Dijital varlıklarınız ne kadar güvende?

Gelişen teknolojiyle birlikte ağa bağlı cihazların sayısı ve çeşitliliği her geçen gün artmaya devam ediyor. Bu durum ise dijital varlıklarımız açısından güvenlik açıklarını beraberinde getiriyor.

Artık sadece bilgisayarların değil,  verilere erişim sağlanan tablet, telefon gibi mobil cihazların, nesnelerin interneti kavramıyla birlikte hayatımıza giren, veri üreten ve saklayan tüm akıllı cihazların da koruma altına alınması gerekiyor. Önemli dataları barındıran sosyal medya içerikleri de siber saldırılara karşı koruma gerektiren bir başka alan.

Dünya çapında yapılan birçok araştırma gerek kişisel, gerekse kurumsal olarak dijital varlıkların korunması konusunda yeterli performansın gösterilmediğini ortaya koyuyor. Zayıf parolalar kişisel verileri, hırsızlık ve finansal kimlik avı gibi tehditlere açık hale getirirken, dijital kimliklere yönelik tehditlerin artmasıyla birlikte parmak izi okuyucular, yüz tarama ve ses tanıma sistemleri gibi biyometrik teknolojilerin kullanımı gündemde daha fazla yer edinmeye başlıyor.

Şirketler ise kurum hedefli yeni nesil siber saldırılara maalesef hala hazırlıklı değil. Şirketleri hedef alan siber saldırı yöntemlerinden en yaygınları ise kötü amaçlı yazılım, kimlik avı, parola saldırıları, DoS saldırıları, fidye yazılımlar ve spam e-postalar olarak sıralanıyor.

Siber saldırıların sonuçları şirketlerde, müşteri kaybı, itibar kaybı, gelirlerde düşüş ve çalışanların üretkenlikte yetersiz kalmaları gibi yıkıcı ve uzun vadeli mali sonuçlar doğurabiliyor.

Cihazların güvenliği ve veri hırsızlığının ortak risklerinin yanı sıra, saldırganların bir şirketin en değerli varlıklarına erişmek için kullandıkları en etkili silahlardan biri olan insan ihmalkarlığı, hala yaygın olarak istismar edilen faktörler arasında yer almaya devam ediyor. Bu nedenle, çalışanların siber saldırılar hakkında eğitilmesi büyük önem taşıyor.

Dijital varlıkların korunması konusunda çözümler sunan şirketlerin temsilcileri ise, konunun öneminin hala hafife alındığı ve sadece sınırlı sayıda şirketin ortaya çıkan risklere karşı yatırım yaptığı görüşünde

Hedefe yönelik siber tehditlere karşılık, uçtan uca birbirine entegre güvenlik çözümlerine ihtiyaç duyulduğunun altını çizen sektör temsilcileri, müşterilerine dair birçok veriyi bünyelerinde bulunduran çağrı merkezleri de dahil olmak üzere, sağlık sektöründen bankacılığa, telekomünikasyondan ticarete kadar tüm sektörleri, dijital alanda güvenlik politikalarını yeniden belirleyip, alınacak önlemler üzerinde daha fazla yoğunlaşmaya davet ediyor.

Murat Bayraktar, Forcepoint Türkiye Satış Mühendisliği Müdürü

Yeni nesil siber saldırıları, ancak daha akıllı teknolojiler ile önlemek mümkün

Siber güvenlik tarafında son 5 yılda, özellikle bulut bilişim ve Internet kullanımının gittikçe yaygınlaşması ile son dönemde tüm dünyayı etkisi altına alan “WannaCry”, “Petya”, “Spectre”, “Meltdown” gibi ataklar, birçok kurumsal firmanın ve kamu kuruluşunun bilişim altyapılarına ciddi zarar verdi, gizli bilgilerin sızdırılmasını sağladı, saldırganlar ciddi fidye paraları kazandı. Ataklar o kadar çok ismi herkes tarafından bilinen dev firmaları etkiledi ki, yazılı ve Internet basınında çok yaygın olarak yer buldu, ciddi ses getirdi. Hem birey hem de kurumsal firmalar ile kamu kuruluşlarında, bu durum Siber Güvenlik konusuna bakışı olumlu yönde etkileyerek bir farkındalık oluştu.

