şeffaflık
Modern bir bilgi güvenliği sorumlusunun (CISO – Bilgi Güvenliği Sorumlusu olarak da bilinir) hayatı, sadece hackerlarla mücadele etmekten ibaret değildir. Bu aynı zamanda “uyum” adı verilen sonsuz bir arayıştır. Düzenleyiciler sıkı önlemler almaya devam ediyor, standartlar mantar gibi çoğalıyor ve baş ağrıları daha da kötüleşiyor; ama durun… Dahası var: CISO’lar sadece kendi sınırları içindeki olaylardan değil, sınırların dışında olanlardan da sorumlu; tüm tedarik zincirlerinden, tüm yüklenicilerinden ve iş süreçlerinin yürütüldüğü tüm yazılım karışımından. Buradaki mantık sağlam olsa da, ne yazık ki acımasızdır: Tedarikçinizde bir açık bulunursa, ancak sorunlar sizi etkiler, sonuçta sorumlu tutulan siz olursunuz. Bu mantık güvenlik yazılımları için de geçerlidir.
Eskiden şirketler, kullandıkları güvenlik çözümleri ve ürünlerinin içinde gerçekte ne olduğunu nadiren düşünürdü. Ancak şimdi, özellikle büyük işletmeler her şeyi bilmek istiyor: Kutunun içinde gerçekten ne var? Kodu kim yazdı? Bu, bazı kritik işlevleri bozacak mı, hatta her şeyi çökertecek mi? (Böyle örnekler gördük; bknz. Crowdstrike 2024 güncelleme olayı.) Veriler nerede ve nasıl işleniyor? Ve bunlar sorulması gereken doğru sorular.
Sorun, neredeyse tüm müşterilerin bu tür sorular sorulduğunda satıcılarının doğru cevap vereceğine güvenmelerinde yatmaktadır; bunun nedeni çoğu zaman başka seçeneklerinin olmamasıdır. Günümüzün siber gerçekliğinde daha olgun bir yaklaşım, doğrulama yapmaktır.
Kurumsal dilde buna tedarik zinciri güveni denir ve bu bulmacayı kendi başınıza çözmeye çalışmak ciddi bir baş ağrısına neden olur. Satıcıların yardımına ihtiyacınız vardır. Sorumlu bir satıcı, çözümlerinin arka planını göstermeye, kaynak kodunu iş ortaklarına ve müşterilerine inceleme için açmaya ve genel olarak güzel slaytlarla değil, sağlam ve pratik adımlarla güven kazanmaya hazırdır.
Peki, bunu kimler zaten yapıyor, kimler ise hala geçmişte takılıp kalmış durumda? Avrupa’daki meslektaşlarımızın yaptığı yeni ve kapsamlı bir araştırma bu sorunun cevabını veriyor. Bu test, saygın test laboratuvarı AV-Comparatives, Tirol Ticaret Odası (WKO), MCI Girişimcilik Okulu ve hukuk firması Studio Legale Tremolada tarafından gerçekleştirilmiştir.
Çalışmanın ana sonucu, siber güvenlikte “kara kutu” döneminin sona erdiği yönündedir. Huzur içinde yatsın. Amin. Gelecek, kaynak kodlarını ve güvenlik açığı raporlarını gizlemeyen ve müşterilerine ürünlerini yapılandırırken maksimum seçenek sunanlara aittir. Ve rapor, sadece söz vermekle kalmayıp, gerçekten de sözünü yerine getirenlerin kimler olduğunu açıkça belirtmektedir. Bilin bakalım kim!?
Ne harika bir tahmin! Evet, biziz!
Müşterilerimize, maalesef sektörde hala nadir bulunan ve yok olma tehlikesiyle karşı karşıya olan bir şey sunuyoruz: Şeffaflık merkezleri, ürünlerimizin kaynak kodu incelemeleri, ayrıntılı bir yazılım malzeme listesi (SBOM) ve güncelleme geçmişini kontrol etme ve sürümleri yönetme olanağı. Ve elbette, sektör standardı haline gelmiş her şeyi sunuyoruz. Tüm ayrıntıları, “Siber Güvenlikte Şeffaflık ve Hesap Verebilirlik” (TRACS) raporunun tamamında veya özetimizde inceleyebilirsiniz. Aşağıda, en ilginç bazı kısımları inceleyeceğim.
