TechnoLogic – Kurum ve şirketleri saldırıya açık duruma getiren kriterler


Kurum ve şirketleri saldırıya açık duruma getiren kriterler

Onur Oktay 07 Ekim 2013 0
Kurum ve şirketleri saldırıya açık duruma getiren kriterler

Bazen bir bilgiye ulaşmak ya da sistemlere sızmak sadece teknik bilgi gerektirmez. Bu tip durumlarda karşımıza sosyal mühendislik çıkar. Teknik bilgilerin yerini zeka ve insan psikolojisi alır. Sosyal mühendislik çok geniş ve son dönemde oldukça popüler bir saldırı türü.

Öyle ki telefonla, e-postayla, web üzerinden ya da gerçek hayatta bambaşka yöntemlerle karşımıza çıkabilir. Son yıllarda teknik bilgili korsanlar kadar kıvrak zekalı ve ikna etme yeteneği fazla olan sosyal mühendis kişiler eylem yapmakta ve kendilerinden söz ettirmektedirler.

Son birkaç yıldır yapılan büyük siber saldırılara baktığımızda genelinde özellikle medya ve kamu kurumlarına yapılan saldırıların arka planında hep sosyal mühendislik tekniklerinin olduğunu görüyoruz.

Facebook, Twitter, LinkedIN gibi sosyal ağlarda sosyal mühendislik saldırıları yapmak isteyen kişilerin adeta ekmeğine yağ sürmektedir.

Kurum ve ya şirketlerin sosyal mühendislik saldırılarına maruz kalmalarına neden olan kriterler maddeler şöyle sıralanabilir:

  • Kurum/Şirketin sosyal mühendislik konusunda çalışanlarına bilinçlendirici, bilgilendirici bir eğitim prosedürünün olmaması
  • Noktadan noktaya güvenlik sağlayan donanımsal firewall gibi gelişmiş güvenlik sistemlerinin olmaması
  • Kullanılan işletim sistemlerinin periyodik olarak güvenlik ve sistemsel yamalarının gerçekleştirilmemesi
  • Sunucu sistemlerinin bakım, onarım ve güvenlik çalışmalarının zamanında yapılmaması ya da hiç yapılmaması
  • Kullanılan oturum açma şifrelerinin güvenli olmaması ve değiştirilmemesi
  • Paylaşım ortamları, web sitesi, eposta, sosyal medya gibi önemli bilgilerin paylaşıldığı sistemlere erişim sağlarken kullanılan şifrelerin bir kağıda yazılarak bilgisayarının ekranına, masanın üstüne ya da bir ajandaya kayıt edilmesi
  • Şirketteki veri trafiğinin düzenli olarak izlenmemesi ve yedeklenmemesi
  • Kurum/Şirket içi bilgi sınıflandırılmasının yapılmaması, bilgi güvenliği eğitimlerinin ve uyarıcı afişlerin olmaması
  • Kurum/Şirket’in web Sitesinde gereksiz detay bilgilerin yer alması ve 3. şahıs kişilerin bu sayfalara erişim haklarının sınıflandırılmaması
  • Kurum/Şirketin ikiden fazla tesisinde var olan farklı bilgi işlem departmanları arasında çalışma sistemi olarak kopukluk ve farklılıklar olması, merkezi sistem yönetiminin olmaması
  • CEO’dan başlayarak en alt düzey çalışana kadar kimin, hangi bilgiye, ne kadar, ne zaman, nasıl erişebileceğinin kurgulanmaması ve gizli bilgi erişimlerinin bir prosedüre dayanmaması
  • Çalışan personelin dahili numaraları rahatça karşı tarafa vermesi ya da bu numaraları veren bir santral sisteminin var olması
  • Kullanılan otomasyon sisteminin log tutma özelliği olmaması
  • Profesyonel bir log sisteminin bilgi işlem departmanı tarafından kurgulanmaması
  • Düzenli ve ğeriyodik olarak güvenlik (penetrasyon) testlerinin gerçekleştirilmemesi
  • Olası saldırılara karşı saldırı sonrasında uygulamaya konabilecek bir acil eylem planının yapılmaması, panik ve düzensizlik
  • Kurum ya da şirketin ağ yapısında yönetilebilir ‘switch’lerin güncellemelerinin yapılmamış olması ya da hiç yapılandırılmayıp, ‘default’ ayarlar şeklinde bırakılmış olması
  • Kurum ya da şirketin Domain Controller (DC) şeklinde yapıya değil tek tek lokal bilgisayarlar şeklinde sistemini çalıştırması
  • Gizli bilgi, önemli bilgi, bilgi işlem raporları, muhasebe ya da Ar-Ge bölümü gibi kritik departmanların atık çöplerinin ayrıştırılmadan ve kullanılamaz hale getirilmeden çöpe atılması
  • Dışarıdan birisinin kurum/şirket hattına içeriden giriş yaparken otomatik olarak IP adresi alıp rahatça girebilmesi ve ağdaki kaynaklara erişim sağlıyor olması.