KOBİ etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
KOBİ etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

22 Mart 2015

Artan ve Maalesef Başarılı Olan Oltalama (Phishing) Saldırıları

Phishing (oltalama) bilgi güvenliği dünyasının dışında kalan pek çok kullanıcının da artık farkına vardığı bir konu.


Bu saldırı metodu ile saldırganlar bizden;

- finansal, kişisel, kullanım bilgilerimiz vb. bilgiler çalıyor,
- bilgilerimizin teyidini yaparak daha emin tuzaklar kurabiliyor,
- bilgisayarlarımıza uzaktan erişim sağlama avantajı ile yine bizden faydalanıyorlar.







Türkiye'de son aylarda başarı yüzdesinin arttığı bu saldırı metodu yoğun olarak e-posta ile bizlere ulaşıyor. Son haftaların en popüler faciası ise "PTT Posta Hizmetleri" maskesi ile meydana çıktı.

Bu son saldırıda gerçekten başarılı bir çalışma yapan (!) hırsızların, bizim gündelik zaaflarımızı nasıl takip ettiklerini, bizi pek çok firmayı taklit ederek yakalamaya çalıştıklarını görmekteyiz.

Üstelik bizden bilgi çalma aşaması bir sonraki aşamaya, fidye istemeye kadar uzandı!

Kargo, telefon operatörü, internet servis sağlayıcı  gibi dev firmalarımızın adreslerini ve kimliklerini taklit eden saldırganlar Türkiye'de faaliyet göstermeye oldukça kararlı görünüyor.

Gönderilen oltalama (phishing) mesajları ile indirilen dosya neticesinde sistemimizde yer alan ve genellikle bizim için önem taşıyan dosyalar kriptolanarak bu dosyaların kullanımı engelleniyor.

Bir ücret karşılığında da kullanıma açılabileceğine dair mesaj gönderilip, peşin ödeme indirimi (!) de sunuluyor.

Ransomware (fidye) olarak bilinen bu metot maalesef dünya genelinde teknoloji yatırımını kısmen yapan ancak henüz "güvenlik" alışkanlıkları ve altyapı yatırım seviyesi yetersiz ülkeleri özellikle hedef almakta.

Günümüzde artık saldırganlar "hedef" seçerek daha akıllıca ilerliyor

Saldırganların artık daha tertipli ve organize olarak düzenledikleri bu saldırılar karşısında güvenlik camiası bir çok noktada ilk saldırılara önlem almakta yetersiz kalıyor. Çünkü saldırı türleri çeşitleniyor ve değişik coğrafyalara yaygınlaşıyor. Bu tip saldırıların ise ilk görüldüğü andan itibaren tespiti ayrı bir uzmanlık konusu.

Geliştirilen önlemlerin çoğunda insan faktörü dolayısıyla başarı düzeyinin yetersiz olduğu görülüyor. Zincirin en önemli parçası ve zafiyet kaynağı olan insanlar her ne kadar bilinçli olsalar dahi yeni metotlar karşısında yetersiz kalıyor, sorumluluklarını yerine getirmeyi unutuyor, ya da çoğu zaman "dalgınlığına geliyor".

Herkesin satın alabileceği ve içi rahat şekilde uzmanı olmadıkları bu tehlikeli konuları emanet edebileceği bir çözüm ne kadar güzel olurdu değil mi?

Neyse ki ISR Bilgi Güvenliği bu konudaki çalışmalarını neredeyse tamamlamak üzere. Bu tip saldırıların etkilerini daha ortaya çıktıkları ilk günden bertaraf edecek çözümler geliştirmek üzerine çalışmalarını hızla sonuçlandırıyor..


11 Haziran 2014

Ağ Güvenliği ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek maalesef gerçekçi ve uygulanabilir değil.

Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.





Nereden başlayacağız?

Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.

Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.






Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.

Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?








Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.

Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir. 


Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.

Risk Analizi

Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır. 

Zafiyet taraması

Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.

Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.

Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.

Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.


Herhangi bir zayıf nokta bulunamaz ise?

Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.

Sızma Testi

Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir. 

Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır. 

Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.

Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.

Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.

Bilgi Güvenliğiniz, İşyeri Ağınızdaki Tehlikeler ve Risklerin Analizi


Bilgi Güvenliği Risk Analizi (Sızma Testi) Nedir, Neden Önemlidir?

Bu yazımızda adım adım bilgi güvenliğinin önem sebeplerini irdeleyerek çağımızda bilgi güvenliğinin sağlanmasında önemli bir adım olan "Risk Analizi" kavramını açıklayacağız.



İletişim İhtiyacının A,B,C'si: Bilişim Sistemleri İletişimi ve İnternet


İşletmeler ciro ve karlılıklarını artırmak hedefiyle gün geçtikçe teknolojiden daha fazla faydalanmaktalar.




Nihai hedef belli, peki işletmede teknoloji hangi amaçlarla kullanılıyor ve bize getirileri nelerdir?



Hangi amaç için kullanıyoruz?

  • Hızlı iletişim, hızlı yanıt almak
  • Daha kontrollü ve doğru sonuçlar elde etmek, daha fazla iş ile başa çıkabilmek
  • Zaman bağımsız çalışmak, esnek çalışma saatleri oluşturmak
  • Mekan bağımsız çalışmak, mobil verimlilikten faydalanmak, zamandan tasarruf
  • Bilgiyi kolay paylaşmak, anlık veya sürekli bilgi paylaşımı
  • Daha geniş kitlelere erişmek, mesafelerden etkilenmeksizin daha fazla alıcıya ulaşabilmek
  • 7/24 tanıtım yapabilmek, ürün ve hizmet bilgisini sürekli erişilebilir tutmak
  • Veri toplamak, geçmiş işlerden gelecekte faydalı bilgi elde edinmek



Temel kullanım sebepleri oldukça tanıdık, bunlar genellikle ortak sebepler. Peki getirilerinin yanı sıra işletmenin teknolojiyi kullanarak aldığı ek sorumluluklar nelerdir?



Bu soruya yanıt vermek için öncelikle teknolojiyi nasıl kullanıyoruz sorusunu irdelemek gerekli.

Bir işletme teknolojiyi nasıl kullanıyor?

  • Hızlı iletişime elverişli olan e-posta yazışma program ve/veya altyapıları oluşturarak
  • E-posta yazışmalarını saklayarak ve her yerden erişilebilir platformlar kullanarak
  • Geçmiş verilerden faydalanmak için onlara hızlıca ulaşmak amacıyla her türlü şirket verisini elektronik ortamda saklayarak
  • Sakladığı verilere zaman sınırı olmaksızın erişim sağlayarak
  • Taşınabilir cihazlar ile ofis-bina dışarısında da bağlantı kurarak dosyalara erişerek ve/veya çalışmayı sürdürerek

Bilgisayarlar, tablet pc'ler, telefonlar gibi cihazlar erişim ve işlem kolaylığı sağlarken bu bileşenlerden oluşan işyeri ağları dış erişime sahip cihazların getirdiği riskleri de işyeri ağı içerisine taşımaktadır.



Sıklaşan, artan elektronik ortam kullanımı, artan riski de beraberinde getirmekte ve bu doğrultuda şirketin kontrol etmesi gereken yeni alanlar ortaya çıkmaktadır.


Pek çok firma gizli herhangi bir bilgisi olmadığı, yapmakta olduğu faaliyetlerin rutin faaliyetler olduğunu belirtmektedir.

Fakat yine de bu firmalar bilgilerini sadece ilgili kişilerin görmesi ve ilgili firmalar ile kontrolü dahilinde paylaşılmasını istemektedir.

Çağımızda bir şirketin gündelik operasyonlarının kesintisiz sürmesi, ticari değerlerinin ve kazançlarının gerekli gizlilik ölçüsünde saklanması ve korunabilmesinin şirketin varlığını sürdürebilmesi için gereklilik taşıdığı oldukça açık durumdadır.


