Kurum ve şirketleri saldırıya açık duruma getiren kriterler

Bazen bir bilgiye ulaşmak ya da sistemlere sızmak sadece teknik bilgi gerektirmez. Bu tip durumlarda karşımıza sosyal mühendislik çıkar. Teknik bilgilerin yerini zeka ve insan psikolojisi alır. Sosyal mühendislik çok geniş ve son dönemde oldukça popüler bir saldırı türü.

Öyle ki telefonla, e-postayla, web üzerinden ya da gerçek hayatta bambaşka yöntemlerle karşımıza çıkabilir. Son yıllarda teknik bilgili korsanlar kadar kıvrak zekalı ve ikna etme yeteneği fazla olan sosyal mühendis kişiler eylem yapmakta ve kendilerinden söz ettirmektedirler.

Son birkaç yıldır yapılan büyük siber saldırılara baktığımızda genelinde özellikle medya ve kamu kurumlarına yapılan saldırıların arka planında hep sosyal mühendislik tekniklerinin olduğunu görüyoruz.

Facebook, Twitter, LinkedIN gibi sosyal ağlarda sosyal mühendislik saldırıları yapmak isteyen kişilerin adeta ekmeğine yağ sürmektedir.

Kurum ve ya şirketlerin sosyal mühendislik saldırılarına maruz kalmalarına neden olan kriterler maddeler şöyle sıralanabilir:

  • Kurum/Şirketin sosyal mühendislik konusunda çalışanlarına bilinçlendirici, bilgilendirici bir eğitim prosedürünün olmaması
  • Noktadan noktaya güvenlik sağlayan donanımsal firewall gibi gelişmiş güvenlik sistemlerinin olmaması
  • Kullanılan işletim sistemlerinin periyodik olarak güvenlik ve sistemsel yamalarının gerçekleştirilmemesi
  • Sunucu sistemlerinin bakım, onarım ve güvenlik çalışmalarının zamanında yapılmaması ya da hiç yapılmaması
  • Kullanılan oturum açma şifrelerinin güvenli olmaması ve değiştirilmemesi
  • Paylaşım ortamları, web sitesi, eposta, sosyal medya gibi önemli bilgilerin paylaşıldığı sistemlere erişim sağlarken kullanılan şifrelerin bir kağıda yazılarak bilgisayarının ekranına, masanın üstüne ya da bir ajandaya kayıt edilmesi
  • Şirketteki veri trafiğinin düzenli olarak izlenmemesi ve yedeklenmemesi
  • Kurum/Şirket içi bilgi sınıflandırılmasının yapılmaması, bilgi güvenliği eğitimlerinin ve uyarıcı afişlerin olmaması
  • Kurum/Şirket’in web Sitesinde gereksiz detay bilgilerin yer alması ve 3. şahıs kişilerin bu sayfalara erişim haklarının sınıflandırılmaması
  • Kurum/Şirketin ikiden fazla tesisinde var olan farklı bilgi işlem departmanları arasında çalışma sistemi olarak kopukluk ve farklılıklar olması, merkezi sistem yönetiminin olmaması
  • CEO’dan başlayarak en alt düzey çalışana kadar kimin, hangi bilgiye, ne kadar, ne zaman, nasıl erişebileceğinin kurgulanmaması ve gizli bilgi erişimlerinin bir prosedüre dayanmaması
  • Çalışan personelin dahili numaraları rahatça karşı tarafa vermesi ya da bu numaraları veren bir santral sisteminin var olması
  • Kullanılan otomasyon sisteminin log tutma özelliği olmaması
  • Profesyonel bir log sisteminin bilgi işlem departmanı tarafından kurgulanmaması
  • Düzenli ve ğeriyodik olarak güvenlik (penetrasyon) testlerinin gerçekleştirilmemesi
  • Olası saldırılara karşı saldırı sonrasında uygulamaya konabilecek bir acil eylem planının yapılmaması, panik ve düzensizlik
  • Kurum ya da şirketin ağ yapısında yönetilebilir ‘switch’lerin güncellemelerinin yapılmamış olması ya da hiç yapılandırılmayıp, ‘default’ ayarlar şeklinde bırakılmış olması
  • Kurum ya da şirketin Domain Controller (DC) şeklinde yapıya değil tek tek lokal bilgisayarlar şeklinde sistemini çalıştırması
  • Gizli bilgi, önemli bilgi, bilgi işlem raporları, muhasebe ya da Ar-Ge bölümü gibi kritik departmanların atık çöplerinin ayrıştırılmadan ve kullanılamaz hale getirilmeden çöpe atılması
  • Dışarıdan birisinin kurum/şirket hattına içeriden giriş yaparken otomatik olarak IP adresi alıp rahatça girebilmesi ve ağdaki kaynaklara erişim sağlıyor olması.
Yazıyı Oylayın
İlginizi çekebilir:  İran'da internet özgürlüğü kısa sürdü

Yazar: Onur Oktay

Türkiye’nin doğa harikası eşsiz illerinden birisi olan “Bolu” doğumluyum. 1999 yılından bu yana bilişim teknolojileriyle ilgileniyorum. Bu işlere bulaşan çoğu insan gibi bende IRC (Internet Relay Chat) ile uzun süre haşır neşir olduktan sonra kendimi profesyonel olarak geliştirebileceğim ve hayatımın odak noktası olacak olan sistem, network ve güvenlik alanına yöneldim. MCT, MCSE ve MCTS gibi ünvanlara sahibim. 2005 yılından bu yana profesyonel olarak özel bilişim eğitim kurumlarında Microsoft teknolojileri üzerine eğitimler veriyor, sektördeki kamu kurum ve özel kuruluşlarına güvenlik alanında danışmanlık yapıyorum. 2009 yılından bu yana resmi bir kurumda bilgi işlem merkezinde Sistem ve Güvenlik Uzmanı olarak çalışıyorum.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir