Siber Güvenlik Farkındalık Ayı 2023

Siber Güvenlik Farkındalık Ayının 20 Yılı

Ekim 2023, dijital güvenlik konusunda farkındalık yaratmaya ve herkesi kişisel verilerini dijital suç türlerinden korumaları için güçlendirmeye adanmış bir ay olan Siber Güvenlik Farkındalık Ayı'nın 20. yılına işaret ediyor.

Bu yıl, hükümet liderleri ve sektör yöneticileri son 20 yılda ne kadar yol kat ettiğimizi ve dijital geleceğimizi güvence altına almak için nereye gitmemiz gerektiğini inceliyor.

Blogumuzu okuyun: Başarılı Bir 20 Yıllık İş Ortaklığının Temel Faktörleri: Exclusive Networks ve Fortinet Sırlarını Paylaşıyor

Dijital altyapı için küresel bir siber güvenlik uzmanı olarak Exclusive Networks, tamamen güvenilir bir dijital dünyaya geçişi hızlandırmaya kararlıdır. Teknolojiyi güvence altına almak, kritik altyapıyı korumak ve dünyamızı yarının kritik siber muhafızlarıyla donatmak için en son çözümler, hizmetler ve eğitimler aracılığıyla siber güvenlik kariyer açığını kapatmak için tedarikçilerimiz ve ortaklarımızla birlikte çalışmaya devam ediyoruz. Exclusive Networks'ün uzmanlarından teorik eğitimin yanı sıra genç yetenekleri bir araya getirerek pratik saha deneyimi kazandırmaya yönelik özel bir eğitim programı olan Exclusive Academy girişimimiz de buna dahildir.

Siber Güvenlik Farkındalık Ayı 2023'ü resmi olarak desteklemekten memnuniyet duyuyoruz.

Bu yılki Siber Güvenlik Farkındalık Ayı, hem bireyler hem de işletmeler için basit ve uygulanabilir olacak şekilde oluşturulan aşağıdaki dört temel siber güvenlik davranışını teşvik etmektedir:

1. Güçlü parolalar oluşturun ve bir parola yöneticisi kullanın
2. Çok faktörlü kimlik doğrulamayı etkinleştirin
3. Yazılımınızı güncelleyin
4. Kimlik avı girişimlerini tanıyın ve bildirin

İş ortaklarının ve müşterilerinin verilerini birçok şekilde korumalarına yardımcı olsak da, bu birkaç basit adımı izlemek herkesin çevrimiçi ortamda güvende ve emniyette kalmasına yardımcı olmak için büyük bir fark yaratabilir.

Güçlü parolalar oluşturun ve bir parola yöneticisi kullanın

Veri ihlallerinin %81'inden zayıf ya da çalınmış şifreler sorumludur. 2023'te en yaygın kullanılan şifrelerin hala '123456789' ve 'password' olduğuna inanır mıydınız? Siber suçlular zayıf ya da kolayca tahmin edilebilen bir şifreyi saatler içinde kırabilir. Öte yandan daha karmaşık, 'güçlü' parolaların deşifre edilmesi bir ömürden fazla sürebilir.

Microsoft güçlü bir parolayı şu şekilde tanımlar:

• En az 12 karakter uzunluğunda, ancak 14 veya daha fazlası daha iyidir
• Büyük harfler, küçük harfler, sayılar ve sembollerden oluşan bir kombinasyon
• Sözlükte bulunabilecek bir kelime veya bir kişi, karakter, ürün veya kuruluş adı değil
• Önceki şifrelerinizden önemli ölçüde farklı - çalınan şifreler genellikle diğer siber suçluların kullanması için çevrimiçi olarak paylaşılır
• Sizin için hatırlaması kolay ancak başkalarının tahmin etmesi zor, örneğin "6MonkeysRLooking^" gibi akılda kalıcı bir ifade.

Hesapları ve cihazları güvende tutmak için, kullanıcı adlarını veya şifreleri asla kimseyle paylaşmayın ve bunları yazmaktan kaçının. Ortalama bir kullanıcının doğrulama gerektiren 27 farklı iş uygulaması olduğu düşünüldüğünde, çok sayıda hesabınız varsa ve birden fazla parolayı ezberlemekte zorlanıyorsanız, bir parola yöneticisi çok yardımcı olabilir. Birçok parola yöneticisi saklanan parolaları otomatik olarak günceller, şifreli tutar ve erişim için çok faktörlü kimlik doğrulama gerektirir.

Kötü parola hijyeninin yarattığı riskler nedeniyle, birçok işletme artık parolasız kimlik doğrulamaya yöneliyor.