Birçok birey ve kurum; bilgisayarlarına bir anti-virüs uygulaması kurup, bir de güvenlik duvarı yatırımı yaptığında, gerekli önlemi aldığını düşünüyor. Halbuki, konvansiyonel güvenlik araçları, üzerinde çalıştıkları sistemleri, imza tabanlı diye adlandırılan, zararlı yazılım ortaya çıkıp ilgili üretici tarafından tanımlandıktan sonra, güvenlik ürününe gelen imzalanmış güncellemeler aracılığı ile korumaya çalışmakta.

Son yıllarda tüm kurumların karşı karşıya kaldığı, hedefe yönelik siber tehditlere karşılık, uçtan uca birbirine entegre olan güvenlik çözümlerine ihtiyaç duyulmakta. Biz Forcepoint olarak, siber saldırı sürecinin her adımında savunma yapan, atak vektörlerinin görünürlüğünü artıran ve zararlı yazılımları ortaya çıktığı yerde bloke ederek durdurabilen çözümlere sahibiz.

Dijital evrimi kurumsal süreçlerin parçası haline getirecek bir yol haritası belirlenmeli

Son yıllarda kurumlardaki iş ihtiyaçlarının BT ekipleri tarafından en yüksek servis seviyesi ile karşılanması, iş birimlerine ait kritik süreçlerin 7/24 kesintisiz olarak çalışabilmesi, pazardaki rekabet açısından 10 yıl öncesine göre çok daha öncelikle hale geldi. 10 yıl öncesine göre, günümüz dünyasında dijital/mobil sistemlerin ve BT’nin firmaların verimliliği artıracak en önemli araç olduğunun anlaşılması, firma süreçlerine dijital evrimi entegre eden firmalara pazarda büyük avantajlar sağladı.

Bu değişim hem sosyal medya içeriklerinin hem de mobil/dijital varlıkların siber ataklara karşı korunmasını çok daha önemli kılıyor. Hem kişisel hem de kurum için her türlü gizli bilginin değişen mobil cihaz, sosyal medya ve bulut bilişim kullanımını düşünürsek, eskisinden çok daha büyük bir atak alanına sahip olduğunu, her geçen gün gelişen siber saldırı tekniklerinin de özelikle mobil sistemleri güvenilir şekilde kullanmaya uzman seviyesinde bilgi sahibi olmayan son kullanıcıları hedeflediğini de söylemek gerekiyor. “Phishing” denen teknikler kullanılarak, özellikle mobil cihazlar üzerinden gelen e-posta içeriklerine, mobil yaşamın doğal hızına uygun olacak şekilde, çok kısıtlı bir zaman dilimi içerisinde, çok da düşünmeden tıklayan kullanıcılar, şahsi ya da kurumsal bilgilerin siber saldırganların eline geçmesine yardımcı oluyorlar.

Forcepoint olarak bizim bu konuda ilk tavsiyemiz; dijital evrimin kurumsal süreçlerin bir parçası haline getirilebilmesi için, iş birimi yöneticilerinin, birbirleri ve yönetim kurulları ile, dijital çağa çoktan ayak durmuş Y neslinden gelen çalışanları da ekibin bir parçası yaparak, bu konuda bir yol haritası belirlemesi olarak söylenebilir.  CDO gibi bu konuda özel görevlendirilmiş, iş birimleri ile yönetim kurulları arasında bu hedefle bir köprü görevi kurmak amacında olan yeni yönetim pozisyonları da, bu konudaki evrimleşmeyi hızlandırabilir. Tabii ki, CDO’ların; CIO’lar ile yakın temas halinde olup, iş birimlerinden firmaların süreçlerini daha etkinleştirmek ve verimli hale getirmek için gelen isteklerin, BT açısından nasıl hayata geçirilebileceği, bu konulardaki evrimleşme yatırımlarının fayda maliyet hesaplamaları gibi çalışmalarda birlikte çalışmaları gerekmekte.

