Ama testi yaptıranlar,kurumların bilgi güvenliği ekiplerinin başındaki sorumlular çoğu zaman kendilerine "farkındalık eğitimlerini artırmalıyız,sıklaştırmalıyız,duvarlara bilgi güvenliği ile alakalı posterler asmalıyız" dan fazla pay çıkarmazlar ne yazık ki.
Devir merkezileşme,merkezi yönetim devri ve hemen her kurumda altyapı yönetiminde hayat kurtaran Microsoft Aktif Dizin yapısı veya benzeri mimariler kullanılıyor. Ve neredeyse ticari ve açık kaynak kodlu ürünlerin tamamı bu merkezi yapıları destekliyor. Güvenlikten sorumlu kişiler olarak sizin yapmanız gereken kurum içindeki tüm uygulamalarınızı single sign-on prensibiyle merkezi dizin yapılarınıza entegre ve bütünleşik çalıştırmaya zorlamak olmalı. Kullanıcılarınızı İnsan Kaynakları uygulamalarınız için K1 kullanıcı adı ve P1 kullanıcı parolası, Muhasebe uygulamanız için K2 kullanıcı adı ve P2 kullanıcı parolası, Depo yönetimi uygulaması için K3 kullanıcı adı ve P3 kullanıcı parolası kullanmak zorunda bırakırsanız, bu kullanıcılar kendilerine e-posta ile gönderilen ve görünüm olarak kurum uygulamalarınızı anımsatan bir uygulamaya kullanıcı adı ve parolalarını yazdıklarında onları pek suçlamamalısınız. Kullanıcılarınıza kurumunuzdaki tüm uygulamaları kullanıcı adı/parolası yazmadan kullanabilme alışkanlığını kazandırmalısınız ki "kullanıcı adı ve parola" bilgisi istendiğinde garipsesin,amiyane tabirle işkillensin.
Benzer şekilde yardım masası ekipleriniz kullanıcı problemlerini çözümlemek için sıklıkla kullanıcılara parolalarını soruyorlarsa ya da telefonda da olsa parolalarını başkalarıyla paylaşmamaları konusunda uyarmıyorlarsa, kullanıcı Sosyal Mühendislik testi sırasında iyi niyetle parolasını söylediğinde kusuru yine biraz da olsa kendinizde aramalısınız.
Kullanıcılar kendilerine gönderilen e-posta içerisindeki bağlantıyı açtıktan sonra test için kullanılan zararsız denebilecek zaafiyetin hedefi oluyorsa,güvenlik çözümlerinizin neden bağlantı (link) barındıran e-postaların kullanıcılara ulaşmasını engellemediğini, hadi onu da geçtim içerik filtreleme çözümünün neden zaafiyeti istismar eden web sitesini ya da zararlı kodu filtrelemediğini/engellemediğini sormalısınız kendinize. Kurum dışından kullanıcılarınıza gönderilen olta e-postalarında, gönderici alan adı olarak kurum alan adınızın nasıl kullanılabildiğini de sorgulamalısınız kabahati kullanıcılarda bulmadan önce. Ya da seçilen 50 veya daha fazla sayıda kullanıcıya gönderilen aynı format ve özellikteki e-posta'nın neden spam olarak algılanmadığını, "kullanıcı göndereni belli olmayan eklentiyi neden açtı!?" demek yerine eklentinin istismar ettiği zaafiyeti barındıran ofis uygulamasının neden güncel olmadığı üzerine kafa yormalısınız.
Bu tip tehdit ve risklerin tamamını kullanıcı farkındalığıyla bertaraf edemezsiniz, herkes kadar Güvenlik ekipleri olarak siz de üzerinize düşeni yapmalısınız.
İlgili Yazılarım
Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?
Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler
Sızma Testi Nasıl Yapılmaz?
Ne yazık ki çoğu yerde ya bu konular bilinmiyor, biliniyorsa da bu değişikliği yapacak inisiyatif alınamıyor.. ben parola karmaşıklığı için zorunluluk uygulamayan yer gördüm..
YanıtlaSilKusuru ve kabahati başkasında aramak ve bulmak daha kolay,üzerinde düşünmek ve kök nedeni aramak zahmetli malesef
YanıtlaSil