Thales FIDO2 Şifresiz Cihazlar hakkında daha fazla bilgi edinin

Daha fazla bilgi edinin

Çok faktörlü kimlik doğrulamayı etkinleştirin

Çok faktörlü kimlik doğrulama (MFA), parola tahmin edildiğinde veya çalındığında bile yetkisiz kullanıcıların hesaplara ve cihazlara erişmesini önlemek için parolalara ek olarak ekstra bir güvenlik katmanı sağlar. Oturum açmak için birden fazla türde kimlik bilgisi gerektirir. MFA, hepsi de hesabınıza erişebilecek tek kişinin siz olmasını sağlayan çeşitli biçimlerde sunulur.

MFA yöntemleri şunları içerir:

• Bildiğiniz bir şey: Parolalar, PIN'ler ve güvenlik soruları
• Sahip olduğunuz bir şey: Donanım veya yazılım belirteçleri, sertifikalar, e-posta, SMS ve telefon görüşmeleri
• Senin olduğun bir şey: Parmak izleri, yüz tanıma, iris taramaları ve el izi taramaları
• Konumunuz: Kaynak IP aralıkları ve coğrafi konum

Bulut, mobil cihazlar ve genişletilmiş tedarik zincirlerinin artan kullanımı, kuruluşları güçlü MFA çözümleri aramaya itmektedir. Yukarıdaki yöntemler, başta Tek Kullanımlık Parolalar (OTP'ler) ve Açık Anahtar Altyapısı (PKI) olmak üzere çeşitli teknolojilere dayanmaktadır. Thales'e göre bu teknolojilerin nasıl çalıştığı aşağıda açıklanmıştır.

OTP'ler, tek seferlik bir parolanın aynı anda iki yerde üretildiği bir 'simetrik' kimlik doğrulama biçimidir - kimlik doğrulama sunucusunda ve sahip olduğunuz donanım belirtecinde veya yazılım belirtecinde. Token'ınız tarafından üretilen OTP, kimlik doğrulama sunucusu tarafından üretilen OTP ile eşleşirse, kimlik doğrulama başarılı olur ve size erişim izni verilir.

PKI kimlik doğrulaması, bir çift farklı şifreleme anahtarına, yani bir özel şifreleme anahtarı ve bir genel şifreleme anahtarına dayandığı için bir 'asimetrik' kimlik doğrulama biçimidir. Akıllı kartlar ve USB belirteçleri gibi donanım PKI sertifikası tabanlı belirteçler, gizli özel şifreleme anahtarınızı güvenli bir şekilde saklamak için tasarlanmıştır. Örneğin kuruluşunuzun ağ sunucusunda kimlik doğrulaması yaptığınızda, sunucu sayısal bir 'meydan okuma' yayınlar. Bu meydan okuma özel şifreleme anahtarınız kullanılarak imzalanır. İmzalı meydan okuma ile genel şifreleme anahtarınız (ağ sunucunuz tarafından bilinen) arasında matematiksel bir korelasyon veya 'eşleşme' varsa, kimlik doğrulama başarılı olur ve size ağa erişim izni verilir.

Açık anahtar kriptografisi hakkında daha fazla bilgi edinmek için Simon Singh ile The Science of Secrecy programını izleyin

Buradan izleyin

Yazılımınızı güncelleyin

Birçok kullanıcı yazılım güncellemelerinin yeni ürün özelliklerini tanıtmak için yayınlandığını düşünür, ancak bu güncellemeler BT güvenlik açıklarını ve hatalarını düzeltmek için önemli yamalar da içerir. Aynı şey cihaz işletim sistemleri (OS) için de geçerlidir. Güncel yazılımlara sahip olmak, yazılım açıklarından beslenen tehdit aktörlerinden bir adım önde olmanın önemli bir yoludur.

Çoğu BT ekibi, kuruluşunuzun kurumsal uygulamaları ve cihaz işletim sistemi için otomatik yazılım güncellemeleri yayınlayacaktır. Bu genellikle cihazınızın yeniden başlatılmasına neden olur. Yazılımı kendiniz güncellerken, resmi olmayan yazılımlar genellikle kötü amaçlı yazılım içerdiğinden, her zaman resmi bir kaynaktan indirdiğinizi kontrol ettiğinizden emin olun. Birçok cihaz ve uygulama otomatik güncelleme seçeneğine sahiptir, bu da eski sürümler veya önemli güvenlik yamalarını kaçırma konusunda endişelenmenize gerek olmadığı anlamına gelir.

Tenable Nessus ile kuruluşunuzdaki güvenlik açıklarını tarayın

daha fazla bi̇lgi̇ edi̇ni̇n

Kimlik avı girişimlerini tanıyın ve bildirin

Kimlik avı, hassas bilgileri veya parolaları çalmak, cihazları tehlikeye atmak veya siber suçlulara para göndermek için tasarlanmış bir dolandırıcılıktır. Genellikle e-posta şeklinde gelir, ancak aldatıcı metin mesajları (smishing olarak bilinir, SMS ve phishing'in birleşimi), sosyal gönderiler, web açılır pencereleri, telefon görüşmeleri (vishing veya sesli phishing olarak bilinir) ve hatta yeni bir risk türü olan Microsoft Teams gibi işbirliği araçları şeklinde de olabilir.

