Hassas verileriniz ancak kuruluşunuzdaki en zayıf halka kadar güvenlidir ve çoğu durumda zayıf halka çalışanlarınızdır. Uygun biçimde oluşturulmuş bir güvenlik farkındalığı ve eğitim programı size büyük getiriler sağlayabilir.
Varlıklarınızın güvenliğini sağlamak üzere uyguladığınız güvenlik uzmanlığı ve kaynaklar ne olursa olsun, kuruluşunuzun en savunmasız faktörü (çalışanlarınız) üzerine odaklanmaksızın başarılı olmanız olası değil.
“Bilgisayarlar son 15 yıl içinde çok daha güvenli hale geldiler fakat insanlar değil,” diye konuşuyor SANS Institute’un (güvenlik sertifikasyonu üzerine odaklanan ortak bir araştırma ve eğitim organizasyonu) Securing the Human (insanı güvenli yapmak) programının eğitim direktörü Lance Spitzner. “İnsan gerçekten en zayıf halka halini aldı.”
Konu güvenlik olduğunda insanlar kolaylıkla avlanabilir
Teknolojinin kendisi artık kolay iş olmadığından, kötü niyetli hacker’lar organizasyonlara sızmanın daha kolay yollarını buluyor; sosyal mühendislik veya zayıf parola disiplinine sahip çalışanları avlamak gibi. Çalışanlar yaygın olarak güçlü parolaları nasıl oluşturacaklarını, veri koruma ilkeleriyle nasıl uyumlu olacaklarını ya da verileri güvenli biçimde nasıl paylaşacaklarını bilmiyorlar, diyor Spitzner.
“Sosyal mühendisliği şöyle tanımlıyoruz; bir kişiyi oluşturan düşünce, işaret ve tepkileri anlamak, ardından bu duygusal tepkilerden faydalanarak söz konusu kişinin sizin ondan yapmasını istediğiniz şeyi yapması için yönlendirmek,” diye konuşuyor güvenlik eğitimi organizasyonu Social-Engineer.org’nin kurucularından ve aynı zamanda güvenlik eğitimi ve araçları firması Offensive Security’nin operasyon müdürü Chris Hadnagy. Hadnagy aynı zamanda Social Engineering: The Art of Human Hacking adlı kitabın da yazarı.
2010’daki DEF CON 18 Hacking Conference’da, Social-Engineer.org ilk kez sosyal mühendislerin firmaların savunmalarına nasıl sızdıklarını gösteren bir yarışmayı organize etti.
Konferanstan iki hafta önce, yarışmacılar, çok az veya hiç deneyime sahip olmayan amatör sosyal mühendislerin her birine gerçek bir firmanın adı verildi. Yarışmacılardan “saldırgan olmayan” teknikleri (Google aramaları gibi) kullanarak kendilerine verilen firma hakkında bir dosya derlemeleri için iki hafta verildi. E-posta, telefon kullanmalarına ya da firmalarla irtibata geçmelerine izin verilmedi ancak Web üzerinde her şeyi serbestçe yapabileceklerdi. Elde edilen veriler firmanın profilini oluşturmak ve bir “saldırı rotası” planlamak içindi. Bu “flag (bayrak)”leri ya da birtakım bilgileri ortaya çıkartmak için hedefteki firma çalışanlarına erişim stratejisiydi.
Social-Engineer.org firmada teyp yedeklerini yapanlar, çalışanların kullandığı browser ve sürümleri, çalışanların kullandığı PDF istemcisi veya firmada bir kafeterya olup olmadığı ya da bunu kimin işlettiği gibi flag tarzı şeyleri derledi. FBI flag listesini inceledi ve yarışma kuralları bilhassa parola, IT adresleri veya diğer hassas verileri elde etme çalışmalarını yasakladı. “Eğer siz bu bilgileri sağlayacak birilerini bulabilirseniz, büyük ihtimalle çok daha fazlasını verecek olanları da bulabilirsiniz,” diyor Hadnagy.
Konferans esnasında izleyiciler karşısında canlı olarak, yarışmacıların her birine kendilerine verilen firmaya erişebilmeleri ve mümkün olduğunca çok flag ele geçirmeleri için 25 dakikalığına telefon kullanma fırsatı verildi. Yarışmacılar gerçek firmalardan gerçek çalışanlarla toplamda 140 telefon görüşmesi gerçekleştirdi. Çalışanlardan sadece beş tanesi yarışmacıların aradığı bilgileri vermeyi reddetti. Ve her defasında o çalışanlara erişen yarışmacılar telefonu kapatıp aynı firmadaki bilgi vermeye gönüllü başka çalışanları arayabildiler.
Sosyal mühendisler insanları sadece telefon üzerinden avlamıyorlar. Meşru gibi gözüken kişiler tarafından e-posta kullanılarak yapılan phishing (oltalama) saldırıları sosyal mühendisliğin önde gelen bir örneği.
Zayıf parolalar standart
Sıra parolalara geldiğinde, resim aynen iç açıcı değil. Haziran ayında Cambridge Üniversitesi’nden Joseph Bonneau, 70 milyon Yahoo kullanıcısının parolalarının analiz edildiği çalışmanın sonuçlarını yayınladı. Çalışmanın amacı parolaları tahmin etmenin güçlüğünü değerlendirmekti. Bonneau insanların zayıf parolalar kullanma eğiliminde oldukları sonucuna vardı.