Her kurumun farklı ve kendisine özel savunma teknikleri geliştirmesi gerekiyor.

Yapılan bağımsız araştırmalar gösteriyor ki, kurumlar hedefli yeni nesil siber saldırılara maalesef hala hazırlıklı değil. Çok ciddi karmaşıklıkta ve bazı durumlarda klasik savaşların yerini alan siber savaşlar sebebi ile devlet tarafından fonlanan yeni nesil ataklardan; eski nesil savunma anlayışı, ürün ve yöntemleri ile korunmak mümkün değil. Görünen o ki, bu konuda her kurumun farklı ve kendisine özel savunma teknikleri geliştirmesi gerekiyor. kurumda Her, kendi ihtiyacına yönelik entegre güvenlik çözümleri kullanmalı. Öte yandan, artık sadece bilgisayarları korumak da yetmiyor, veriye erişimin yapıldığı her cihazın, tablet, telefon gibi mobil cihazların da koruma altına alınması gerekli. Daha önemlisi, tüm veri sızmalarının odağında yer alan ve değişmeyen sabit tek bileşen olan “İnsan Faktörüne” odaklanılmalı. Sonuçta veri sızdırmaya çalışan bir saldırgan, saldırısının bir aşamasında yetkili bir kullanıcının kimlik bilgilerini ele geçirmeye çalışıyor, Forcepoint olarak bu konudaki çözümlerimizin, tam da bu sırada devreye girdiğini söyleyebiliriz.

Bahsettiğimiz bu yeni nesil siber saldırıları, ancak daha akıllı teknolojiler ile önlemek mümkün. Kötü amaçlı yazılımların davranış şekillerini analiz ve taklit ederek çalışan, veri sızdırılması olan her bir durumda fiziksel olarak ya da yetkilerinin kullanılması sebebi ile yer alan insan faktörünün her veri ilişkisini izleyen normal davranıştan daha farklı bir aktivite tespit edildiği anda, saldırı ihtimalini düşünerek engelleme yapan yeni nesil güvenlik ürünleri bu konuda kurumlara çözüm olabilir.

Finans, Enerji, Telekomünikasyon, Üretim, Perakendeyi  en fazla risk altında olan sektörler olarak sıralayabiliriz.

Kurumlarda gözlemlenen en büyük açığın, hala konvansiyonel siber güvenlik savunma mekanizmalarında kalmaları olarak belirtebiliriz. Halbuki, gelişmiş siber atakların hedef noktası olan insan faktörünü sürekli izleyerek, gelişmiş analitiklerle çalışanların siber risk seviyesini canlı olarak değiştirebilmek ve önceden belirlenen risk seviyelerine göre, önceden belirlenmiş siber güvenlik aksiyonları alabilmek gelecekte gidilmesi gereken hedef olarak söylenebilir.

David Emm, Kaspersky Lab Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı

Bağlantılı cihazların artışı, siber suçların çeşitliliğini de arttırıyor

Akıllı telefonlar, tabletler ve bilgisayarlar dahil olmak üzere tüm bağlantılı cihazların hayatımızdaki rolü giderek artıyor. Bağlantılı cihazların sayısı ve çeşitliliği artıp, IoT gibi konulardan bahsetmeye başladığımızda, siber saldırıların ve siber suçluların da çeşitlendiğini söylememiz gerekiyor. Günümüzde son kullanıcılardan devletlere kadar herkesin bunu göz önünde bulundurarak önlem alması gerekiyor. Kullanıcıların saldırıya uğrayacak mıyım diye değil ne zaman saldırıya uğrayacağım, ne kadar hızlı ve nasıl toparlanabileceğim diye sorduğu bir dünyada yaşıyoruz. Ancak bu büyük siber güvenlik sorunları genellikle göz ardı ediliyor ve/veya küçümseniyor. 2017’nin ilk yarısına ait Kaspersky Index verilerine göre, yıllık araştırmamıza katılan Türklerin %69’u siber saldırılara hedef olabileceklerine inanmıyor. %46’sı güvenlik önlemi almıyor, bilgisayarlarında ve mobil cihazlarında herhangi bir antivirüs veya internet güvenliği yazılımı kullanmıyor. Parola saklama konusuna geldiğimizde ise Türkiye’den araştırmaya katılanların neredeyse yarısının (%48) parolalarını güvensiz bir şekilde sakladığını görüyoruz.

