Siber Saldırıları Durdurmak İçin Farkındalığın Kurumsallaştırılması

Büyük ve orta ölçekli kuruluşlar her zaman siber saldırıları durduracak bir 'sihirli değnek' teknolojisi veya aracı umuyorlar, ancak siber güvenlik sektöründe öyle bir şey yok. 

Üzücü gerçek şu ki, çalışanların davranışları genellikle sorumludur. Çok sayıda çalışma, saldırıların %60-80'inin kullanıcı hatalarıyla başladığını, dolayısıyla şirketlerin bu davranışı değiştirmek için harekete geçmesi gerektiğini gösterdi. Bu teknolojiyle değil, süreçlerle ilgilidir.

Bilgisayar korsanlarının bir ağa sızmasının en umut verici yolu kimlik avıdır; sahte e-postalarını finansal kuruluşlardan, sosyal medya platformlarından veya e-satıcılardan gelen uyarı veya talep olarak gizlerler. Bu mesajlar genellikle alıcıdan bir şifreyi sıfırlamak için bir bağlantıya tıklamasını veya harika bir tekliften yararlanmak için bir güvenlik kodu girmesini ister ve bağlantı tıklandığında bilgisayar korsanı kullanıcının sistemini istila etmek için tam yetki alır. Bilgisayar korsanı buradan şirket ağı üzerinden gerçek hedefe (şirketin finansal verilerine, fikri mülkiyetine, müşteri hesap bilgilerine veya şirket ağı üzerindeki kontrolüne) gider.

Kimlik avı saldırıları giderek daha karmaşık hale geldi; bu da onları daha tehlikeli hale getiriyor ve aynı zamanda çok daha yaygın hale geliyor. Güvenlik araçları sağlayıcısı SlashNext, yıllık Kimlik Avı Durumu raporu yayınlıyor . Şirket, 2021'in sonunda günlük 50.000 kötü amaçlı URL tespit etti; bu, yılın başına göre %68 artış gösterdi. 12 aydan kısa bir süre sonra şirket, günde 80.000 kötü amaçlı URL veya 255 milyon saldırı tespit etti; bu, %61'lik bir artış anlamına geliyor.

Bu saldırılar rahatsızlık vermekten çok daha fazlasıdır; kurumsal değeri etkilerler. 2021'de Continental Pipeline, ağını kilitleyen bilgisayar korsanlarına 5 milyon dolar fidye ödedi ve diğer önemli ihlaller, fidye ödemelerinde on milyonlarca dolara mal oldu.  

Dikkatsiz şifre teknikleri de bir sorundur. Kullanıcıları bir hesaptan diğerine tekrar kullanmayacakları karmaşık şifreler oluşturmaya , çoğu hesap oluşturma ekranında sunulan rastgele şifre oluşturuculara güvenmeye veya şifre yöneticisi uygulamalarını kullanmaya teşvik eden çok sayıda makaleye rağmen , birçok kullanıcı şifre kullanarak düzenli olarak sağduyuyu ihlal etmektedir. Tahmin edilmesi kolay, yazılı şifreleri göz önünde bulunduran veya bilgisayar korsanlarının hayatını kolaylaştırır.

Bilgisayar korsanları hacklemeye devam edecek ve sayıları her geçen gün daha da artacak ve daha karmaşık hale gelecek. Bir şirket ne yapmalı? Eğitin, eğitin, eğitin!

Çalışanlarınızı kimlik avı saldırılarını tanımaları ve güçlü şifre kuralları kullanmaları konusunda eğitin ve hafızalarını tazelemek için aylık toplantılar düzenleyin. 

Temel Eğitim

Kullanıcılar en azından şunları yapmalıdır:

• Tanımadıkları veya güvenmedikleri kişilerden gelen e-postaları açarken veya bağlantılara tıklarken dikkatli olun

• E-postalarda özel bilgilerinizi vermeyin

• Sosyal medyada neler paylaştıklarını düşünün ve ayarlarını yalnızca belirli kişilerin bilgilerini görebileceği şekilde değiştirin

• Bilgisayarlarının veya cihazlarının hasar görmesi ihtimaline karşı önemli bilgilerin kopyalarını güvenli bir yerde saklayın

• Çevrimiçi bankacılık gibi işlemler için herkese açık Wi-Fi kullanmayın ve internet etkinliğini gizli tutmak için VPN adı verilen özel bir araç kullanın.

• Her hesap için farklı olan güçlü ve şifreler kullanın.

• Bilgisayar programlarınızı ve uygulamalarınızı güncel tutun, böylece bilgisayar korsanlarına karşı en son korumaya sahip olurlar.

• Bilgisayar korsanlarının insanları kandırarak bilgi vermelerini sağlamak için kullandıkları teknikleri öğrenin ve tuhaf veya beklenmedik görünen şeylerden şüphelenin.

• Ekstra güvenlik için hesaplarında oturum açmak için iki yöntem (çok faktörlü kimlik) kullanın.

Tehdidi Canlı Tutun

Kullanıcılara yönelik siber güvenlik eğitiminin tek seferlik bir uygulama olduğunu düşünmeyin: Yukarıdaki teknikleri kısa aylık toplantılarla sürekli olarak güçlendirin. Toplantıları çalışanlar için daha ilginç hale getirmek amacıyla, onları aldıkları en son sahte e-posta veya metinlerden örnekler göstermeye teşvik edin. Hatta belki de en sinsi kimlik avı örneği için aylık bir ödül teklif edebilirsiniz.

Şirketler en son siber güvenlik araçlarına milyonlar harcayabilir ve harcıyorlar, ancak hack'ler gelmeye devam ediyor. Kuruluşlar, kullanıcıları siber saldırıları önlemedeki rolleri konusunda eğitme konusunda daha proaktif hale gelerek riskleri yarı yarıya azaltabilir. Ve unutmayın, yalnızca ağı korumakla kalmıyorsunuz, şirketin değerlemesini ve kârlılığını da koruyorsunuz.