Başarı tesadüfen elde edilmez. Uzun yılların hazırlığı bir fırsat ile buluşunca global ölçekte bir başarı hikayesine dönüşmenin yolu açılır. Picus’ un hikayesi işte tam olarak böyle başlamış. ODTÜ’ lü 3 arkadaş 2000 li yıllarda siber güvenlik konusunda çalışmalar ve araştırmalar yapmaya başladıklarında büyük bir ihtiyacı tespit etmişler. Sistemlerin saldırılara karşı dayanıklılığını ve zaafiyetini inceleyip raporlayan bir yazılım hazırlansa bunun çok faydalı olabileceğini fark etmişler. Biraz araştırınca bu işi yapacak bir çözümün henüz pazarda olmadığını anlamışlar ve hemen hazırlıklara başlayarak 2013’ te Picus’ u kurmuşlar.
Bu hikaye Mastercard’ın da şirkete yatırım yapmasına, uluslararası fuarlarda çözümü görüp etkilenen ziyaretçilerin “siz gerçekten Türk müsünüz?” gibi absürd sorular sormalarına kadar ulaşmış.
Kurucu Genel Müdür Yardımcısı Dr. Süleyman Özarslan ile bir söyleşi yaparak bu başarı hikayesini birinci ağızdan dinleme şansı yakaladık. Siber güvenlik dünyasına dair ilginç bilgiler paylaştı bizimle.
Geçmiş güzel günleri anarak başlamak istiyorum ki hiç kıymetini bilememişiz. Herkesin bilgisayarında en fazla bir antivirus yazılımı olurdu o kadar. Hayat ne kadar kolaymış. Gelinen noktada yapılan yatırımlar ve harcanan işgücü inanılmaz boyutlara ulaştı. Peki siz Picus’u kurmaya nasıl karar verdiniz?
Biz üç ortak 2013 te kurduk şirketi. Üçümüz de ODTÜ’ lüyüz. Ortaklarım Alper finans alanında, Volkan siber güvenlik alanında ben de sızma testleri alanında uzmanız. White hat hacker’ ım ben. Bu alandaki bilgilerimiz ile firmalara faydalı olmak için bu şirketi kurduk. Ekip olarak hedefimiz Türkiye’ den bir siber güvenlik ürününün çıkabileceğini herkese göstermekti. Bunu da başardığımıza inanıyorum.
2023 te ABD açılımımızı yaptık. Ortağımız Volkan oraya taşındı. Çok sayıda finans ve sağlık kuruluşu ürünümüzü kullanmaya başladılar. Rakiplerimizle teknik rekabete girip kazanamadığımız bir çalışma hiç olmadı. Gartner bizi alanımızda öncü olduğumuz için “Cool Vendor” olarak tanımladı.
Geçtiğimiz günlerde kapsamlı bir rapor yayınladınız. Picus – The Red Report 2023. Burada bizleri oldukça düşündüren uyarılarınız oldu. İsviçre Çakısı olarak nitelendirdiğiniz zararlı yazılımlar hakkında biraz bilgi paylaşmanızı rica ediyoruz.
Red Report’ u bu sene 3. Kez yayınladık. Bunu hazırlarken 500.000’ in üzerinde zararlı yazılımı tek tek inceledik. Gerçek dünyayı örnekleyebilmek için bunu yapmak durumundayız. İsviçre çakısı konusuna gelecek olursak; eskiden zararlı yazılımların neler yaptıklarına bakarak başlayalım. Fidye yazılımları önce sisteme ulaşıyordu, ulaştıktan sonra önemli dosyaları encrypt ediyordu ve sonra da fidye istiyordu. Yani özetle 4-5 teknik kullanarak bütün işini halledebilen yazılımlardı bunlar. Günümüzde ise sisteme sızmak, içeride sessizce ilerleyerek (yanal hareket) diğer önemli sistemlere de ulaşmak, şifreleme, dışarıya veri transfer etmek, daha sonraki olası saldırılar için sistemde kalıntı bırakmak… gibi çok sayıda farklı teknikler kullanılmaya başlandı. Fidye istenen sistemde kalıntı bırakılmasının sebebi ise başka zararlı yazılım üreticilerine mevcut sisteme kolayca sızmak için kolaylık sağlama ve bunun için gelir elde etmektir.
Görüldüğü üzere zararlı yazılım üretmenin, siber suçların da bir ekosistemi oluşmuş durumda.
Bazen siber saldırganlar Initial Access (ilk erişim) dediğimiz yöntemle, sisteme sızdıktan sonra hiç bir eyleme girişmiyorlar. Sisteminize erişim için gerekli olan bilgi ve yetkileri satışa çıkarıyorlar. Böylelikle diğer siber saldırı aktörlerinin işlerini kolaylaştırarak gelir elde etme yoluna gidiyorlar.