Sosyal medyada aldığımız hizmetin karşılığını kişisel verilerimizle ödüyoruz

İnsanlar bağlı kalmayı seviyor ve sosyal medya platformları da bu nedenle hayatımızın büyük bir parçası haline geldi. Ancak insanların, sosyal medyadaki varlıklarının yalnızca kendilerini değil etkileşime geçtikleri kişileri de etkilediğini fark etmesi gerekiyor.

Sosyal medya şirketlerinin sunduğu ürün ve servislerin genellikle ‘ücretsiz’ olduğu düşünülür.  Aslında ücretsiz değiller.  Ödemeyi parayla yapmıyoruz. Sunulan ürünleri ve servisleri kullanmak için ödediğimiz ücret kişisel verilerimiz oluyor. Bu ağlar sizin hakkınızda bilgiler topluyor. Neleri beğenip paylaştığınızı, sosyal medya hesaplarınızı bağladığınız web sitelerini ve daha fazlasını görüyorlar. Bu veriler genellikle size ve arkadaşlarınıza reklam göstermek için kullanıyorlar. Onaylamadığınız takdirde sosyal ağların verilerinizi reklam için kullanmasını yasaklayabiliyorsunuz fakat bunun için gizlilik ve güvenlik ayarlarınızı dikkatli bir şekilde yapmanız gerekiyor.

Geçtiğimiz yıl finansal kimlik avı saldırılarında artış yaşandı.

Finansal kimlik avı saldırıları genellikle son kullanıcıları hedef alıyor fakat müşterileri saldırıya uğrayan ödeme sistemleri ve bankalar da bundan etkileniyor. Geçtiğimiz yıl finansal kimlik avı saldırılarında artış yaşandı. Sahip olduğumuz teknolojiler, çeşitli kimlik avı sayfalarına 246.231.645 adet giriş teşebbüsü tespit etti. Bunların %53,8’i bankaları, ödeme sistemlerini veya internet mağazalarını taklit etmeye çalışan sayfalardı. Dikkat edilmesi gereken bir diğer tehdit ise tedarik zinciri saldırıları. ExPeter ve ShadowPad gibi örneklerde görüldüğü üzere, kötü niyetli kişiler finansal kurumlar ve diğer yerlerde kullanılan yazılımların güncellemelerine Truva Atı bulaştırabiliyor.

Tüm bu tehditler göz önünde bulundurulduğunda, kurumsal altyapıların çok katmanlı ve karmaşık koruma sistemlerine ihtiyaç duyduğu görülüyor. Çalışanların iş istasyonlarından sunuculara, ATM’lerden sıra numarası sisteminin bilgi paneline kadar ağdaki her bir noktanın korunması gerekiyor. Uç nokta güvenliği sadece bir başlangıç. Gelişmiş tespit ve müdahale teknolojilerinin de mutlaka kullanılması gerekiyor. Bunların üzerine, aşağıdaki uygulamaların hayata geçirilmesi gerek:

  • Çalışanlarınıza güvenilmeyen kaynaklardan gelen bağlantılara tıklamanın veya ekleri açmanın risklerini öğretin.
  • Finans işlemlerinden sorumlu uç noktalara özellikle dikkat edin. Koruma çözümleri de dahil bunlarda kullanılan tüm yazılımların her zaman güncel olması gerekli. İzin verilmeyen yazılımların bu uç noktalarda çalıştırılmasını yasaklayın (örn, bu tür yazılımların otomatik olarak reddedilmesini sağlayın)
  • İnternet üzerindeki finans araçlarıyla çalışanlara, özel siber güvenlik farkındalığı eğitimleri ayarlayın.
  • Web sitelerine bağlantılara tıklayarak değil adresi yazarak girin. Tüm web sitelerine sağlam koruma yöntemleri ve ağlarla girilmesi gerekir.
  • Antivirüs yazılımınızı düzenli olarak güncellemeyi unutmayın. Özellikle yazılımda kimlik avı saldırılarına karşı özellikler bulunuyorsa bunu atlamayın.
  • Hassas işlemleri yalnızca güvenli sitelerde yapın. Adreste ‘https’ ibaresini arayın, bu şekilde sizinle banka arasındaki iletişimin güvenli olduğunu anlayabilirsiniz.

