Senaryo: Ağ güvenliğinden en azından kısmen sorumlu olduğunuz kurumsal bir ortamda çalışıyorsunuz. Bir güvenlik duvarı, virüs ve casus yazılım koruması uyguladınız ve bilgisayarlarınızın tümü yamalar ve güvenlik düzeltmeleriyle güncel. Orada oturuyorsunuz ve saldırıya uğramayacağınızdan emin olmak için yaptığınız güzel işi düşünüyorsunuz.
Yaptığınız, çoğu insanın düşündüğü gibi, güvenli bir ağa doğru atılan temel adımlar. Bu kısmen doğrudur. Peki ya diğer faktörler?
Bir sosyal mühendislik saldırısı düşündünüz mü? Ağınızı günlük olarak kullanan kullanıcılar ne olacak? Bu insanların saldırılarıyla baş etmeye hazır mısınız?
İster inanın ister inanmayın, güvenlik planınızdaki en zayıf halka ağınızı kullanan kişilerdir. Çoğunlukla, kullanıcılar bir sosyal mühendislik saldırısını belirleme ve etkisiz hale getirme prosedürleri konusunda eğitimsizdir. Bir kullanıcının yemekhanede CD veya DVD bulup iş istasyonuna götürüp dosyaları açmasını ne engelleyecek? Bu disk, içinde zararlı bir makro bulunan bir elektronik tablo veya kelime işlemci belgesi içerebilir. Bir sonraki bildiğiniz şey, ağınızın tehlikeye atılmasıdır.
Bu sorun, özellikle yardım masası personelinin telefon üzerinden parolaları sıfırladığı bir ortamda mevcuttur. Ağınıza girmeye niyetli bir kişinin yardım masasını aramasını, bir çalışan gibi davranmasını ve bir şifre sıfırlama yaptırmasını istemesini engelleyecek hiçbir şey yoktur. Çoğu kuruluş, kullanıcı adları oluşturmak için bir sistem kullanır, bu nedenle onları bulmak çok zor değildir.
Bir şifre sıfırlama işlemi yapılmadan önce kuruluşunuzun bir kullanıcının kimliğini doğrulamak için katı politikaları olmalıdır. Yapılması gereken basit bir şey, kullanıcının yardım masasına şahsen gitmesini sağlamaktır. Ofisleriniz coğrafi olarak uzaktaysa işe yarayan diğer yöntem, ofiste parola sıfırlama için telefon edebilecek bir kişi belirlemektir. Bu şekilde yardım masasında çalışan herkes bu kişinin sesini tanıyabilir ve söylediği kişi olduğunu bilebilir.
Bir saldırgan neden ofisinize gider veya yardım masasına telefon eder? Basit, genellikle en az dirençli yoldur. Fiziksel sistemden yararlanmanın daha kolay olduğu bir elektronik sisteme girmek için saatler harcamanıza gerek yoktur. Bir dahaki sefere birisinin arkanızdan kapıdan içeri girdiğini gördüğünüzde ve onu tanımadığınızda durun ve kim olduklarını ve ne için orada olduklarını sorun. Bunu yaparsanız ve orada olmaması gereken biri olursa, çoğu zaman olabildiğince çabuk dışarı çıkacaktır. Kişinin orada olması gerekiyorsa, o zaman büyük olasılıkla göreceği kişinin adını üretebilecektir.
Deli olduğumu söylediğini biliyorum, değil mi? Kevin Mitnick’i düşün. Tüm zamanların en donanımlı hackerlarından biridir. ABD hükümeti, bir telefona sesler verebileceğini ve nükleer bir saldırı başlatabileceğini düşündü. Bilgisayar korsanlığının çoğu sosyal mühendislik yoluyla yapıldı. İster ofislere fiziksel ziyaretler yoluyla isterse bir telefon görüşmesi yaparak yaptı, bugüne kadarki en büyük hack’lerden bazılarını başardı. Onun hakkında daha fazla bilgi edinmek istiyorsanız ismini Google’a yazın veya yazdığı iki kitabı okuyun.
İnsanların bu tür saldırıları neden reddetmeye çalıştığı benim dışımda. Sanırım bazı ağ mühendisleri, bu kadar kolay ihlal edilebileceklerini kabul etmek için ağlarından çok gurur duyuyorlar. Yoksa insanların, çalışanlarını eğitmekle sorumlu olmamaları gerektiğini düşündükleri gerçeği mi? Çoğu kuruluş, BT departmanlarına fiziksel güvenliği teşvik etme yetkisi vermez. Bu genellikle bina yöneticisi veya tesis yönetimi için bir sorundur. Hiç de az değil, eğer çalışanlarınızı en ufak bir eğitebilirseniz; Fiziksel veya sosyal mühendislik saldırısından kaynaklanan bir ağ ihlalini önleyebilirsiniz.
GIPHY App Key not set. Please check settings