Siber Saldırılardan Nasıl Korunursunuz ?

Siber Saldırılardan Nasıl Korunursunuz ?

Riskleri iyi analiz etmek ve bunlara karsi cozumler gelistirmek hem kisilerin hem de kurumlarin yapmasi gereken en onemli seydir. Gerek devlete ait kurumlar gerekse ozel kuruluslar olasi birsiber tehdite karsi surekli risk analizleri yapmak zorundadirlar.

Siber risk analizi ve guvenligini 3 ana baslik altinda inceleyebiliriz:

– Kurulusun Guvenligini Saglamak
– Yazilimin Guvenligini Saglamak
– Kisilerin Guvenligini Saglamak

Kurulusun Risk Analizi ve Guvenliginin Saglanmasi

Kurulusunuzdaki agin guvenligi her acidan hayatidir. Butun veri trafiginiz, kurum ici iletisiminiz, yazilimlariniz, projeleriniz, muhasebeniz gibi cok onemli bilgiler kurumunuzun ic aginda dolasir. Bu yuzden de guvenlik icin ilk yapmaniz gereken IT Departmaniniza zararli yazilimlara, saldirilara ve olasi veri hirsizligina karsi yapilmasi gerekenler icin birer plan hazirlamalarini isteyin. Her zamanen kotu senaryoyu dusunun ve planlarinizi buna gore yapin.

Dumpster Diving’e Karsi Onlem Alin

Dumpster Diving diye adlandirilan teknik, ingilizcede cope dalmak anlamindadir. Yani bir organizasyonun gunluk olarak attigi copleri karistirarak icerisinden o kurulusa ait onemli verileri toplamayi amaclamaktadir. Ornegin, sirketinize gelen faturalaric yazismalar, dis yazismalar, proje taslaklari gibi bircok onemli veriyi dogrudan cope atarsaniz, copleri bu amacla karistiran birisi butun bu bilgilere ulasacaktir. Sirket calisanlariniz icin kurulusunuza alacaginiz belge imha edici makinalar ile bu sorunun buyuk olcude onune gecmis olursunuz.

Network Sniffing’e Karsi Korunun

Kurulusunuzdaki ic aginizin trafiginin onemini belirtmistim. Eger birisi disaridan bu trafigi dinlerse elde edecegi veriler olumcul olabilir. Sadece disaridan da degil, ayni zamanda sirketinizde calisan bir kisinin disariya bilgi sizdirmasi olasiligini da goz onunde bulundurmalisiniz.

Hem disaridan hem de iceriden elde edilebilecek verileri olabildigince kisitlayin. Sirketinizde bulunan onlarca bilgisayara ayni yetkileri vermek olasi bir bilgi sizintisina donusebilir. Bu yuzden dehiyerarsik olarak bilgisayarlari ve calisanlarin erisebilecegi bilgileri siniflandirin.

Gunumuzde skca kullanilan MITM (Man In The Middle) saldirisi ve ARP Poisoning saldirilari ile bir ag uzerindeki sifrelenmis baglantilarin bile guvenligine golge dusurebiliyor. Bu yuzden de mutlaka kurum ici routerlara ve her bir bilgisayara guclu guvenlik duvarlari kurun. Gerekirse donanimsal bir guvenlik duvari satin alin.

Kurum Ici Bilgisayarlarin Guvenligini Saglayin

Siz disardan ne kadar onlem alirsaniz alin, icerideki bir curuk elma butun sepetin mahvolmasina sebep olabiliyor. Sirketinizdeki calisanlarin kullandigi bir bilgisayarda guvenlik zaafiyeti olmasi,sirketin ic agina sizilmasina, belgelerin calinmasina, calisanlarin kandirilmasina ve daha bircok soruna sebep olabilir. Bu yuzden de her bir bilgisayarin tek tek guvenlik politikalarinni, yamalarini, guncellemelerini, antivirus programlarini ve guvenlik duvarlarini kontrol etmelisiniz.

Sirket calisanlarinizin internette girebilecekleri siteleri kisitlamak da bu konuda alinabilecek iyi bir onlemdir. Her ne kadar calisanlari kizdiracak da olsa, hem calisanlarin vakit kaybetmemelerinihem de zararli sitelerden bilgisayarlara sizabilecek casus yazilimlarin onune gecmis olursunuz.

Kurumsal E-Posta ve Yazisma Guvenligini Saglayin

Neredeyse butun sirketler artik bir websitesine ve bir de mail hizmetine sahip. Ozellikle yuzlerce calisani bulunan buyuk sirketler kurumsal mailleri gun icerisinde defalarca kullanirlar. Burada akla gelebilecek ilk tehlike, mail araciligi ile yayilan zararlilardir. Kurum icerisinde bir calisanin mailini kullanan bir zararli yazilim kisa sure icerisinde butun kuruma yayilir ve kisisel bilgilerden sirketin en onemli verilerine kadar bircok bilgiyi calabilir. Sirket calisanlarinizin bilgisayarlarina yuklenecek guvenlik yazilimlari burada hayati rol oynar.

Kurumsal emaillerinizde gonderdiginiz bilgilerin kiymeti de cok onemlidir. Her zaman o maillerin ele gecirilebilecegini, ve 3. kisiler tarafindan okunabilecegini dusunerek mail icerigini yazin ve buna gore onemli bilgileri mail araciligi ile paylasmayin. Eger ki acil olarak cok onemli bir veriyi sirket yoneticinize ya da calisaniniza mail atacaksaniz, bu bilgiyi bir ofis dokumanina yazarak sifreleyinve sifreyi gondereceginiz kisiye telefon ile bildirin.

Kurulusunuza Gelen Her Ziyaretciye Guvenmeyin

Bircok kurulus ziyaret amacli gelen kisileri bir bekleme salonuna alir ve kiminle gorusmek istediklerini ve isimlerini sorarlar. Buraya kadar gayet normal bir yaklasim. Ancak bu gelen kisilerden biri sirketinize ait gizli bilgileri calmak isteyen kotu amacli biriyse neler olur tahmin edin.

Ilk olarak dikkat etmeniz gereken sey ziyaretciler icin hazirladiginiz bekleme salonunda ethernet kablo girisi varmi yokmu kontrol etmek. Kotu niyetli bir kisi laptopunu acip bu kablo girisini kullanarak direkt olarak sirket ic agina baglanabilir. Ikinci olarak alacaginiz onlem ise, ziyaretcileri karsilayan calisanlar basta olmak uzere butun calisanlara vereceginiz kucuk capli bir guvenlik semineridir. Bu seminerde calisanlariniza hicbir sekilde ziyaretcilere (Kim olursa olsun) sirkete ait wireless sifresiag bilgileri gibi verileri vermemelerini tembihleyin.

Sirket icinde eger tek bir wireless ag kullaniyorsaniz bunu sadece calisanlara ayirin ve sifresini akilda kalmayacak uzun rakam ve harflerden secin. Butceniz uygunsa eger sirketinize kuracaginizikinci bir wireless agi da sadece ziyaretcilere ayirin ve bunu da sifreleyin.

Yazilimlarinizin Risk Analizi ve Guvenliginin Saglanmasi

Hem sirket icinde hem de sirkete ait web sistemlerinde bircok yazilim kullaniyorsaniz bu konuda guvenligi elden birakmamalisiniz. Neredeyse butun sirketler ve kurumlar surekli olarak verilerin girip ciktigi bir muhasebe programi ve calisan bilgilerinin tutuldugu veritabanlari gibi sistemlere sahiptir. Bu sistemlerin yazilimsal olarak olusturacagi bir guvenlik zaafi butun bu sakladiginiz verilerin disari cikmasina sebep olur.

Web sistemlerinin guvenligini saglamak baslica unsurdur. Cunku, kurulusunuz hakkinda bilgi toplamak isteyen bir kisinin ilk yapacagi sey, internet uzerinden bilgi elde etmektir. Bu yuzden de kurulusunuz icin hazirladiginiz web sitelerinin ve diger web sistemlerinin guvenligi onceliklidir. Cogu sirket yoneticisinin yaptigi en buyuk hata “Benim sirketimin web sitesinde onemli bir bilgi yok zaten, hacklense ne olacak” yaklasimidir. Sunu unutmayin ki, sirketinize ait bir sitenin ele gecirilmesi ilk olarak prestikaybina ve daha sonra da ic aga sizilmaya kadar gidebilir. Sonucta sirket calisanlarinizdan en az bir kisi bile ele gecirilmis sirket sitesini ziyaret ederse, saldirgan o kisiye zararli yazilim indirebilir ve sirket ic agina girebilir.

Web sistemlerinde olusabilecek baslica guvenlik zaaflari olan XSS (Cross Site Scripting), SQL InjectionX/CSRF (Cross Site Request Forgery), L/RFI (Local-Remote File Inclusion), RCE(Remote Code Execution), Zayif Sifreleme, Server Guvenlik zaaflari, Sistemdeki bilincsiz izinli dosyalardir. Bu yontemlere karsi mutlaka sistemlerinizin kontrolunu saglamali ve varsa zaaflarinizikapatmalisiniz.

Sirket icinde kullandiginiz yazilimlarda olusabilecek baslica zaaflar daBuffer OverflowActiveX Kontrollerinin Zayifliklari, tekrardan zayif sifrelemeGuncel olmayan isletim sistemleriRCE gibi zaaflardir. Yazilim gelistiricilerinizi bu zaaflara karsi onlem almalari icin bilgilendirmelisiniz.

