YORUM
Siber suçlular ne düşünüyor? Bir tehdit aktörünün zihninde şeytan ayrıntıda gizlidir. Siber güvenlik o kadar çok ayrıntıdan oluşuyor ki bazılarını gözden kaçırmak çok kolay. Örneğin, diğer tüm çalışanlarınız korunsa bile, iki faktörlü kimlik doğrulamayı kullanmayan tek bir kişi hepsini riske atabilir.
Eskiden güvenlik çözümlerinde %99’luk başarı oranı iyi sayılıyordu. Ancak sorun şu ki, bir saldırının geçme şansı hâlâ %1’dir. Bu %1 şansı yenmek için güvenlik katmanlarına sahip olmanız gerekir. %99 başarıya sahip 10 katmana sahipseniz, hemen hemen her güvenlik tehdidini yakalama şansınızı lehinize artırırsınız.
Savunmalar giderek daha da gelişiyor, bu nedenle tehdit aktörleri her zaman en az direnç gösterecek noktayı arayacak. Çağımızda bu nokta insan unsurudur. IBM’e göre, Tüm siber güvenlik olaylarının %41’i İlk saldırı vektörü olarak kimlik avı ile başlayın. Neyse ki her şey karamsar ve kasvetli değil. Düşmanı anlayarak kuruluşunuzu siber saldırılara karşı daha iyi hazırlayabilirsiniz.
Güvenlik Durumu: Tehdit Aktörlerinin Nereye Baktığını Anlamak
Birçok tehdit aktörü, veri aracılarından aldıkları bilgileri kullanarak sosyal mühendisliğin temellerine geri dönüyor. Onlar Bir hedefi yakalamak için temel kimlik avı taktiklerini kullanmaÇünkü otomatik siber güvenlik araçlarından kaçınıyor ve doğrudan bireyi meşgul ediyor.
Siber suçlular nadiren belirlenen hedef kişiye doğrudan saldırı gerçekleştirir. Genellikle hedefin destek sisteminde birini bulurlar: yönetici asistanı, eş, çocuklar veya birlikte yaşayan büyükanne. Bu destek sistemindeki en yumuşak hedef kim olursa olsun, bir bağlantıya tıklayan kişi olacaktır. En son, en iyi güvenlik yazılımı güncellemesine sahip olmaları önemli değil. Truva atı hikayesini düşünün: Duvarlarla çevrili bir şehrin savunması, tüm bu savunmaları aşan akıllı bir planın üstesinden gelemezdi. Aslında savunucular kapıları ardına kadar açtılar ve farkında olmadan tehdidin içeri girmesine izin verdiler.
Şirketin Siber Örümcek Duyularını Eğitin
Çalışanlarda belirli bir düzeyde “Örümcek duygusu” geliştirmeniz gerekir ve bu, bir bağlantıya tıklamadan önce ikinci bir görüşe ihtiyaç duyduklarını fark etmek kadar basit olabilir. Konunun uzmanı olmaları gerekmez; sadece başka birine ne zaman sormaları gerektiğini anlayacak kadar bilgi sahibi olmaları gerekir. Sonuçta Verizon’un “2024 Veri İhlali Araştırma Raporu” şunu belirtiyor: analiz edilen ihlallerin üçte ikisinden fazlası (%68) İçeriden öğrenilen hataları veya sosyal mühendislik planlarına kanmayı içeren, kötü niyetli olmayan bir insan unsuru içeriyordu.
Bu duyguyu geliştirmenin bir parçası da e-postalardaki tehlike işaretlerini aramaktır. Yapay zeka ile bu daha da zorlaşsa da hâlâ bazı bariz işaretler var. Yanlış yazımlar, tuhaf ifadeler, tuhaf yazı tipleri veya karakter dışı istekler, bir şeylerin ters gittiğinin iyi göstergeleridir. Örneğin, annenizden asla “Merhaba, bana hediye kartları almanı istiyorum” diyen bir e-posta almazsınız. Ayrıca çalışanlarınıza, e-posta adresini görmek için gönderenin adının üzerine gelmeleri konusunda eğitim verin. Konu satırında “Comcast” yazıyorsa ancak e-posta adresi “gmail.com” ile bitiyorsa, e-postanın bir dolandırıcılık olduğuna bahse girebilirler.
Kötü bir aktör Wi-Fi koklama veya başka yollarla birinin paketlerine erişebiliyorsa, o kişiyi takip etmek zorunda değildir; yalnızca yaşamın elektronik bir modelini oluşturabilir ve hedefin nereye gittiğini anlayabilir. Bu, fiziksel ve dijital güvenliği tehlikeye atar. Bu nedenle çalışanların VPN olmadan ücretsiz Wi-Fi’ye bağlanmamaları ve kullanmadıklarında Wi-Fi’yi kapatmaları gerektiğini bilmeleri gerekiyor.
İnsanlar bazen ünlü olmadıkları ve yüksek bir servete sahip olmadıkları için kötü oyuncuların hedefi olmadıkları gibi yanlış bir fikre kapılırlar. Ancak bugün durum böyle değil. Herhangi bir çevrimiçi varlığa sahip olan herkes, saldırganların potansiyel hedefidir. Bu, herkesin kendini bilmesi gerektiği anlamına gelir siber hijyen.
Temel siber hijyen gerekli ve kolaydır. Çalışanları eğitmek için gereken adımlar şunları içerir:
-
Çevrimiçi olarak paylaştıkları bilgiler konusunda daha katı olun
-
Gizlilik ayarlarını inceleyin ve düzenleyin
-
Güçlü ve benzersiz şifreler kullanın
-
İki faktörlü kimlik doğrulamayı etkinleştir
-
İstenmeyen isteklere karşı şüpheci olun
-
Üçüncü taraf uygulamalarını düzenli olarak denetleyin
-
Kişisel ve profesyonel kimlikleri ayırın
Tüm bu noktalar sürekli eğitim yoluyla öğretilebilir ve test edilebilir.
Siber Suçluları geride bırakmak
Bir tehdit aktörünün zihnine girmek, güvenlik profesyonellerinin nasıl çalıştıklarını ve ne aradıklarını, yani aslında neyin yumuşak hedef olduğunu anlamalarına yardımcı olabilir. Suçlular, şüpheli bağlantılara tıklayan kişiler gibi göze çarpan meyvelerin peşine düşer. İşiniz kuruluşunuzdaki tüm hedefleri sağlamlaştırmaktır.
Daha önce bahsettiğimiz %1’lik açığı kapatmak için gereken güvenlik katmanlarından biri, en alttan en üst seviyeye kadar tüm çalışanlara yönelik sürekli siber hijyen eğitimleridir. İnsanlar genellikle güvenlik zincirindeki en zayıf halka olduğundan, tam kapsamlı bir güvenlik planının bu yönü çok önemlidir. Ancak uygun eğitim ve öğretimle kuruluştaki herkesin güvende kalmasına yardımcı olan sağlam bir ilk savunma hattı haline gelebilirler.