Microsoft Teams için Mimecast Koruması ile virüsleri, kötü amaçlı yazılımları ve kimlik avını engelleyin hakkında devamını oku

daha fazla oku

Kimlik avında siber suçlular, banka hesap numaraları veya giriş bilgileri gibi özel ve gizli verileri paylaşmanız için sizi kandırmak amacıyla sosyal mühendislik kullanır. Adınızı, hesap bilgilerinizi, doğum tarihinizi, şifrelerinizi ve diğer hassas veya gizli bilgilerinizi isteyebilirler. Genellikle meşru görünen bir mesajdaki bir bağlantıyı veya dosyayı açmanız için sizi kandırırlar. Meşru görünüp görünmediğini kontrol etmek için her zaman önce bir bağlantının üzerine geldiğinizden emin olun ve herhangi bir şüpheniz varsa, üzerine tıklamayın, rapor edin. Şunlara dikkat edin:

Kimlik avında siber suçlular, banka hesap numaraları veya giriş bilgileri gibi özel ve gizli verileri paylaşmanız için sizi kandırmak amacıyla sosyal mühendislik kullanır. Adınız, hesap bilgileriniz, doğum tarihiniz, şifreleriniz ve diğer hassas veya gizli bilgilerinizi isteyebilirler. Genellikle meşru görünen bir mesajdaki bir bağlantıyı veya dosyayı açmanız için sizi kandırırlar. Meşru görünüp görünmediğini kontrol etmek için her zaman önce bir bağlantının üzerine geldiğinizden emin olun ve herhangi bir şüpheniz varsa, üzerine tıklamayın, rapor edin. Şunlara dikkat edin:

• Belirsiz bir gönderici, tanımadığınız biri veya "kimden" adresiyle eşleşmeyen bir gönderici
• Tanıdık olmayan, alışılmadık veya genel selamlar
• Yazım ve dilbilgisi hataları
• E-postadaki web sayfasının URL'siyle eşleşmeyen şüpheli bir bağlantı
• Tanımadığınız kişilerden gelen resim veya videolara bağlantı
• Beklenmedik bir şeyi görüntülemek için bir bağlantı veya ek, örneğin bilinmeyen bir paketi takip etmek için
• Yanlış veya şüpheli dosya adları veya şüpheli dosya uzantıları (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx) içeren ekler
• Düşük çözünürlüklü görüntüler

Hassas veriler içeren iş e-postalarınızı takip etmek ve şifrelemek için RPost'u düşünün

Daha fazlasını öğrenin

Genel, günlük oltalama genellikle hedefli değildir ve fark edilmesi daha kolaydır. Diğer oltalama türleri şunlardır:

• Mızrakla oltalama: Belirli bir kişiyi hedef alır ve daha inandırıcı, meşru görünen bir mesaj yazabilmek için bu kişi üzerinde çalışarak gardını düşürmesini ve hassas bilgilerini paylaşmasını sağlar.
• Balina avcılığı: özellikle CEO'ları ve üst düzey liderlik ekibi üyelerini hedef alır.
• Paylaşılan belge oltalama: Dropbox, Google Drive veya OneDrive gibi dosya paylaşım sitelerinden gelen bir e-postayı taklit ederek sizinle bir belge paylaşıldığını söyler, ancak bağlantı, hesap kimlik bilgilerinizi çalan sahte bir giriş sayfası içindir.

Kimlik avıyla mücadele etmek için birçok kuruluş, çalışanlarına yönelik resmi siber güvenlik farkındalık eğitimine önemli ölçüde yatırım yapıyor ve onları siber saldırılara karşı en değerli savunma hattına dönüştürüyor.

Proofpoint'in Güvenlik Farkındalığı Eğitimi ve Phish Simülasyon Platformu hakkında daha fazla bilgi edinin

daha fazla oku

Siber güvenlik karmaşık ya da bunaltıcı olmak zorunda değildir. Sadece bu 4 temel adımı uygulamak bile günlük hayata kolayca dahil edilebilecek güvenli alışkanlıklar geliştirmeye yardımcı olur. Her bir kişi ve her bir kuruluş üzerine düşeni yaptığında, siber riskleri kolektif olarak azaltır ve dijital yaşam tarzımızı korunmuş ve güvenilir tutarız.

Daha fazlasını öğrenin

Kuruluşların siber güvenlik becerilerinin yaygınlaşmasını destekleme yolları hakkında daha fazla bilgi edinin:

• Exclusive Networks eğitim kursları
• Yeni nesil siber güvenlik uzmanlarının yetiştirilmesi - 'Exclusive Academy' modeli
• Siber Güvenlik Farkındalık Ayı Hakkında