Sirket Calisanlarinin Risk Analizi ve Guvenliginin Saglanmasi

Gunumuzde guvenligin en zayif halkasi insandir. Siz butun onlemleri almis olsaniz da sirket calisanlarinizdan birinin kisisel zaafi sirketinizdeki en onemli bilgilere ulasilmasini saglayabilirSosyal Muhendislik olarak adlandirilan bir saldiri cesidi vardir. Bu yontem ile saldirgan sadece telefon ile sirket calisanlarinizi arayip kendini bir calisan ya da magdur musteri gibi gostererek calisanlarinizikandirir ve asil ulasmak istedigi bilgilere ulasir. Ornek bir saldiri senaryosunu Kevin Mitnick “Aldatma Sanati” adli kitabinda su sekilde anlatiyor:

Bir süre önce ülke çapında iş yapan bir GSM operatörü büyük bir promosyon yapmıştı. Şirketin tarifelerinden bir tanesine abone olduğunuzda bir sent ödeyerek yeni bir cep telefonuna sahip oluyordunuz. Birçok insanın oldukça geç fark ettiği üzere, bir cep telefonu tarifesine abone olmadan önce dikkatli bir müşterinin sorması gereken bir yığın soru vardır. Hizmetin analog, dijital ya da her ikisi birden olup olmadığı; sabit ücretlerin ne kadar olduğu gibi sorular. İşin başından, abonelik taahhüdü süresinin ne kadar olduğunun bilinmesi özellikle önemlidir. Yani, kaç ay ya da yıl abone kalmanız gerekecek? Philadelphia’da oturan bir toplum mühendisini hayal edin. Bir cep telefonu şirketinin abone olunduğunda vereceğini söylediği ucuz cep telefonunu çok beğenmiş, ancak telefonla birlikte sattıkları tarifeden hiç hoşlanmamış. Sorun değil. İşte bu işi kotarmanın yollarından biri.
İlk görüşme: Ted

Toplum mühendisi ilk iş olarak, bir elektronik eşya mağazalar zincirinin west girard’daki mağazasına telefon eder.

-Electron city. Ben ted

-Merhaba ,ted. Ben George. Birkaç gün önce bir cep telefonuyla ilgili olarak bir satış görevlisiyle konuşmuştum. Hangi tarifeyi istediğime karar verdiğimde onu arayacağımı söylemiştim ama adını unuttum. O bölümde akşam mesaisinde çalışan adamın adı nedir?

-Birden fazla kişi var. William olabilir mi?

-Emin değilim. Belki de william’dır. Görünüşü nasıl?

-Uzun boylu zayıfça

-Sanırım o. Soyadı ne demiştin?

-Hadley. H-A-D-L-E-Y

-Tamam, oydu. Ne zaman orada olacak?

-Bu haftaki mesai çizelgesini bilemiyorum ama akşamcılar beş gibi gelirler.

-Cok iyi. Onu bu gece bulmaya çalışırım o zaman. Teşekkürler, ted.

İkinci görüşme: Katie

Bir sonraki görüşme, aynı mağazalar zincirinin North broad caddesi’ndeki mağazasıyla yapılır.

-Merhaba,electron city. Ben katie, size nasıl yardımcı olabilirim?

-Katie, merhaba. Ben William hadley, west girard mağazasından.işler nasıl bugün?

-Biraz yavaş. Ne oldu?

-Şu bir sentlik cep telefonu promosyonu için gelmiş bir müşterim var. Hangisini kastettiğimi biliyorsun değil mi?

-Biliyorum. Geçen hafta onlardan birkaç tane sattım.

-O promosyon kapsamındaki telefonlardan elinde daha var mı?

-Bir yığın

-Harika, çünkü az önce bir müşteriye ondan bir tane sattım. Adam kredi kartıyla ödedi; kontratı da imzaladık. Sonra depoya baktım ki elimizde hiç telefon kalmamış. Çok mahçup oldum. Bana bir iyilik yapabilir misin? Telefonu almak için müşteriyi sizin mağazaya göndereceğim. Ona bir sent karşılığında telefonu satıp, fatura düzenler misin? Bir de, nasıl programlanacağını anlatabilmem için, telefonu aldıktan sonra beni araması gerekiyor.

-Elbette gönder onu buraya

-Tamam. Adı ted. Ted yancy
Adının ted yancy olduğunu söyleyen bir adam North broad caddesi mağazasına geldiğinde, katie bir fatura düzenler ve adama bir sent karşılığında cep telefonunu satar. Her şey “mesai arkadaşının” ondan rica ettiği şekilde gelişir. Kadın zokayı yutmuştur. Ödeme zamanı geldiğinde müşterinin cebinde hiç bozuk para yoktur. Bu yüzden kasada bir sentlerin durduğu küçük bölmeye uzanır, bir tane alır ve ödeme yaparken bunu kadına verir. Telefonu bir senti bile ödemeden almıştır.
Bunun gibi saldirilara karsi kurum icerisinde duzenli olarak profosyonel kisilerden destek alarak egitimler vermelisiniz. Sirket calisanlarinizin bilmesi gereken en onemli sey, sirket ile ilgili degersiz ve onemsiz gozuken en ufak bilginin bile saldiri amacli kullanilabilecegidir. Bu tur bir sosyal muhendislik saldirisi aslinda saldirilarin en onemlisidir cunku saldirgan direk olarak sisteminizdeki bir calisanla arasinda guven iliskisi kurar ve gerektiginde bundan tekrar tekrar faydalanir. En onemlisi ise hicbir antivirus ve guvenlik duvari bu saldiriyi yakalayamaz.

Son Yazılar
Bir cevap bırakın
Malazgirt Meydan Muharebesi kaç yılında yapıldı ?