Her çalışan siber güvenlik farkındalığına sahip olacak formda eğitilmeli
Şirketlerin insan kaynaklarında odak noktası tekrar şekilleniyor. Siber güvenlik farkındalığı çalışanlar için edinilmesi gereken öncelikli yetenekler ortasında yer alıyor. Yeni işe alımlarda, siber güvenlik farkındalığı ve okuryazarlığı eğitimleri öncelikli alınması gereken eğitimlerin başında yer almaya başlayacak.
Dikkatsizlik yahut ihmal üzere insan tabiatına ilişkin zafiyetleri istismar etme metotlarını kullanan toplumsal mühendislik taarruzlarında siber hatalılar ekseriyetle kurumların çalışanlarını amaç alıyorlar. Sistemlere giriş bilgilerini elde etmek yahut ziyanlı yazılımı indirterek art kapı oluşturmak için kuruma ya da çalışana özel hazırlanan tuzak e-postalar, bildiriler ve telefon görüşmeleriyle gerçekleştirilen bu çeşit akınlar son yıllarda büyük artış göstermektedir. Toplumsal mühendislik hücum teknikleri siber hücumların 98’inde kullanılıyor, bilgi güvenliği konusunda farkındalık yoksunluğunu yapılacak teknolojik yatırımlarla karşılamak mümkün değil. Geldiğimiz noktada farkındalık eğitimleri tesirli savunma prosedürlerinin ortasında kendine kıymetli bir yer buluyor. Bu çeşit ataklara karşı teknoloji tabanlı tehdit algılama, güvenlik duvarı yahut atak izleme tahlilleri tek başına kâfi olmuyor.
Sosyal mühendislik üzere bir akının şimdi gerçekleşmeden tespit edilip önlenmesinde kullanıcı farkındalığı en tesirli savunma hali olarak karşımıza çıkıyor. Tehdit istihbaratı çalışmaları toplumsal mühendislik hücumlarını önlemede büyük yarar sağlasa da bilhassa kişi ya da üniteye özel taarruzlardan etkinlenmemek ya da riskleri asgariye indirmek için husus tekrar çalışanların bu husustaki farkındalığına geliyor. Kuşkulu bir epostada toplumsal mühendislik saldırısının izlerini fark edip bunun tuzak bir eposta olduğunu algılayabilmek çok değerli. Kuşkulu linkleri tıklamadan ya da rastgele bir belge indirmeden evvel iletinin kaynağını teyit edecek ve parola/OTP üzere giriş bilgilerinin kimseyle paylaşılmaması gerektiğinin şuurunda olacak seviyede bir farkındalık edinilmesi, bu cins akınların şimdi gerçekleşmeden önlenmesini kolaylaştırıyor. Bu farkındalığın edinilmesi için kurum içi eğitimlerinin tüm çalışanları kapsaması ve birebir vakitte toplumsal mühendislik taarruzlarının hem teknik hem fizikî tüm cinslerine karşı şuur kazandıracak halde tasarlanması gerekiyor. Uygulanacak önlemler, farkındalık eğitimi ve uyulması gereken kuralların kurumsal güvenlik siyasetinde yer alması da kıymet arz ediyor.
UBER SALDIRISI TOPLUMSAL MÜHENDİSLİK ÖRNEĞİ
Sosyal mühendislik hücumları kullanıcıları maksat almaya devam ediyor. En son örneği, 15 Eylül 2022 Perşembe günü Uber sistemlerini amaç alan toplumsal mühendislik tabanlı akın çalışanların güvenlik farkındalığı kazanmasının kıymetini bir sefer daha ortaya koyuyor. Uber’de yaşanan bu güvenlik ihlalinin, 18 yaşında bir saldırgan toplumsal mühendislik formülüyle bir Uber çalışanından aldığı erişim bilgilerini kullanarak kurum iç VPN sistemine erişmesi halinde gerçekleştiği tez ediliyor. İç ağda tespit edilen ve yönetici login bilgilerini içeren PowerShell betikleriyle Uber’in AWS ve G Suite hesaplarının da ele geçirildiği argüman ediliyor. Hackerın Uber’in kaynak kodlarını sızdırma tehdidinde bulunduğu da tezler ortasında.
Saldırganın tıpkı vakitte Uber’in Bug Bounty programı kapsamında hizmet aldığı HackerOne tarafından paylaşılan zafiyet raporlarına eriştiği bilgisi bulunuyor. Kurumun iç sistemleri, eposta paneli ve Slack sunucusuna ilişkin ekran imajları paylaştığı ve güvenlik yazılımlarına ve Windows domainlerine tam erişim sağladığı belirtiliyor. Hackerın ele geçirdiği öteki sistemler ortasında AWS web konsolu, VMware ESXi sanal makineleri, Google Workspace email admin panelinin de bulunduğu haberlerde geçiyor. Uber’in akın savlarını doğruladığı, kolluk kuvvetleriyle temasta oldukları belirtiliyor.
Uber örneğinde de görülebileceği üzere bir anlık ihmal yahut bilinçsiz davranış ile parola üzere hassas bir bilginin dikkatsiz bir biçimde paylaşılmasının sonuçları çok önemli sonuçları olduğunu söyleyen BeyazNet CTO’su Akgün Yardımcı şöyle konuştu:
“Kurum içi hassas varlıkların ve bilgilerin tehlikeye düşmesine neden olmasının yanında, beklenmedik ölçekte büyük bir tesire sahip güvenlik problemine yol açıyor. Güvenlik farkındalığıyla birinci etapta aşılması daha kolay olan toplumsal mühendislik ataklarında, çalışandan elde ettiği geçerli login bilgileriyle iç ağa erişen bir siber hatalıyı teknoloji tabanlı tahlillerin algılayıp durdurması daha güçlü olmaktadır. Bilgi güvenliği, siber güvenlik farkındalığı, sistemleri korumakta giderek daha değerli bir hale geliyor.”
SİBER GÜVENLİK FARKINDALIĞI EĞİTİMİ HER ŞİRKET İÇİN GEREKLİLİK
Kurumların ve şirketlerin Uber’e yapılan hücumla birlikte farkındalığının arttığına işaret eden e-Mektep Eğitimler Koordinatörü Yasin Yeniyurt, “Öncelikle kritik bilgi sahibi çalışanlardan başlamak üzere tüm çalışanların siber güvenlik farkındalığı eğitimi alması ile ilgili talepler geliyor. Bu trend gitgide büyüyerek işe alımlarda olmazsa olmaz haline gelecektir. Siber güvenlik farkındalığı eğitimlerinin yanında, daima bilgi güncelleme ve yeni tehditleri öğrenme için bu çeşit eğitimlerin yılda en az 2 kere yapılması gerekiyor.” formunda konuştu.
Kaynak: (BYZHA) – Beyaz Haber Ajansı