Güvenlik konusuna bütünsel bir yaklaşım sergilemeli

2017’de şirketleri hedef alan saldırılar hem sayı hem de kapsam açısından büyüdü. Örneğin bu yılın başında araştırmacılarımız, çoğu Fortune 500 listesindeki 100 şirkette kullanılan yasal bir yazılım gibi gizlenmiş bir siber tehdit keşfetti. Günümüzde kurumlara yapılan saldırılar her zaman, kolayca tespit edilebilen zararlı yazılım veya virüslerle gerçekleşmiyor. Çok katmanlı operasyonlar şeklinde gerçekleştirilen saldırılarda, saldırganlar kuruma sızmadan önce hiçbir zararlı yazılım kullanmayabiliyor. Elde edilen veriler, bu tür saldırıların şirketlerin operasyonlarına, gelirlerine, müşterilerine ve itibarına önemli etki ettiğini gösteriyor. Bulut bilişim güvenliğiyle ilgili endişeler de büyüyor. KOBİ’ler ve kurumsal şirketlerin %59’u, dış kaynak ve bulutta yer alan servisler kullanmanın BT güvenliği için yeni riskler taşıyabileceğini belirtiyor.

Tüm dünyada siber saldırılar giderek daha gelişmiş ve hedefli hale geliyor. Türkiye siber saldırılar konusunda bir istisna değil. Bu nedenle Türkiye’deki kamu kurumları ve şirketler de güvenlik konusuna bütünsel bir yaklaşım sergilemeli. Ayrıca, her kurumun güvenlik güncellemelerini çıkar çıkmaz uygulaması ve verilerini yedeklemesi de büyük önem taşıyor. İlk savunmayı aşan zararlı yazılımların yayılmasını iyi ağ yönetimiyle (yönetici haklarını kısıtlamak, yazma erişimine sahip kişileri sınırlamak, ağı bölümlere ayırmak) sınırlamak mümkün.  Talihsiz çalışanlardan kötü niyetli kişilere kadar tüm insanlar, genellikle saldırganlar ve araçları için en kolay erişim noktası oluyor. Daha önce söylenenlere ek olarak, güvenliğin temelini şu üçü oluşturur: Tüm uç noktaları korumak, işletim sistemlerini ve uygulamaları güncellemek, verileri düzenli olarak yenilemek.

Yakup Börekcioğlu, Trend Micro Akdeniz Ülkeleri ve İsrail Genel Müdürü

Tüm dünyadaki saldırıların yüzde 4’e yakını Türkiye’de gerçekleşti

Bu konuya, yeni paylaştığımız “Ocak-Şubat 2018 Saldırı Raporu”ndan faydalanarak açıklık getirmek doğru olur. Tüm dünyada yaptığımız araştırmalar sonucu elde edilen veriler, WannaCry’ın saldırı sayısının Aralık 2017 – Şubat 2018 arasında yüzde 47 arttığını gösterirken iş dünyasının da e-mail saldırılarına maruz kalmaya devam ettiğini ortaya koyuyor. Yılın ilk iki ayında en çok saldırı gerçekleştiren fidye yazılımlar arasında WannaCry ailesinden olan yazılımlar yüzde 95’in üzerinde. Alınan tüm önlemlere ve elde edilen istihbaratlara rağmen, yeni fidye yazılımlar çıkmaya devam ediyor. Türkiye de fidye yazılım saldırılarının hedefinde olan ülkelerden. Yılın ilk iki ayında gerçekleştirilen saldırıların oranına bakıldığında tüm dünyada gerçekleştirilen saldırıların yüzde 4’e yakını Türkiye’de gerçekleşmiş.

