Türkiye Finans Katılım Bankası, veri güvenliği alanında Microsoft çözümlerini tercih eden kurumlar arasına katıldı. Kurumun bu tercihinin altında yatan sebepler ve elde ettiği avantajların detayları bu yazıda.

Türkiye Finans, 282 şubesi ve 4.500’ü aşkın çalışanıyla 3 milyondan fazla müşteriye sahip bir kurum. Tüm bireysel müşteriler ve şirket sahiplerine, ilkeli bir finansman ve yatırım sağlayıcı olarak öncü kaynak olma vizyonunu ise BT süreçleriyle destekliyor. Finans sektöründe daha da öncelikli hale gelen veri güvenliği konusunda ise Microsoft çözümlerine güveniyor.

Azure MFA ve ATA ile Türkiye Finans’ın kurumsal veriye erişimi güvence altında

Kurumlar için hâlâ en ciddi tehditlerden biri kurumsal verinin yetkisiz kişilerin eline geçmesi ve kötü amaçlı kullanılması. BT bütçelerinin önemli bir oranı güvenlik yatırımlarına harcanmasına karşın her yıl artan veri hırsızlığı, daha güçlü ve yetenekli güvenlik duvarları kurmak gibi geleneksel çözümlerin bu alanda yetersiz kaldıklarının adeta bir kanıt.

Tehdidin boyutu daha radikal güvenlik önlemlerini gerektiriyor ve bu önlemlerin riskin oluştuğu tarafa yani aslında son kullanıcıya yakın olması gerekiyor. Türkiye Finans, kurumsal verisini güvenlik altına almak için Microsoft’un tam da bu amaçla geliştirdiği iki farklı çözümü kullanıyor. Şimdi de bu çözümlere dair detaylara bakalım.

Azure Multi-Factor Authentication hizmetiyle telefon tabanlı ikinci seviye kimlik doğrulaması

Bu çözümlerden ilki kurumsal veriye erişimi güvenlik altına Azure Multi-Factor Authentication (MFA) hizmetimiz. Kullanıcı adı ve parola tabanlı erişim yöntemleri çok uzun süredir bilgisayar kullanıcılarının hayatlarının bir parçası. Parolaların sosyal mühendislik ya da oltalama (phishing) ataklarıyla ele geçirilmesi ya da bazı durumlarda kaba kuvvet (brute force) ataklarıyla kırılması günümüzde oldukça sık rastlanan durumlar.

Azure MFA, kurumsal uygulamalara internet üzerinden yapılan erişimlerde kullanıcı adı ve parolaya ek olarak telefon tabanlı ikinci kademe bir kimlik doğrulama mekanizması sunuyor. Sonuç olarak kullanıcı adı ve parolası ele geçirilmiş olsa bile, kullanıcı telefonu da ele geçirilmeden kurumsal kaynaklara erişim sağlanamıyor.

Türkiye Finans, kendi kullanıcıları ve dış kaynakları için internet üzerinden açtığı uygulamalarına salt kullanıcı ve parola tabanlı bir erişimin risk oluşturduğu kararını verdikten sonra bu alanda bir çözüm arayışına girdi. Farklı çözümleri değerlendiren ve detaylı bir test sürecinden geçiren kurum sonunda kendisi için en uygun çözümün Azure MFA olduğuna karar verdi ve kısa sürede yaygınlaştırmayı tamamlayarak kurumsal kaynaklara erişimde güvenliğini artırmış oldu.

Azure MFA: Kolay kurulum, kullanım ve yönetim

Türkiye Finans’ın Azure MFA’da karar kılmasının en önemli nedenlerinden biri kullanım kolaylığı. Mobil uygulama, SMS ya da çağrı opsiyonlarını kullanabilen Azure MFA’yı tercih eden kurumun Teknoloji ve Altyapı Bölüm Müdürü görevini yürüten Fikri Bülent Çelik kullanıcı deneyimini “Kullanıcılarımız VPN portalde kullanıcı adı ve parolalarını girdikten sonra, mobil telefonlarına otomatik bir çağrı alıyorlar. Çağrıyı cevaplayıp kare  tuşuna bastıkları anda uygulamaya erişiyorlar. Yani cep telefonu olan her kullanıcı ikinci kademe kimlik doğrulamayı yapabilir, bu kadar basit.” sözleriyle ifade ediyor.

Çözümün kolay hayata geçirilebilmesi ve yönetilebilmesi kurumun Azure MFA kararındaki diğer etkenler. Bu projeyi yöneten Türkiye Finans Sistem ve Platform ekibinden Yaşar Çuğalır, Azure MFA’nın hem kurulum hem de test sürecinin rakip ürünlere göre çok daha kısa sürdüğünü, temel kurulumların bir günde tamamlandığını; iki hafta içindeyse yapının yaygın ve çalışır halde hayata geçirildiğini vurguladı. Kurumun bu amaçla bir SMS geçidi kurmak ya da santral entegrasyonu yapmak zorunda kalmaması da saydıkları diğer avantajlar.

