlandıkça bütün bilgi akışı dijitalleşiyor. Bu sebeple bilgi güvenliği kadar bilgi akışının da sağlıklı devam etmesi, hayati önem kazanıyor.

Bir kurumun güvenliğinin, diğerinin güvende olması ile çok alakalı olduğu bir düzende yaşıyoruz. Veri akışında bir aksama ya da manipülasyon, iklim değişikliği gibi küresel sorunlarda tetikleyici riskler yaratabilir.

Nesnelerin interneti, bilgi çoğaldıkça daha fazla değer üretmeyi sağlar. Bu sebeple siber tehdit yönetimiyle inovasyon eşit temelde yürütülmelidir. Ancak global risk standartlarının olmaması da bir bahane olamaz.

Nesnelerin İnterneti, günlük yaşamlarımızda daha fazla kolaylık ve otomasyona olanak tanır. Ancak siber güvenlik alanında da yeni zorluklar ortaya çıkarıyor. En karmaşık yapılardan günlük hayatımıza kadar kullandığımız her cihazda nesnelerin internetini kullanıyoruz. Ne var ki bu cihazlar, tasarım gereği güvenli değildir. Ağlara erişim sağlamak veya saldırı başlatmak için siber korsanlara büyük fırsatlar verir. Örneğin bilgisayar korsanları, kullanıcıları gözetlemek ve DDoS saldırıları başlatmak için güvenlik kameraları ile akıllı TV’lerin kontrolünü ele geçirebilir.

Mobil cihazlar siber tehditlerin yayılmasını kolaylaştıryor.

Bugün 7 milyarın üzerinde cep telefonu olduğu tahmin ediliyor. Mobil cihazların ortaya çıkışı, siber güvenliğin evriminde önemli bir köşe taşı. Bugün hepimizin bir telefonu var. Bazılarımız 2 telefon kullanıyor ve bu da siber korsanlar için büyük fırsat yaratıyor.

Dünyada her birey, farkında olmadan ya bir korsanın hedefi ya da bir virüsün potansiyel taşıyıcısı durumunda. Saldırganlar, işletim sistemi veya uygulamadaki zayıflıklardan yararlanarak finansal hesaplar, kişisel fotoğraflar, kullanıcı adları ve şifreler gibi hassas verilere erişebiliyor.

Ne yapmalıyız?

Siber bir dünyaya taşınırken en önemli güvenlik sorunu nükleer silah değil siber tehditlerdir. Bir nükleer savaş o kadar kolay değildir. Ancak bir siber korsanın bilgisayarı, bir nükleer başlık etkisi yaratabilir.

Siber güvenlik mimarisi kurmak bir ilke meselesidir. Günlük kararlarla alınan tedbirler kısa vadelidir ve kalıcı bir çözüm sağlamaz. Yapmamız gereken 5 şeyle beraber tek bir şeyi yapmazsak esnek ve sağlam bir mimari kurmuş oluruz.

Siber güvenliğin 5N1K’sı

Öncelikle yapmamız gereken ilk şey, derinlikli koruma dediğimiz kötü amaçlı yazılım için bir engel oluşturmaktır. Veri güvenliği ihlallerinden kaçınmak için çok faktörlü kimlik doğrulamayı uygulayabiliriz. Buna bir siber korsan için engelli parkuru da diyebiliriz. Mesela bulunduğumuz bölgede hırsızlık olayları arttıysa kendimizi tek güvenlik önlemiyle korumayız. Kapımızı tek bir kilitle değil başka kilitlerle de takviye ederiz. Buna ilave olarak evimizin giriş kapısına bir şifre ve kamera sistemi kurabiliriz. Ayrıca bir köpek de besleyebiliriz. Sonuçta çok boyutlu düşünerek tekli koruma sisteminden kaçınırız.

Bunu siber alemde bir örneğe taşımak istersek; iş istasyonunda çalışan birinin veri havuzuna ulaşmak için aşması gereken bazı engeller koyabiliriz. Güvenli olan kişi de bu engelleri çoklu kimlik koruma ile geçmiş olur. Böylece sadece emin olduğumuz kişiler veri havuzuna ulaşır. Özellikle mobil gibi bir uç noktaya yeni nesil bir anti virüs olan EDR de ekleyebiliriz. Ayrıca web sunucusunu korumak için güvenlik duvarları da koyabiliriz. Bunun yanında daha hassas bölgelere geri dönecek trafiği belirleyebilir ve şifreleyebiliriz. Böylece tek bir güvenlik mekanizması olmadan, biri arızalandığında diğerlerinin çalışacağı bir güvenlik ağımız olur. Bu sistem başarısız olsa da verilerimiz güvende kalır.

Çalışanlara asgari imtiyazlar vermek.

Belli kişilerin işlerini yapması için gerekli yetkilendirmelerin yapılmalıdır. Bunları sık kontrol ederek işi bitenin yetkisini iptel etmemiz gerekir. Ayrıca sistemi sıkılaştırarak gereksiz ID ve sunucuları kaldırmalıyız. Ne kadar çok hizmet sağlayıcımız olursa saldırıya açık yüzeyimiz o kadar çok olur. Varsayılan ID lerin adlarını değiştirirken şifreleri de değiştirmemiz gerekir. Bunları vanilya konfigürasyonda tutmak, bizi kolay hedef olmaktan kurtarır.

