Siber Taarruz Simülasyonu teknolojilerinin öncüsü olan ve daima güvenlik doğrulaması yaklaşımıyla BT güvenliğine yeni bir boyut kazandıran Picus Security, önder araştırma ve danışmanlık şirketi Gartner’ın atak simülasyonu teknolojilerinin değerine dikkat çektiği Market Guide for Vulnerability Assessment raporunda taraf aldı.
Picus platformu, siber hücumları simüle ederek, kurumların bu ataklara karşı risk durumunu ortaya çıkarıyor ve tespit edilen risklerin giderilmesi için düzgünleştirme teklifleri sunuyor. Hem saldıran davranışlarını hem de saldırılan bileşenleri otomatikleştiren simülasyon yaklaşımı ve uygunlaştırma tekliflerini kurumun mevcut güvenlik yatırımlarına nazaran kişiselleştirmesi, Picus Security’nin muvaffakiyetinin gerisindeki en değerli ögeler olarak öne çıkıyor.
Güvenlik başkanlarının mevcut altyapılarını ve potansiyel teknoloji iyileştirmelerini değerlendirirken saldırgan davranış ve teknikleri ile ilişkilendirilmiş risk tabanlı güvenlik idaresini göz önünde bulundurmaları gerektiğine dikkat çeken Picus Kurucu Ortağı ve CTO’su Volkan Ertürk, “Kurumların varlığa dayalı zayıflık ve tehdit idaresi programlarının salt güvenlik uyumluluk ve zayıflıklarının yama idaresi yaklaşımı ile yüzde 100 çözülemediğini geçmiş yıllarda deneyimledik. Siber güvenlik riskleriyle ilgili durum denetiminin daima ve tehditlere adapte olunarak proaktif bir halde güvenlik muhafaza mekanizmasıyla, tespit ve hadise müdahalesi katmanlarında yapılması büyük kıymet taşıyor” dedi. Tehditlere adaptasyon ve vakit konusuna da değinen Ertürk, “Zayıflıkların yamalanma müddeti minimum 30 gün ve ortalama ömür döngüsü ise 90 gün. Gelişen tehditler, çıkış devirlerinden itibaren kurumları ortalama 5 ila 7 gün arasında etkileyebiliyor. Bu nedenle, risk ve güvenlik denetimleri ile alakalı önceliklendirme ve bu çeşit potansiyel tehditlere karşı evvelden hazır olmak kurumların güvenliği açısından kritik ehemmiyete sahip,” dedi.
Güvenlik altyapılarının siber tehditlere karşı sağlamlaştırılması gerekiyor
Güvenlik altyapılarının siber tehditler önünde sağlamlaştırılmasının gerektiği vurgulanan raporda, kurum altyapılarında atak tesirlerinin azaltılarak son kullanıcı sistemleri başta olmak üzere gerekli uyumluluk kriterlerinin yakalanabileceğinin altı çiziliyor. Gartner, münhasıran VPT (Vulnarability Priorization Technologies – Zayıflık Önceliklendirme Teknolojileri) ve Picus’un da içinde bulunduğu segment olan BAS (Breach Attack Simulation – Akın Simülasyonu) teknolojilerinin değerine dikkat çekiyor.
Kurum ağlarında, risk içermeyecek bir biçimde atak davranış ve tekniklerinin bir arada simüle edilebileceğini belirten Picus Kurucu Ortağı ve CEO’su Alper Memiş, “BAS eserleri, güvenlik denetimlerinin aktifliğini artırırken, rastgele bir zayıflık kıymetlendirme yahut sair bir üçüncü taraf teknolojiye muhtaçlık olmaksızın risk tabanlı olarak güvenlik denetimlerine yönelik metrik oluşturabiliyor. Raporda “Attacker Eye” (Saldırgan Gözüyle) olarak bahsedilen tehdit oyuncularının atak senaryo yapıları, kurum ağlarında büsbütün risksiz bir formda kıymetlendirilerek kurumlar tarafından aksiyon alınması sağlanabilir ve bir güvenlik çıktısı elde edilebilir” dedi.
Tehdit Temelli Yaklaşım
Siber güvenlik yerinde yaygın olarak kullanılan zafiyet tespit yaklaşımından farklı olarak, Picus tehdit temelli yaklaşımla, siber saldırganların kullandığı taarruz tekniklerine odaklanıyor. Dünyaca ünlü siber güvenlik araştırmacılarından oluşan Picus Labs ekibi, siber saldırganları ve kullandıkları teknikleri 1000’den ziyade farklı asıldan izliyor ve yeni teknikleri günlük olarak Picus müşterileriyle paylaşıyor. Picus Tehdit Veritabanı’nda bulunan 8000’den ziyade atak senaryosu, kurumların aktüel siber ataklara hazırlık durumunu dakikalar içerisinde ortaya koyabiliyor.
Daima Güvenlik Doğrulama
Picus ‘un geliştirdiği atak simülasyon yaklaşımı hem saldıran hem de saldırılan sistemleri simüle ettiği için, zafiyet ve sızma testi yaklaşımından farklı olarak, kurum sistemlerini olumsuz etkilemiyor. Risk oluşturmayan güvenlik tarama yaklaşımı teknolojisi sayesinde, kurumlar güvenliklerini daima olarak test edebilirken, mümkün güvenlik meselelerini dakikalar içerisinde görebiliyor.
Daima Düzgünleştirme
Picus, önde gelen milletlerarası güvenlik firmalarıyla olan entegrasyonları sayesinde tespit edilen güvenlik zafiyetlerinin süratlice giderilmesi için kolay uygulanabilir uygunlaştırma teklifleri de sunuyor. Düzgünleştirme teklifleri risklerin süratlice bertaraf edilmesini sağlarken mevcut güvenlik yatırımlarından alınan verimi de artırma imkanı sağlar. Güvenlik güzelleştirme teklifleri sağlanan üreticiler arasında Palo Alto Networks, Checkpoint, McAfee üzere sahasında önder üreticiler de bulunuyor.
Türkiye’de siber güvenlik meydanındaki öncü firmalardan biri olan Picus, 2019 yılında inovasyon sağlayan yerküre çapındaki 5 şirketten biri seçilerek Gartner tarafından ‘Security and Risk Management, 2H19‘ raporunda “Cool Vendor” isimlendirildi. Daha önce PwC tarafından en yenilikçi 10 siber güvenlik firması arasında gösterilirken, Endeavor tarafından yüzlerce firma içinden global tesir yapabilecek girişimcilerden biri olarak nitelendirildi. Şirket, son olarak geçtiğimiz haftalarda Cyber Defense Magazine tarafından 2019 yılının en inovatif startup’ı seçildi.
BASIN BÜLTENİNDEN DERLENMİŞTİR
Yorum Ekle
Lütfen yorum için giriş yap veya üye ol