Türkiye’yi küresel siber güvenlik sektöründe temsil eden ender firmalar arasında yer alan Picus, stratejik AR-GE yatırımlarına bir yenisini ekleyerek kendi bünyesinde Picus Labs’i kurdu.
2013 yılında güvenlik denetimine yenilikçi bir yaklaşım getirmek amacıyla kurulan Picus, Türkiye’den çıkan teknoloji şirketlerine yönelik uluslararası piyasalarda bulunan ön yargılara rağmen kısa süre içerisinde yurt dışında isminden söz ettirmeyi başardı. Gartner’ın mayıs ayında yayınladığı Breach & Attack Simulation (BAS) şirketleri arasında yer alarak, Gartner raporlarına giren ilk Türk siber güvenlik şirketi olan Picus, Picus Labs inisiyatifi ile atak simülasyonunu bir üst seviyeye taşımanın peşinde.
Liderliğini Picus kurucularından Dr. Süleyman Özarslan’ın yaptığı ekip, hem yapısı hem de altına imza attığı işlerle farklılığını ortaya koyuyor.
Kurumların siber saldırılardan korunmak için kullandığı siber güvenlik ürünlerini sürekli denetleyen Picus yazılımı, sistemlerin siber tehditlere karşı ne kadar hazırlıklı olduğunu ölçümlüyor. İlk aşamada müşterilerine engelledikleri ve engellemedikleri saldırıları raporladıklarını anlatan Dr. Özarslan, belirli bir süre sonra müşterilerden gelen ‘Peki biz engelleyemediğimi saldırılar için ne yapmalıyız?’ sorusuna karşılık vermek için Picus ekibiyle bir çözüm yolu bulmaya giriştiklerini anlatıyor.
Dünyaca ünlü güvenlik üreticilerine farkında olmadıkları siber tehditleri bildiriyoruz
“Doktora gidince sadece teşhis değil aynı zamanda tedavi yöntemi önermesini de bekliyoruz. Aynı şekilde Picus da sadece sorunu raporlamıyor aynı zamanda çözümü de sunuyor. Böylelikle çözümün de parçası oluyoruz. Örneğin engellenemeyen bir saldırı için ‘Güvenlik cihazında şu imzayı etkinleştirirsen artık bu saldırıyı engelleyebilirsin.’ diyebiliyoruz müşteriye.”
Küresel pazarda yer alan diğer Atak Simülasyonu yazılımları arasında güvenlik sorununa çözüm üretme açısından bir ilki başaran Picus’un işi aslında göründüğü kadar kolay değil. Çünkü savunma ve saldırı ekiplerini aynı çatı altında buluşturan Picus Labs’in uzmanları sadece çözümü bilinen sorunları müşteriye bildirmekle kalmıyor aynı zamanda gerçek anlamıyla ‘çözüm yaratıyorlar.’ Öyle ki, Picus dünyanın önde gelen güvenlik üreticilerinin engelleyemediği siber tehditleri kendilerine bildiriyor ve aslında bir müşteriye hizmet verirken küresel siber güvenliğin güçlenmesine de önemli bir katkı sunuyor.
Böyle bir çabanın sektörün önemli oyuncuları tarafından fark edilmesinin uzun sürmediği ifade ediliyor. Öyle ki, Fortinet, McAfee, Palo Alto Networks, Cisco ve Check Point gibi küresel üreticilerin dahil olduğu Technology Alliance programı ile, Picus uzmanları bu firmaların güvenlik araştırma ekipleriyle sürekli iş birliği sağlayıp, tehdit paylaşımı ve ürün özelliklerini iyileştirme konusunda beraber çalışma gerçekleştiriyor.
Güvenlik dünyası adına böyle önemli bir açığı kapatan Picus Labs ekibinin atak takımında yer alan Evren Yalçın, yaptığı işi ‘monotonluğun yer almadığı ve sürekli araştırma, öğrenme gerektiren’ bir eylem olarak tanımlıyor. ‘Her gün yeni bir şeyler öğreniyorum’ dediğinde aslında bunu tevazu göstermek için yapmadığını söylediklerine kulak verince daha iyi anlıyorsunuz.
“Bir zararlı yazılımı oluşturan tüm aksiyonları ayrıştırarak, her birini zararlının amacına ulaşmak için izlediği yoldaki tüm istasyonlarda ayrı ayrı analiz ediyoruz. Burada yazılımı geliştiren hackerların izlediği yöntemleri görüyoruz. Bu yöntemler arasındaki benzerlikleri fark eder hale geliyorsunuz. Eşsiz bir birikim oluşuyor.”