e-mail saldırıları da yine iş dünyasının karşılaştığı tehditler arasında. Bu durum teknik önlemlerin ötesinde çalışanların dikkat etmeden kendilerine gelen maillerdeki dosyaları açmaları ya da linkleri tıklamaları ile siber saldırganların tuzağına düşmeleriyle oluşuyor. Daha önceki dönemlerde olduğu gibi 2018’in ilk iki ayında da en çok saldırı yine e-mailler üzerinden gerçekleşti. Meydana gelen tüm saldırıların yüzde 80’ine yakınını e-mail yoluyla yapılıyor. ABD ve Vietnam bu tür saldırıların en çok engellendiği iki ülke olarak öne çıkıyor. Rapora göre Türkiye Orta Doğu’da en çok saldırının yakalandığı ülke olurken, Avrupa’da ise 5. sırada yer aldı. Bu saldırılar en çok ekinde Excel dosyası olan e-postalarla gerçekleştirilmiş.

Önemli bir sosyal mühendislik çalışması sonucu oluşturulan BEC saldırılarında, “Sahte Fatura Düzenleme”, “CEO Sahtekarlığı”, “Hesap Sahtekarlığı”, “Avukatın Yerine Geçme” ve “Veri Hırsızlığı” metotları izleniyor.

Saldırı metotlarını hayata geçirirken, keylogger kullanarak hedeflenen şirketlerin webmail’lerine erişebilen saldırganlar, bu noktadan sonra amaçladıkları belgeleri rahatlıkla ele geçirebiliyorlar. Bunun yanı sıra şirketlerin finans departmanlarına, “şirket yöneticisi” adıyla sahte e-posta gönderen siber saldırganlar, alıcıya ödeme işlemini tamamlamasını ya da ödeme yapması gereken kanalı söyleyerek, dolandırıcılık işlemini gerçekleştiriyorlar.

Kullanıcıların, veri güvenliği konusunda yeterli farkındalık seviyesine henüz ulaşamadığını gözlemliyoruz. Bu durum siber saldırganlar için “açık kapı” manasına gelirken, Trend Micro olarak şirketlere ve işletmelere, nesiller arası geçiş yapabilen ve çok katmanlı güvenlik çözümlerini öneriyoruz. Bunun yanı sıra sistemlerini düzenli olarak güncelleyen yapılar, bu sayede verilerinin güvenliğini en üst seviyede tutabilirler.

Nisan 2018’de KVKK’ya geçiş için tanınan zaman doluyor.

7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenleme amacını taşıyor. Nisan 2018’de KVKK’ya geçiş için tanınan zaman dolarken, bu kanunla birlikte yepyeni bir döneme başlayacağız. Kişisel veri güvenliğini dijital ortamda sağlama alacak olan kanun, iş dünyasındaki taşları da yerinde oynatacak.

Sistemler üzerinde düzenli olarak açık arayan, bu açıklardan en yeni teknolojileri kullanarak yararlanan siber saldırganlar kişisel veri güvenliğinin önemini artırıyor. Değişen yasayla birlikte şirket verilerinin yanı sıra şirket müşterilerine ait verilerin korunması da büyük önem arz ediyor. Şirketlerin, çalışanlarını yeni KVKK ile ilgili bilgilendirmeleri, gerekirse şirket içi eğitimlerle, veri güvenliğini temel alan bir kurum kültürü oluşturmaları gerekiyor. Özellikle son dönemde artış gösteren fidye ve BEC saldırılarındaki artış, şirket çalışanlarının siber güvenlik konusundaki eksikliklerini ortaya koyuyor. BEC saldırılarında izlenen “e-posta” yöntemi şirket hiyerarşisinin her bir basamağını etkilerken, özellikle C-Level yöneticilerin ve finans departmanlarının hedef alınması, tehlikenin maddi ve manevi boyutunu ortaya koyuyor.