Yazdirilabilir Sayfahttp://www.bilgisayarpolisi.com/index.php?sayfa=makaleoku&kategori=1&id=278

Şirketleri Saldırılara Açık Duruma Getiren Kriterler [SM]

  
27.11.2009 Onur Oktay

Bazen bir bilgiye ulaşmak ya da sistemlere sızmak sadece Teknik Bilgi Gerektirmez..

Bu tip durumlarda karşımıza Sosyal Mühendislik çıkar. Teknik Bilgilerin yerini Zeka ve İnsan Psikolojisi alır. Sosyal Mühendislik çok geniş bir kavramdır. Öyle ki Telefonla, E-postayla, Web Üzerinden ya-da Gerçek hayatta sosyal alanda bambaşka yöntemlerle karşımıza çıkabilir. Son yıllarda Teknik Bilgili Korsanlar kadar Kıvrak Zekalı ve İkna Etme Yeteneği fazla olan Sosyal Mühendis kişileri eylem yapmakta ve kendilerinden söz ettirmektedirler.

Sosyal Mühendislik oldukça tehlikeli ve uyanık olmayı gerektiren bir saldırı türüdür. Teknik olmayan saldırılara karşı Teknik Savunma (Defans) yöntemleri yeterli olmamaktadır. Daha çok Bilgiye ve Uyanık olmaya dayalı yöntemler Sosyal Mühendisliğe karşı savunma sağlamaktadır.

Kurumları/Şirketleri ya da diğer Kişileri Saldırılara Açık Duruma Getiren Sosyal Mühendislik Kriterlerinden bazıları şöyledir ;

# Şirketin ikiden fazla tesisi olması ve aralarında mesafe var olması,
# Şirketin Bilgi İşlem departmanının düzenli bir prosedürü olmaması,
# Şirketin Bilgi İşlem departmanındaki yöneticilerin Güvenlik eğitimlerinden yoksun olması,
# Şirketin Bilgi İşlem departmanında Bilgi Sınıflandırma Sistemlerinin yapılmaması,
# Şirkette kullanılan İşletim Sistemlerinin periyodik olarak Güvenlik ve Sistemsel Yamalarının gerçekleştirilmemesi,
# Şirkette kullanılan Oturum Açma Şifrelerinin güvenli olmaması ve değiştirilmemesi,
# Şirketteki Veri Trafiğinin düzenli olarak izlenmemesi ve Yedeklenmemesi,
# Çalışan Personelin Dahili Numaraları rahatça karşı tarafa vermesi ya-da bu numaraları veren bir Santral sisteminin var olması,
# Gizli Bilgi Sınıflandırılmasının ve Yönetici Haklarının Kimler tarafından kullanılabileceğinin belirlenmemesi ve Bu konuda şirket prosedürünün var olmaması,
# Şirkette çok sayıda çalışan olması ve dolayısıyla çok sayıda bilgisayar oturum açma şifrelerinin kullanılması,
# Şirketin Web Sitesinin Güvenliğinin zayıf olması ya da Sitenin barındığı hosting’in Güvenlik açıklarını taratmaması,
# Olası saldırılara karşı saldırı sonrasında uygulamaya konabilecek bir Acil Eylem Planının yapılmaması, Panik ve Düzensizlik,
# Şirket içi Güvenlik ve Güvenlik içeren gerek Teknik gerekse Teknik olmayan Eğitimlerin verilmemesi.

Onur OKTAY
kaynak: http://www.onuroktay.com/?p=557