Picus’un dünya çapında gösterdiği başarı ve genişleyen uluslararası müşteri portföyü ekibin de genişlemesini beraberinde getiriyor. Kısa zaman içerisinde büyüyen Picus Labs, takıma yeni katılacak çalışma arkadaşları da aramaya devam ediyor. Picus yetkilileri, Türkiye’de ciddi yetenekler bulunduğunu belirterek, işe alımda ülkemizdeki uzmanların tercih edileceğini ifade etti.
Üniversitede İletişim okuduğu dönemde okulun sistemlerindeki açıklıkları bularak burs alan ve bu şekilde öğrenimine devam eden Yalçın, saldırıları analiz ederken, hacker gibi düşünmenin ötesine geçmenin de mümkün olduğunu fak ettiğini aktarıyor. Yalçın’a göre saldırıyı analiz ederken ‘aslında bunu değil de şunu yapsa daha etkili bir saldırı olabilirdi’ dediği durumlar olduğunu söylüyor. Evren Yalçın gibi düşünenlerin yaklaşımı güvenlik camiasının adeta sloganı haline gelen ‘Saldırganlar savunanların bir adım ötesindedir’ anlayışının da yeninden sorgulanmasına yol açacağa benziyor.
Bir saldırının tüm bileşenlerini en ince ayrıntısına kadar masaya yatırarak adeta ‘saldırganın zihnine girmeye’ çalışan ofans ekibinin bir diğer elemanı Nur Yeşilyurt atakları hazırlarken izledikleri süreç hakkında bilgi veriyor: “Kullanıcı bazlı senaryoları deneyerek atağı hazırlıyoruz. Ben zafiyet istismarı atakları üzerine yoğunlaşıyorum. Bir taraftan Picus yazılımı içerisinde olması gereken özellikleri geliştiriyoruz, bir taraftan da uç-nokta atakları üretmeye çalışıyoruz. Yeni ve güncel açıklıkları birçok farklı kaynağı takip ederek bilmeniz yetmiyor aynı zamanda onu farklı boyutlarıyla kavramanız da gerekli. Ardından atağı doğrulayıp kendi ortamımızda Picus’a uygun hale getiriyoruz.”
Picus Labs atak ekibi için işin önemli taraflarından biri, güncel tehditlerden en kısa süre içerisinde haberdar olmak. Sosyal medyadan hacker forumlarına kadar birçok kaynağı takip eden uzmanlar aynı zamanda işi şansa bırakmayarak Picus’un geliştirdiği otomatize yazılım ile de tehdit taraması yapıyorlar. Üstelik kullandıkları otomatize yazılımın geliştirilmesine de katkı sunarak hem araştırma hem de geliştirme süreci içerisinde yer alıyorlar.
‘Hacker gibi düşünmek yetisi sonradan kazanılabilir mi?’ sorusunu yönelttiğimiz ofans ekibinden Mert Taşçı, hacker zihin yapısına sahip olmak için gerekli ilgiye sahip olmanın ve yeterli vakti ayırmanın önemli olduğunun altını çiziyor. Uzun süredir Bugcrowd platformunun en iyi 10 araştırmacısı arasında yer alan Taşçı, “Kesinlikle doğuştan gelen bir şey olduğunu düşünmüyorum. Fakat insan büyüdüğü ortamın, ailenin vb. şeylerin etkisiyle diğer insanlara göre daha fazla pratik zekaya sahip olabilir. Örneğin; küçük yaşlardan beri Sudoku çözen biri başka birine göre daha ince detayları görebilir, daha ayrıntılı düşünebilir.” cevabını veriyor.
Nur Yeşilyurt da Evren Yalçın gibi yaptığı işin temelinin ‘sürekli öğrenmeye’ dayalı olduğunu özellikle vurguluyor. Bir yıldır Picus ailesinde bulunan ve OSCP sertifikasını Türkiye’de alan ilk kadın unvanına sahip Yeşilyurt, Picus’un müşterilerine kritik zafiyetleri 24 saat içerisinde bildirerek atak veri tabanına ekleneceğini vadettiğini belirterek yaptıkları işin bir yanının da zamanla yarışmak olduğunu ifade ediyor.
Süleyman Özarslan da zamanla yarış konusunda haklı başarılarına değinmeden geçemiyor. 2017 yılında tüm dünyayı kasıp kavuran fidye yazılım WannaCry’ın ortaya çıktıktan 2 saat sonra Picus müşterileri tarafından test edilmeye başlanmış. WannaCry’ın tüm dünyada uğrattığı finansal ve itibar kayıpları göz önünde tutulursa, Picus’un getirdiği yeni yaklaşımın neden küresel bir ilgi ve başarıya neden olduğu da daha iyi anlaşılıyor.