Lumen Technologies, Siber Varlık Yönetiminde 17 Binden 1,1 Milyona Ulaşan Başarı Hikayesi

Anasayfa » Lumen Technologies, Siber Varlık Yönetiminde 17 Binden 1,1 Milyona Ulaşan Başarı Hikayesi

Yaklaşık 100 yıllık geçmişe sahip bir telekomünikasyon şirketi olan Lumen Technologies, siber varlık yönetimini yeniden yapılandırırken karşılaştığı zorlukları ve elde ettiği sonuçları paylaştı. Ürün ve Platform Güvenliği Direktörü Geoff Krahn ve ekibi, Axonius varlık istihbarat platformunu kullanarak 40’tan fazla bağımsız sistemdeki verileri tek bir güvenilir görünümde topladı. Ekip, ellerinde sandıklarından 60 kat fazlası kadar cihaz olduğunu keşfetti ve bu temele dayanarak maruziyet yönetimi programını baştan kurdu.

Neden Kurumsal Ölçekte Varlık Envanterleri Zorlanıyor?

Lumen’in ortamı, pek çok güvenlik ekibinin yaşadığı sorunların uç bir örneği. Farklı olgunluk seviyelerinde ve birbirinden ayrılmış 40’tan fazla IT ve güvenlik aracı, cihaz sayıları, sahiplik ve kapsam konusunda birbirleriyle çelişen bilgiler sağlıyordu. Yönetim, sunucuların yüzde kaçında EDR (Uç Nokta Algılama ve Tepki) bulunduğunu sorduğunda, cevap vermek için birbirini tutmayan kaynaklardan veri çekmek zorunda kalıyordu.

Krahn, “Sürekli olarak kimin neyi yönettiğini bilmeden olay müdahale çağrılarında bulunuyorduk” diyor. Axonius, tüm bu kaynakları tek bir modelde birleştirmeye olanak tanıdı. Ortaya çıkan tabloysa herkesin beklentilerinin çok ötesindeydi.

Başlangıçta yaklaşık 17.000 bilinen varlık varken, ilk birleşimle 500.000 cihaz tespit edildi. Bugün ise bu sayı 1,1 milyon civarında.

Güvenilir Varlık Verisi Ne Sağlıyor?

Zero-day (sıfırıncı gün) zafiyetlerine hızlı yanıt vermek için neyin açıkta olduğunu ve kimin sorumlu olduğunu bilmek kritik. Krahn ve ekibi, etkilenmiş sistemleri dakikalar içinde belirleyip, dışa açık olup olmadığını kontrol edebiliyor ve Axonius üzerine kurdukları chatbot ile mühendisleri anında uyarabiliyor.

Şirketin binlerce iç uygulaması var ve sadece sunucunun yamanıp yamanmadığını bilmek, uygulamanın neyi desteklediği, kimin sahibi olduğu ya da bir ihlal durumunda hangi gelir kalemlerinin risk altında olduğu sorularını cevaplamıyor. Lumen, CMDB (Konfigürasyon Yönetim Veritabanı) ilişkilerini, kontrol kapsamını, zafiyetleri ve kullanım ömrü sonu durumunu bir araya getirerek uygulama seviyesinde risk değerlendirmesi yapan bir Dashboard geliştirdi. Krahn, bu yapıyı doğrudan satışa sunulan ürünlere bağlayarak siber güvenlik maruziyetini gelirle ilişkilendirmeyi hedefliyor.

Risk Bazlı Maruziyet Yönetimi, ‘Tarama ve Spam’den Nasıl Farklı?

Çoğu güvenlik ekibi, varlık bağlamı olmadan CVSS puanına göre önceliklendirmeye gidiyor. Oysa geniş kabul gören görüş, istismar kolaylığı, etki alanı ve iş etkisinin kararları yönlendirmesi gerektiği yönünde. Krahn eski yöntemi “tarama ve spam” olarak tanımlıyor: Her şeyi tarayıp sonuçları dök, en kritik olanların öncelikle düzeltilmesini um.

Lumen ise Axonius Exposures ile teknik bulguları varlık konteksti, iş önceliği ve kontrol kapsamıyla birleştirerek en fazla risk azaltımı sağlayan iyileştirmeleri öne çıkarıyor. Krahn, “Bu yaklaşım, zafiyet yönetimini tarama ve spam aşamasından çıkarıp, akıllı ve risk odaklı taleplerle ilerlememize imkan tanıyor” diyor.

Yönetimin Veriye Güvenmesi Ne Getirdi?

Sayısallaştırılmış ve güvenilir görünürlük, Lumen yönetiminin karar alma süreçlerini değiştirdi. Örneğin, sistemlerin kullanım ömrü sonu durumu, altyapının büyük kısmının buluta taşınmasına karar verilmesinde etkili oldu. Güvenlik yatırımları önceki seviyenin yaklaşık 10 katına çıktı. Artık yönetim kurulu, varlık kapsamı, EDR dağılımı ve uyumluluk raporları için Axonius’a güveniyor.

Krahn, “Sistemlerimizin kullanım ömrü sonu sorunlarını ortaya çıkaran görünürlük, altyapının buluta taşınması kararını doğrudan etkiledi; böylece risk %40 azaldı” ifadelerini kullandı.

Teknik Özet: Güvenlik Ekipleri İçin Pratik Adımlar

  • Varlık envanterlerinizi birden fazla kaynaktan toplayıp tek bir platformda birleştirin.
  • EDR ve IAM sistemlerinizin kapsamını düzenli olarak kontrol edin, sahiplik bilgilerini netleştirin.
  • Zero-day zafiyetlerinde hızlı müdahale için otomatik uyarı sistemleri kurun (örneğin chatbotlar).
  • Uygulama seviyesinde risk analizi yaparak altyapı odaklı yaklaşımdan kaçının.
  • Zafiyet önceliklendirmesinde CVSS dışında iş etkisi ve yayılma alanını da dikkate alın.
  • Kullanım ömrü sonu (EOL) sistemlerinizi tespit edip, planlı bir şekilde yenileme veya buluta geçiş stratejisi oluşturun.
  • Yönetim kurulu ve üst düzey karar vericiler için varlık görünürlüğü ve risk raporları sunun.
  • Maruziyet yönetimi ile zafiyet yönetimini entegre ederek en kritik risklere odaklanın.

Sonuç olarak, Lumen’in deneyimi gösteriyor ki, kapsamlı ve güvenilir varlık yönetimi olmadan güvenlik yatırımları ve müdahaleler yüzeysel kalıyor. Türkiye dahil tüm kurumların özellikle bulut güvenliği, olay müdahale ve ağ segmentasyonu alanlarında bu tür entegre yaklaşımları benimsemesi, siber riskleri azaltmada kritik rol oynayacaktır.