İstenmeyen trafiğe bağlı gelişen bu risk göz ardı edildiği takdirde sonuç tahmin edilemez, bilinmez derecede sakıncalı olabilmektedir.


Bazı şirketler için bilgi gizliliği değerli bulunmaz iken bilgi kaybının telafi edilemez derecede önemli olduğu maalesef kayıp yaşandıktan sonra fark edilmektedir.

Bilgi güvenliği yalnızca gizliliği içermemektedir; bilgi kaybı, bilginin yetkisiz ve sehven erişimi, değiştirilmesi, bütünlüğünün bozulması gibi etkenleri de bilgi güvenliği konusunda dikkate alınmaktadır.



Çözüm bilgisayarlar arasındaki bağı ya da İnternet'i kesmek değil!

Getirilerini incelediğimizde İnternet bağlantısı bir şirket için vazgeçilemez bir avantaj; kurumsal ve bireysel yaşantıda teknolojinin yaşamasında en önemli altyapı noktalarından birisi.

Tehlikelerini bilmek ve önlemlerini alarak bu risklerden korunmak ise tek çözüm.

Ağınızda Sizi Bekleyen Tehlikeler ve Risk Analizi

Güvenlik bir ürün değil, süreçtir (Bruce Schneier)

Bilgilerinizin ve ağınızın güvenliği için bir cihaz veya bir hizmet satın almak ve tüm sorununuzu çözmesini beklemek malesef gerçekçi ve uygulanabilir değil.

Çünkü bilgileriniz ve ağınız sürekli gelişen, kendini yenileyen, yaşayan varlıklar. Bu varlıkları korumak için yaşam döngülerini periyodik olarak takip etmeli ve ihtiyaçlarını tespit etmeliyiz. Bu tespitlerde ortaya çıkan bulguları değerlendirerek, gerekli tedavileri, iyileştirmeleri elbette bütçemiz çerçevesinde gerçekleştirmeli, kurumumuzun amaçlarına yönelik kuruma özgü önlemleri almalı ve tüm bu süreçleri kurumsal ekibimizin tamamında uygulayabilmeliyiz.

Tıpkı vücudumuzun sağlığı gibi bilgi ve ağ güvenliğinin de sağlığı, sağlıklı çalışırlığı belirli periyodlarda gözden geçirilmeli.

Periyodik kontroller ile desteklenen sistemlerin daha güvenli, sağlıklı ve dolayısıyla verimli çalışması söz konusudur.





Nereden başlayacağız?

Güvenlik, pek çok bileşene sahip bir yapı, bir sistemdir. Güvenlik sisteminiz ihtiyacınız doğrultusunda uzmanlar tarafından yapılan tespite ve bütçenize göre dizayn edilir.

Bu sistemin çok küçük bir bölümünü oluştursa da ihtiyaç duyulan pek çok bileşenden akla gelen ilk çözüm hem fiyat hem de uygulama yaygınlığı açısında güvenlik duvarlarıdır.





Dış dünya ile aranıza bir güvenlik duvarı (Firewall) konumlandırdınız. Bu duvar güvenlik ilgili tüm ihtiyaçlarınızı çözemeyecek fakat yine de internete karşı tamamen korunmasız olmanızı önleyecektir.

Peki en temel yapı olan bu duvar (firewall) sağlıklı durumda mı, duvarınız zafiyet içeriyor mu?








Almış olduğunuz önlemler gelişen teknoloji, değişen ihtiyaçlar ve kullanım alışkanlıkları doğrultusunda zafiyet (zayıflık, eksiklik) içerebilir.

Bu durumu kontrol etmez isek korunduğumuzu düşünürken oysa risklere açık şekilde sistemimizi kullanmaya devam ediyoruz demektir. 


Kurumunuzda kullanılması gereken güvenlik çözümlerinin neler olduğunu, ihtiyaçları tespit etmek, yatırımınızı doğru yapmak amacıyla risk analizi gerçekleştirilmesi önerilir.