Elma ile armudu karıştırmamak
TRACS, Bitdefender ve CrowdStrike’tan [NEXT EDR Optimum placeholder] EDR Optimum [/placeholder] ve WithSecure’a kadar 14 popüler satıcıyı ve bunların EPP/EDR ürünlerini inceledi. Amaç, sadece “bize güvenin” diyen değil, iddialarını gerçekten doğrulamanıza izin veren satıcıları anlamaktı. Çalışma 60 kriteri kapsıyordu: GDPR (Genel Veri Koruma Yönetmeliği – sonuçta bu bir Avrupa çalışması) uyumluluğu ve ISO 27001 denetimlerinden, tüm telemetriyi yerel olarak işleme ve bir ürünün kaynak koduna erişme yeteneğine kadar. Ancak yazarlar, her kategoriye puan vermemeyi ve tek bir genel sıralama oluşturmamayı tercih ettiler.
Neden? Çünkü herkesin farklı tehdit modelleri ve riskleri vardır. Birisi için bir özellik olan şey, bir başkası için bir hata ve felaket olabilir. Güncellemelerin hızlı ve tam otomatik kurulumunu gerçekleştirin. Küçük bir işletme veya binlerce küçük bağımsız şubesi olan bir mağaza zinciri için bu bir nimettir; tüm bunları manuel olarak yönetmek için yeterli sayıda BT personeli asla bulunamaz. Ancak, konveyörü bilgisayarın kontrol ettiği bir fabrikada bu durum kesinlikle kabul edilemez. Hatalı bir güncelleme, üretim hattını durma noktasına getirebilir ve bu da iş açısından ölümcül sonuçlar doğurabilir (ya da en azından son Jaguar Land Rover siber saldırısından daha kötü sonuçlar doğurabilir); bu nedenle, her güncelleme önce test edilmelidir. Telemetri için de durum aynıdır. Bir PR ajansı, siber tehditleri tespit etmeye katılmak ve anında koruma sağlamak için bilgisayarlarından satıcının bulutuna veri gönderir. Mükemmel. Hastaların tıbbi kayıtlarını veya son derece gizli teknik tasarımları bilgisayarlarında işleyen bir şirket mi? Telemetri ayarlarının yeniden gözden geçirilmesi gerekecektir.
İdeal olarak, her şirket her kritere “ağırlık” atamalı ve EDR/EPP satıcılarıyla kendi “uyumluluk derecesini” hesaplamalıdır. Ancak bir şey çok açıktır: Müşterilere seçenek sunan kazanır.
Şüpheli dosyaların dosya itibar analizini yapın. İki şekilde çalışabilir; satıcının ortak bulutu aracılığıyla veya tek bir kuruluş içindeki özel mikro bulut aracılığıyla. Ayrıca, bu analizi tamamen devre dışı bırakma ve tamamen çevrimdışı çalışma seçeneği de vardır. Çok az sayıda satıcı müşterilere bu üç seçeneği birden sunmaktadır. Örneğin, testte “şirket içi” itibar analizi yalnızca sekiz satıcıdan temin edilebilmektedir. Söylemeye gerek yok ki biz de onlardan biriyiz.
Çıtayı yükseltmek
Testin her kategorisinde durum, itibar hizmetinde olduğu gibi hemen hemen aynıdır. Raporun 45 sayfasını dikkatlice inceledikten sonra, rakiplerimizin önünde ya da liderler arasında olduğumuzu gördük. Ve gururla söyleyebiliriz ki, karşılaştırmalı kategorilerin yaklaşık üçte birinde, rakiplerimizin çoğundan önemli ölçüde daha iyi yetenekler sunuyoruz. Kendiniz görün:
Şeffaflık merkezini ziyaret edip kaynak kodunu incelemek mi? Ürün ikili dosyalarının bu kaynak kodundan derlendiğini doğrulamak mı? Testte sadece üç satıcı bu özellikleri sunuyor ve hatta bunlardan biri; bu özellikleri sadece devlet müşterileri için sunuyor. Bizim şeffaflık merkezlerimiz; en fazla sayıda ve coğrafi olarak en geniş alana yayılmış olup, müşterilere en geniş seçenek yelpazesini sunmaktadır.
2018 yılında ilk şeffaflık merkezimiz açıldı.