Peki hacker değilsiniz ama Ransomware saldırısı yapmak istiyorsunuz bu durumda ne yapabilrisiniz? Artık “Ransomware as a service” kavramı ile anılan ve kendilerinden hizmet alabileceğiniz gruplar mevcut. Bir web arayüzünden saldırılmasını istediğiniz firmayı belirtip ödemenizi yapıyorsunuz. Onlar da saldırıyı gerçekleştirerek fidye ödemesi için sizin bilgilerinizi firma ile paylaşıyor. Sonuç olarak artık hizmet alınabilen bir sektör ile karşı karşıyayız. Bu gruplar işlerini, hizmet esnasında bir takım sıkıntılar yaşadığında, on-line destek verebilecek boyutlara kadar ilerlettiler maalesef.
Eskiden verilerin şifrelendiği aşama ile birlikte, kurban durumunda olan firmadan, fidye talep edilerek süreç tamamlanırdı. Artık çifte tehdit ile tarifelerini de artırdılar. Ele geçirdikleri kritik verilerinizi basına ya da rakiplerinize satmakla tehdit etmeye de başladılar. (Double extortion)
20 den hatta 30 dan fazla “ayrı taktik, teknik ve prosedür” uygulayabilen zararlı yazılımlar ile karşı karşıyayız. Sizce bu pazarın büyüklüğü ne seviyelerde ki bu kadar kompleks yazılımlar hazırlayacak motivasyonu buluyorlar?
Pazarın toplam büyüklüğünün yıllık 25 Trilyon dolar seviyesinde olduğunu tahmin ediyoruz. Bunu yaparken izlediğimiz yöntem ise vakalardaki kripto para hareketlerini takip ediyoruz ve hesaplama yapıyoruz. Fidye parasının yatırılması istenen cüzdanların (wallet) hareketlerini takip ederek bunu yapıyoruz. Toplam rakam gerçekten inanılmaz seviyelere yükseldi bu da suçluların en büyük motivasyon kaynağı haline geldi.
Ransomware vakalarında üretimin durmasından kaynaklanan çok ciddi maliyetlerle de karşılaşıyor firmalar. Üretimin durmak zorunda kaldığı her saat büyük bir maliyet olduğu gibi verilerin sızması sonucu bazen kamu davaları ile de karşılaşabiliyorlar. ABD de bir firma sırf bu sebepten 2 ayrı kamu davasına konu oldu ve toplam 160 Milyon dolar tazminat ödemek durumunda kaldı.
Firmanın adını telaffuz edebiliyor muyuz?
Firma tabii ki belli ama kendileri bizim ABD operasyonumuzun potansiyel müşteri adaylarından olduğu için belirtmemek daha doğru olacaktır.
Kamuda ve özel sektörde çok sayıda ransomware vakasının fidye ödenerek kapatıldığını duyduk. İtibar kaybı yaşamamak isteniyor ki haklılar. Peki bu noktada Picus müşterilerine ne vaad ediyor?
Biz firmalara proaktif olmalarını öneriyoruz. Saldırı gerçekleştikten sonra yapabileceğiniz çok fazla bir şey kalmıyor maalesef. Picus ile gerçek ataklara karşı dayanıklılığınızı test ederek önlemlerinizi alın. Güvenlik sistemlerinizdeki boşlukları test etmeniz çok önemli. Bu testleri bilinen bütün ransomware saldırı yöntemleri ile gerçekleştiriyoruz. Günün sonunda firmalara ellerindeki mevcut güvenlik çözümleri ile yapabileceklerinin neler olduğuda dair önerilerde bulunuyoruz.
Müşterilerimize saadece zaafiyetlerini göstermek bizi çözümün bir parçası yapmadığından kendilerine mutlaka çözüm önerisi de sunuyoruz.
Yine raporunuzda devlet destekli tehdit aktörlerinden bahsediyorsunuz. Bu tip eylemlerin arkasında olduğunu bildiğiniz hangi devletler var?
Bu devletlerin başında Rusya, Kuzey Kore, Çin ve İran geliyor. Tabii bunlar sadece yakalanıp ifşa olan devletler. Çok daha fazla sayıda devletin bu alanda bir şeyler yapmaya çalıştığını düşünüyoruz.
Hazır konu açılmışken daha dün duyurulan bir malware oldu. Operation Medusa – Snake isimli bir malware. Doğrudan Rusların “Federal Security Service of the Russian Federation (FSB)” birimi ile ilişkili bir malware. Yaklaşık 20 yıldır üzerinde çalıştıkları bir operasyon yani bu. Daha dün açığa çıkarıldı biz de duyurduk.
11.05.2023 tarihinde gerçekleştirdiğimiz bu keyifli sohbet için sayın Dr. Süleyman Özarslan’a çok teşekkür ediyoruz. Yayınlanan Picus Red Report 2023’e dair haberimize linkten ulaşabilirsiniz.