Banka’nın çözüm tercihinde bir diğer etken de toplam sahip olma maliyeti oldu. Fikri Bülent Çelik, Azure MFA’nın değerlendirilen diğer çözümlere göre üçte bir oranında bir maliyetle hayata geçirildiğini söylüyor.

Banka, Azure MFA konusunda son olarak kullanıcı tarafında herhangi bir eğitim gerekmemesini ve kullanıcıların token gibi ek bileşenler taşıma zorunda kalmamasını da çözümün artı tarafları olarak vurguluyor. Çelik, konuya ilişkin, “Kullanıcı deneyimini düşürmeden güvenliği artırabilmek bizim için önemliydi, Azure  MFA ile bunu da başarmış olduk” diyor.

Microsoft Advanced Threat Analytics ile siber tehditlerin tespiti çok daha hızlı ve kolay

Düzenli olarak sistemlerinin güvenlik seviyelerini denetleyen Türkiye Finans, denetimler sırasında ciddi bir sorun tespit etti: Kullanıcıların kimlik bilgilerini ele geçirmek üzere özel olarak tasarlanmış ataklar güçlenerek artıyordu. Klasik güvenlik ürünleri tarafından tespit edilemeyen bu atak tipleri için üstün davranış analizi yapan bir güvenlik çözümüne ihtiyaç duydular. Mevcut güvenlik çözümleri bu ihtiyacı karşılayamıyordu.

Türkiye Finans Katılım Bankası, hâlihazırda gerek internete açık sistemlerde, gerek iç sistemlerde güçlü bir güvenlik altyapısına sahipti. Ancak kullanılan çözümlerin tamamı mevcut bilgi ve ataklara göre hareket eden kural temelli çalışan sistemler olup yalnızca dışarıdan gelecek atakları tespit edebiliyordu. Yeni nesil bir güvenlik çözümü ararken Mayasoft Bilgi Sistemleri bankaya Microsoft’un yeni çözümü Advanced Threat Analytics’i tavsiye etti.

Bankanın bu ihtiyaç için konumlandıracağı çözümden en büyük beklentileri, banka ortamını iyi analiz eden, sorunları hızlı bir şekilde raporlayan ve en az hatalı rapor üreten bir yazılım olmasıydı. Sistem ve Platform Yöneticisi Şensoy Şahin, iş sürekliliğinin kendileri için çok önemli olduğunu, dolayısıyla güvenlik önlemleri adı altında alınan veya uygulanan çözümlerin kullanıcıların veya mevcut sistemlerin işleyişine ek bir yük getirmeyecek olmasının önemini vurguladı. Kurulumu kolay, ajan ve benzeri ek bir yükleme gerektirmeyen, mevcut yapıyı bozmaksızın sunucu ve kullanıcılara ek bir yük getirmeyecek ve performans kaybına sebep olmayacak bir çözüm tercih ediyorlardı.

ATA ile Türkiye Finans şüpheli davranışları zamanında tespit ederek saldırıları önleyebiliyor

Mayasoft Bilgi Sistemleri tarafından gerçekleştirilen başarılı bir kavram kanıtlama çalışması sonucunda kurum, ATA’yı yaygınlaştırmaya ve 4500’ü aşkın son kullanıcının davranışını ATA ile izlemeye karar verdi.

ATA’nın dashboard’u ve uyarı mekanizması sayesinde, veri sızıntısına neden olabilecek saldırıları anında fark edip herhangi bir zarar meydana gelmeden önlem alabiliyorlar. ATA aynı zamanda ortamdaki iyileştirme alanlarını tespit etmekte de ekibe yardımcı oluyor. İçerideki kullanıcı davranışlarını sürekli analiz ederek, herhangi bir saldırı olmadığında bile nelerin iyileştirebileceğini gösteriyor.

Türkiye Finans Katılım Bankası BT Güvenlik ekibi saldırı tipleriyle ilgili herhangi bir kural yazmak zorunda olmadıkları için çok mutlu; keza ATA bunu onlar için zaten yapıyor. ATA’nın sahip olduğunu veri tabanı, yeni saldırı tipleri için sürekli güncelleniyor. Şensoy Şahin ATA’nın kurumlarına sağladığı faydayı kısaca “Advanced Threat Analytics minimum entegrasyon çabasıyla güvenlik platformumuza maksimum fayda sağlıyor” sözleriyle açıklıyor.