Veri tabanı güncellemelerini indirip yeniden kontrol etmek mi? Sadece altı oyuncu bunu sağlıyor ve biz de onlardan biriyiz.
Güncellemelerin çok aşamalı olarak yayınlanmasını yapılandırmak mı? Bu çok nadir bir durum değil, ancak yaygın da değil. Bizim dışımızda sadece yedi satıcı bu özelliği destekliyor.
Şirketin dış güvenlik denetiminin sonuçlarını okumak mı? Sadece biz ve diğer altı satıcı bunu müşterilerle paylaşmaya hazırız.
SBOM kullanarak tedarik zincirini ayrı bağlantılara ayırmak mı? Bu da nadir bir durumdur: yalnızca üç satıcıdan SBOM talep edebilirsiniz. Bunlardan biri, benim adımı taşıyan yeşil renkli şirkettir.
Elbette, herkesin başarılı olduğu kategoriler de var: Hepsi ISO/IEC 27001 denetimini başarıyla geçmiştir, GDPR’ye uymaktadır, güvenli geliştirme uygulamalarını takip etmektedir ve güvenlik açığı raporlarını kabul etmektedir.
Son olarak, teknik göstergeler konusu var. Çevrimiçi çalışan tüm ürünler, korunan bilgisayarlara dair belirli teknik veriler ve virüs bulaşmış dosyalar hakkında bilgiler gönderir. Birçok işletme için bu bir sorun değildir ve korumanın etkinliğini artırdığı için memnunlardır. Ancak veri akışını en aza indirmeye ciddi şekilde odaklananlar için AV-Comparatives bunları da ölçer ve biz diğer satıcılara kıyasla en az telemetri verisi toplayan şirketiz.
Pratik sonuçlar
Avusturyalı uzmanlar sayesinde, CISO’lar ve ekipleri artık güvenlik tedarikçilerini kontrol ederken çok daha basit bir görevle karşı karşıya kalıyorlar. Ve sadece test edilen 14 tanesi değil. Aynı çerçeve, diğer güvenlik çözümü sağlayıcılarına ve genel olarak yazılımlara da uygulanabilir. Ancak stratejik sonuçlar da var…
Şeffaflık, risk yönetimini kolaylaştırır. Bir işletmenin faaliyetlerini sürdürmekten sorumluysanız, koruma aracınızın zayıf noktanız haline gelip gelmeyeceğini tahmin etmek istemezsiniz. Öngörülebilirlik ve hesap verebilirlik gerekir. WKO ve AV-Comparatives araştırması, modelimizin bu riskleri azalttığını ve yönetilebilir hale getirdiğini doğrulamaktadır.
Sloganlar yerine kanıtlar. Bu sektörde, web sitenize “biz güvenliyiz” yazmak yeterli değildir. Denetim mekanizmalarına ihtiyacınız vardır. Müşteri uğrayıp her şeyi kendi gözleriyle doğrulayabilmelidir. Bunu sağlıyoruz. Diğerleri ise hala yetişmeye çalışıyor.
Şeffaflık ve olgunluk birbiriyle el ele gider. Müşterilerine karşı şeffaf olan satıcılar genellikle ürün geliştirme, olaylara müdahale ve güvenlik açıklarının ele alınması konusunda daha olgun süreçlere sahiptir. Ürünleri ve hizmetleri daha güvenilirdir.
Şeffaflığa yaklaşımımız (GTI) işe yarıyor. Birkaç yıl önce girişimimizi duyurup dünya çapında Şeffaflık Merkezleri açtığımızda, eleştirmenlerden her türlü tepkiyi aldık; örneğin, bunun para israfı olduğu ve kimsenin buna ihtiyacı olmadığı gibi. Şimdi bağımsız Avrupalı uzmanlar, 2025 ve sonrasında bir satıcının bu şekilde çalışması gerektiğini söylüyorlar.
Bu raporu okumak gerçekten büyük bir zevkti. Sadece bizi övdüğü için değil; sektör, nihayet doğru yönde, şeffaflık ve hesap verebilirlik yönünde ilerlemeye başladığı için.
Bu trendi biz başlattık, biz öncülük ediyoruz ve bu alanda öncü olmaya devam edeceğiz. Sevgili okuyucular ve kullanıcılar, unutmayın: Güven bir şeydir, tam olarak doğrulayabilmek başka bir şeydir.
İpuçları