Risk Analizi

Çeşitli uzmanlık seviyelerinde gerçekleştirilebilen bu kontrol (test) süreçlerinde ilk adım "Zafiyet Taraması" dır. 

Zafiyet taraması

Ağ yapısı ve ağ bileşenleri üzerinde "bilinen" güvenlik zafiyetlerinin taranması ve raporlanmasından oluşmaktadır.

Bu tarama sonucunda ağınızın güvenlik bakış açısıyla ilk resmi çekilmiş olur. Bu resim ağa yapılabilecek ilk saldırının ne şekilde gerçekleşebileceğinin haritasını çıkartmayı sağlar.

Zayıf noktanın tespiti ile gerekli önlemlerin alınması üzerine çalışmalara başlanır.

Bu tip risk analizi çalışmaları uluslararası standartlar kapsamında pek çok firmada artık rutin olarak gerçekleştirilmekte, hatta pek çok kalite standardına göre 3'er aylık periyodlarda tekrarlanmak zorundadır.


Herhangi bir zayıf nokta bulunamaz ise?

Bu durumda işletmenin şikayetleri, sorunları ve/veya güvenlik ihtiyacı doğrultusunda araştırmalar, analiz sürdürülebilir.

Sızma Testi

Zafiyet testinden bir sonraki aşama olan "Sızma Testi"nde saldırgan gibi düşünerek, saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir. 

Bulunan zafiyetler ya da uzman tarafından tahmin edilen açıklıklar irdelenerek izinsiz erişimin nasıl yapılacağı gözden geçirilir ve uygulanır. 

Bu esnada izlenilen yol ve kullanılan metot raporlanır. Bu kimi zaman çok kapsamlı uzun süren bir çalışma olabilir, kimi zaman da ihtiyaç ve bütçe doğrultusunda kısıtlı zaman aralağında gerçekleştirilir.

Sızma testinin gerçekleştirilmesi gereken ideal süresi için öncelikle uzman kişilerce ağ keşfinin yapılması ve bu keşif sonucunda firma ile birlikte bütçe doğrultusunda bir süre kararlaştırılması gerekir.

Daha fazla bilgi edinmek ya da sorularınıza yanıt bulmak için bilgi [ at ] isr.com.tr adresinden bizimle iletişime geçebilirsiniz.

17 Mart 2014

Bilgi Güvenliği ve Yurt İçindeki Genel Uygulamalar

Günümüzde şirketler operasyonel verimlerini, ciro ve karlılıklarını artırabilmek amacıyla teknolojiden daha fazla yararlanabilme hedefindeler. Elde edilen verilerden faydalı bilgi edinebilmek, operasyonlarında işlemlerini hızlandırmak ve hata payını azaltmak amacıyla her geçen gün daha fazla operasyon adımını ve şirket bilgisini elektronik ortama aktarmaktalar.

Şirketlerin gerek yasal olarak saklanma ihtiyacı, gerekse geçmiş değerlerin korunması, işlenerek potansiyelin kazanca çevrilmesi gibi ihtiyaç ve amaçları dolayısıyla elektronik ortamda barındırılan verileri ile gelir kaybına yol açmamak üzere hatasız, duraksız sürdürülmeye çalışılan operasyonlarının gerçekleştirildiği eskiye nazaran oldukça büyük önem taşıyan bilgisayarları ve bunların oluşturduğu ağların güvenliği bir şirketin gündelik faaliyetlerinin yanı sıra varlığını sürdürebilmesi, ticari değerini ve kazançlarını koruyabilmesi için temel faktörlerden birisi olmuştur.



Orta ve büyük ölçek boyutuna ulaşmış pek çok firma ihtiyaçları doğrultusunda bilgi ve ağ güvenliğini sağlamaya yönelik bir çok yazılım ve donanım çözümlerine yatırım yapmaktadır. Bilgi güvenliği ve sistem sağlığının önemi dikkate alınarak yapılan bu yatırımlara karşın pek çok firma istediği güvenlik ve sistem sağlığına sahip olamamaktadır.