Terfi alan birisinin yetkilerini güncellememiz gerekir. Bunu her yıl yeniden yetkilendirme kampanyası ile yapabiliriz. Asgari imtiyazlarla gerekli yetkileri vererek, ihtiyacımız olan sürede işlemlerimizi yapmış oluruz.

Görevleri ayırmak

İşin boyutu büyüdükçe bir görevin yerine getirilmesi, birden fazla kişinin işbirliği yapmasını zorunlu kılar. Mesela bir kapıyı açmak için 2 anahtar gerekebilir. Bunu bankalardaki gizli kasalara benzetebiliriz. Böylece birden fazla kontrol yaratarak sorumluluğu da paylaştırmış oluruz. Siber dünyada bunun karşılığı, bir veri merkezine girmek için yöneticiden izin almaktır. Bir para transferi yapmak istediğimizde birinin onayı gerekir.

Sorumlulukları dağıtmak doğru bir çözümdür. Bu, insanların birbirini denetlemesini ve sistemin şeffaflaşmasını sağlar. Böylece çalışanların tümünü kontrol mekanizmasına dahil etmiş oluruz.

Güvenli bir tasarım yapmak

Siber güvenlikte düşünmemiz gereken unsur, bir siber korsanın ne kadar yetenekli ve bilgili olduğudur. İyi adamın da en az kötü adam kadar kendini geliştirmesi gerekir. Yalnız burada karşılaşılan en büyük sorunlardan birisi de çalışanların bilgilerini güncellememesidir.

Teknoloji ilerledikçe yeni yöntemler mutlaka çıkacaktır. Bu sebeple kurulan sistem, sürekli değişen manzaraya uyum sağlayacak esnek bir üst yapıya sahip olmalıdır. Bu yapı da doğru bir vizyonla kurulan temelin üzerine inşa edilmelidir. Bu nedenle güvenliğimizi sağlayacak şey, sağlam bir mimari kurmaktır. Eğer temel sağlam olursa günün şartlarına göre güncellemeleri de kolaylıkla yapabiliriz.

Sistemi bir aptal da anlamalıdır.

Bir yapı kurulurken insanlar kolay anlamak ister. İş tanımında her gün veri merkezine gitmek için bir labirent geçme zorunluluğu yoktur. İyi adamın geçmesi için kurulan labirent zorlaştıkça bu, kötünün işini kolaylaştırır.

İşler zorlaştıkça insanlar kolay yolu ister ve zorluğa katlanamaz. Aşmamız gereken engel çok olursa yorulabiliriz. Oysa amaç iyinin değil değil kötü niyetlinin işini zorlaştırmaktır. Eğer yanlış olanı yapmak, doğruyu yapmaktan daha kolaysa insanlar yanlışı yapar. Bu sebeple sistemi tasarlarken bir aptalın anlayacağı kadar basit tutmalıyız. Buna KISS (Keep it simple, stupid) prensibi denir. İşi gerektiğinden fazla zorlaştırmak kötü adam için kolay, iyi adam için zor olur.

Sonuçta karmaşıklık, güvenliğin düşmanıdır. Bu labirentin sistemde bir şifreye denk geldiği tanımlanırsa amacımıza ulaşırız. Neticede tanımlanan bir şifre veya anahtarla kurulan labirentin üzerinden geçeriz. Böylece bulmacayı çözmeden istediğimiz yere gidebiliriz.

Son olarak yapılmaması gereken şey, güvenliği belirsiz yapmamaktır. İnsanlar gizlilikle güvenliği karıştırıyor. Oysa bu ikisi aynı şey değildir. Eğer sistem açık ve gözlenebilirse güven verir. İnsanlar içeride ne olduğunu gördükleri zaman rahatlarlar. Buna siber dünyada Kerckhoff Prensibi deniyor. Buna en iyi örnek, kripto algoritmalardır.

Bir blockchain üzerinde parayı herkes görür ama kimse müdahale edemez çünkü şeffaf algoritma, metni şifrelemiştir. Önemli olan açık metni şifrelemektir. Anahtar dışında her şeyi biliyor olmanız sistemi güvensiz yapmaz. Aksine onun şeffaf olması, ona olan güveninizi arttırır.

Sonuç

Siber güvenlik çok boyutlu düşünülmesi gereken bir olaydır. Asimetrik manzara, hayatların ve işlerin pek çok alanına dengesizlik getirir. Bu sebeple tarih boyunca dünyaya meydan okumuştur. Dünyanın daha iyi bir geleceğe yol aldığını söyleyebiliriz ama ne pahasına? Bu anlamda güvenliğin gelecekte en önemli eğilim olabileceği her zamankinden daha açık. Bu yüzyıl zorluklarla dolu bir çağ. Bu çağı başarıyla atlatmamız, siber güvenliği nasıl sağladımıza bağlı.

Hakan Tanar

Hakan Tanar, 1971 yılında Adana’da doğdu. Evli ve 2 çocuk babası. 30 yıl satış ve pazarlama sektöründe çalıştı. Satış temsilciliğinden üst düzey yöneticiliğe kadar farklı kademelerde görev yaptı. Kendi işini kurarak perakende sektöründe 8 yıl faaliyette bulundu. Edindiği en büyük tecrübe öğrenmenin hayat boyu sürdüğüdür. Yazmaya olan isteği ve öğrenmeye duyduğu merakı kendisinde kişisel blog kurma fikrini geliştirdi. Bilim, edebiyat, tarih ve felsefeye ilgi duyuyor. Bugün ilgi duyduğu konular hakkında bildiklerini ve öğrendiklerini Monolog’da paylaşıyor.