Akıllı cihazları BT altyapısına dahil eden işletmelerin artmasıyla, siber güvenlik riskleri de artmaya başladı. ESET Türkiye Satış Müdürü Asım Akbal KOBİ’lerin, siber suçlular için cazip birer hedef konumunda olduklarını söyledi. Akbal, KOBİ’lerin bireysel kullanıcılardan daha değerli veri ve varlıklara sahip olmalarına karşın büyük güvenlik bütçelerine sahip işletmelerden daha savunmasız durumda olduklarından dolayı siber suçluların KOBİ’leri hedeflediğini belirtti.
Nesnelerin İnterneti (IoT) firmaların, iş operasyonlarını daha hızlı ve sorunsuz hale getirmelerine yardımcı olurken, bu cihazlar genellikle savunmasız bırakılıyorlar. Halka açık varsayılan yönetici kullanıcı adları ve parolalarla çalışan cihazlar zararlı sonuçlara yol açabiliyor. Verizon’un Veri İhlali Araştırma Raporu’na göre, veri ihlallerinin yüzde 81’i zayıf veya çalınan parolalardan kaynaklanıyor. Beş milyardan fazla parolanın internette sızdırıldığı göz önüne alındığında, temel parola korumasının etkisiz hale geldiğini söyleyebiliriz.
ESET Türkiye Satış Müdürü Asım Akbal, KOBİ olarak adlandırılan işletmelerin ekonominin büyük bir kesimini temsil ettiğini, bu anlamda KOBİ’lerin ekonominin işleyen en büyük çarkları olduklarının altını çizdi. Siber suçluların sadece büyük işletmeleri değil, aksine kendileri için daha kolay olabilecek hedefleri tercih ettiklerini belirtti.
Saldırganlar parolaları nasıl çalıyorlar?
• Saldırganlar, parolalarını yazan potansiyel mağdurların ekranını gözetlerler.
• Sosyal mühendislikle kurbanlarının “insan zayıflığından” yararlanırlar. Profesyonelce hazırlanmış bir çevrimiçi form veya güvenilir bir göndericiden gelmiş gibi görünen bir e-posta (oltalama saldırısı), iyi eğitimli kullanıcıları bile parolalarını ifşa etmeye ikna edebilir.
• Şirket ağına ayak basan siber suçlular, parola içeren belgeleri aramak veya parola tuşlarını kaydetmek ve bu bilgiyi C&C sunucularına göndermek için zararlı yazılımlar kullanabilirler. Saldırganlar ayrıca şifrelenmiş parola dosyalarını çıkarabilir ve çevrimdışı olarak kırabilirler.
• Uzaktan veya halka açık bir yerde kullanılan personel cihazlarının ağ trafiğini engellemek gibi daha zorlu saldırı teknikleri de vardır.
• Parola korumasını kırmanın en popüler yöntemlerinden biri kaba kuvvet saldırısı kullanmaktır. Otomatik komut dosyaları, doğru olanı bulunana kadar kısa bir süre içinde milyonlarca parola kombinasyonunu dener. Bu yüzden yıllar içinde parolaların daha uzun olması gerekli hale geldi. Parola ne kadar karmaşıksa, siber suçluların o kadar fazla kere tahmin yapması gerekir.
İyi bir parola ilkesi nasıl oluşturulur?
Öncelikle çalışanlar, güçlü parolaların nasıl oluşturulacağı konusunda eğitilmelidir. BT departmanları, şirkette bir parola ilkesi oluştururken kurallar belirlemelidir. Tüm firmalara, şirket genelinde parola güvenliğini artırmak için ek koruyucu önlemler uygulanması önerilir.
Şirketiniz, parolalarını korumak için başka neler yapabilir?
Şirket çalışanlarının parolalarını daha iyi korumak için iki aşamalı doğrulama (2FA) kullanması önerilir. Bu, hesap sahibinin kimliğini, kullanıcı adı ve parolanın yanında tek seferlik şifreyle doğrular. Böylece kimlik bilgilerinin sızdırıldığı veya çalındığı durumlarda bile şirket sistemlerine erişimi korur.
SMS’ler ve mobil cihazlar sıklıkla kötü amaçlı yazılım saldırılarına maruz kaldıklarından, modern 2FA çözümleri, SMS doğrulaması kullanmaktan kaçınır ve bunun yerine, kullanıcı dostu olduğu kadar daha güvenli oldukları için push bildirimlerini tercih eder. Kimlik doğrulama işleminin güvenliğini daha da artırmak için, şirketler çok faktörlü kimlik doğrulama (MFA) uygulayarak biyometri onayı ekleyebilir.
Güçlü 2FA ile parolalarınızı koruyun
ESET Secure Authentication, kesintisiz ve tam olarak doğrulanmış şifreleme ve çok faktörlü kimlik doğrulama, işletmenizin verilerinin yasalara ve düzenlemelere uygun olarak korunmasını sağlar. Tek dokunuşla, mobil tabanlı kimlik doğrulama, gerekli uyumlulukları karşılamanın yanı sıra verilerinizi sorunsuz bir şekilde korumanıza yardımcı olur. Hem Android hem de iOS için kullanıcı dostu push bildirimleri kullanır, yönetimi kolaydır ve 10 dakika içinde hızlı bir şekilde kullanıma sunulur.