Bu durumun en önemli sebebi bilgi ve ağ güvenliği denildiğinde içerisinde yüzlerce bileşenin bulunması ve bu bileşenlerin dinamik hususlar olmasıdır. Gün geçtikçe farklı amaçlar için kullanılan bilgisayarlar bir yana, tıpkı bir ana karayolu gibi ağ trafiği de gün içerisinde belirli kurallar ile akmakta, dönem dönem trafik ihtiyaçları doğrultusunda ağın yeniden yapılandırılması, yönetilmesi gerekmektedir. Zaman içerisinde ihtiyaçlar doğrultusunda yeniden şekillendirilen ağ, ve bu ağa bağlı bilgisayarlar ve içerdikleri bilgiler de güvenlik açısından farklı tehditlere maruz kalabilmektedir.

Bilginin güvenliğini ve sistemin sağlıklı çalışırlığını sağlama hedefi, yaşayan bir sistem olan ağın (networkün) periyodik olarak kontrolü, çeşitli disiplinlerle ve bilgi sahibi kişilerce yönetilmesi, zafiyetlerinin taranması ve gerektiği ölçüde ayarlarının düzenlenmesi, yeni teknolojilerin kullanılması gibi belkide bakım adı altında fazlaca daralttığımız aslında çok sayıda önem taşıyan işlemin yapılmasını gerektirir.

Yatırımların yapılması, bakımların sağlanması sonrasında "Güvende miyiz?" sorusunun yanıtı da elbette görecelidir. Bu uyarı canınızı boş yere sıkmamalı, farkında olmak her zaman güvenliğe doğru atılan sağlam bir adımdır. Risklerinizin farkında olmak ve bu risklere göre önlem almak, bu sistematiğe göre yaşamak son derecede kazançlı çıkmanızı sağlayacaktır.


Firmaların bilgi ve ağ güvenliğini sağlamaya yönelik kullanılmakta olan bir çok yazılım ve donanım çözümlerine yaptıkları yatırımlara karşın tüm güvenlik zinciri en zayıf halkası olan kullanıcıların, çoğu zaman farkında olmadan bilinçsizce yarattığı sistem açıkları ile tehdit altında kalabilmekte, bu açıkların giderilmesine yönelik çoğu zaman da gereğinden de fazla yatırım yapılmak zorunda kalınmakta üstelik yapılan bu ek yatırımlar kesin çözüm niteliği de taşımamaktadır.


Ağ ve bilgi güvenliğinin sağlanabilmesi üzere gerçekleştirilen Onca yatırıma rağmen güvenlik zincirini tehlikeye atabilecek olan bu zayıf halkanın güçlendirilebilmesi ise kullanıcıların ihtiyaç duyulan nitelikte; şirketin sistem güvenliği politikalarına uygun olarak, bilinçlendirilmesi, eğitilmesi ile sağlanabilmektedir.


Bir çok kurumsal nitelikteki firma sistem güvenliğini sağlayabilmek ve operasyon akışına engel oluşabilecek potansiyel sorunları önleyebilmek amacıyla eğitimler düzenlemekte, farkındalık seviyesini artırarak kullanıcılar tarafından yaratılabilecek güvenlik açıkları ve sistem hatalarını azaltmaya çalışmaktadır. Kurumsal boyuttaki firmalar kadar olmasa da elektronik çağını yakalamış olan orta ve büyük ölçekli KOBİ'lerin de mutlaka farkındalık eğitimlerini dikkate alması, bu kapsamda gerekli genel ve firma özelinde eğitimleri programlaması işletme sağlığı açısından önem taşımaktadır. KOBİ'ler için ISR'ın TÜBİTAK desteği ile geliştirmekte olduğu "ScavDat" projesi ile bu ihtiyaçlara yönelik çözümlerimiz hakkında bilgi almak için www.isr.com.tr üzerinden ya da bilgi[at]isr.com.tr mail adresinden bize çekinmeden ulaşabilirsiniz.

Popüler Yayınlar