“Şaşırtıcı bir biçimde tahmin güçlüğünde küçük farklılıklarla karşılaştık; kimliği saptanabilir tüm kullanıcı gurupları oldukça zayıf parolalar üretti,” diye yazıyor Bonneau.
“Bir kredi kartı bilgilerinin girilmesi gibi güvenlik güdüleri üzerinde yaş ve milliyet gibi demografik etkenlerin çok fazla etkisi yok. Hatta grafiksel geribeslemeyle daha iyi parola seçilmesine yönelik olarak kullanıcıları uyarmak için yapılan proaktif çabalar çok az fark yaratıyor. Daha şaşırtıcı olan şeyse, tamamen farklı dilleri kullanan toplulukların aynı zayıf parolaları kullanıyor olması. Saldırgan global olarak en uygun sözlükten bir topluluğa özel listelere geçerek çok düşük bir kazanım elde edebiliyor.”
Bir güvenlik farkındalığı ve eğitim programı oluşturmak
“Çözüm eğitim ve öğretimden geçiyor ve bu gerçekten işe yarıyor,” diyor Spitzner. Kendisi SANS Institute ile çalışan organizasyonlardan birine işaret ediyor. Söz konusu organizasyon bulaşma olan bilgisayar sayısını çok büyük oranda azaltabildi; o kadar ki bulaşmalarla ilgilenen çalışanlardan birini başka bir işe yönlendirdiler.
Fakat bu onu yapmaya karar vermek kadar kolay değil, notunu ekliyor. Organizasyonlar içindeki güvenlik farkındalığı programlarının çoğu çok az şey başarıyor, diye konuşuyor. Ancak bunun nedeni tam olarak efektif olacak biçimde tasarlanmamış olmaları.
Güvenlik farkındalığı icra komitesiyle başlayın
Başlamak için öncelikle bir güvenlik eğitimi icra komitesi oluşturmalısınız, diyor Spitzner. İcra komitesi programın planlanması, yürütülmesi ve yönetilmesine yardımcı olabilecek farklı departman ve rollerden 5 ila 10 gönüllünün bir karışımı olmalı. Spitzner icra komitesinde denetleme ve hukuk birimlerindeki insanların dahil edilmesi önerisinde bulunuyor. Kendisi aynı zamanda komite üyelerinin sadece rehber olmadıklarını aynı zamanda organizasyondaki diğer üyelerin katılmasına yardımcı olacak elçiler olmaları gerektiğini ifade ediyor.
‘Kim,’ ‘Ne’ ne ‘Nasıl’ sorularını yanıtlayın
Bir kez oluşturulduktan sonra icra komitesinin üç soruyu yanıtlayan bir planı oluşturmaya ihtiyacı var: kim, ne ve nasıl. İlki ‘Kim’. Spitzner’e göre yapılan en yaygın hatalardan biri, firmaların yekpare bir farkındalık ve eğitim programı yaratmaya çalışması. “Çok sayıda farkındalık programı alelacele hazırlanıyor,” diye konuşuyor. “Düzgün bir program kimi hedeflediğinizi ve kapsamı belirler.” Çoğu durumda farklı hedefler (genel çalışanlar/sözleşmeliler, IT çalışanları, yardım masası, kıdemli yönetim) farklı eğitim programlarına gereksinim duyacaktır. “Organizasyonunuz içerisinde herhangi bir veriye dokunan herkesi eğitmeye ihtiyacınız var,” diye konuşuyor Spitzner.
Hedeflerin belirlenmesinin ardından icra komitesinin hangi hedefin neyi öğrenmeye ihtiyaç duyduğunu belirlemesi gerekiyor. Spitzner her şeyden azar azar öğretmeye çalışmak yerine, eğitim programının büyük etkisi olacak birkaç başlık üzerine odaklanılması tavsiyesinde bulunuyor. Her organizasyonun ihtiyaçları ve riskleri farklı olacağından her bir başlık üzerinde bir risk değerlendirmesi yapılması faydalı olabilir. Yaygın başlıkları arasındakiler: parolalar, sosyal mühendislik, uyumluluk, e-posta ve anında mesajlaşma, veri koruma ve veri imhası.
Ardından icra komitesi çalışanların dikkatini nasıl çekeceklerini belirlemeli. “Bunu nasıl duyuracaksınız? Farkındalığı bir ürün olarak ele almalısınız,” diyor Spitzner. “İlgi çekme konusu üzerinde düşünmelisiniz. Organizasyonun faydaları üzerine odaklanmayın. Çalışanların faydaları üzerine odaklanın. Çoğu durumda, bu eğitim hem kişisel hem de organizasyon içindeki yaşamlarında çalışanlara faydalı oluyor. Eğer insanların kişisel yaşamlarındaki faydalar üzerine odaklanırsanız, çok büyük oranda ilgi çeker, büyük bir fayda sağlarsınız.”
Modüler bir yaklaşım kullanın
Spitzner ayrıca yekpare, uzun saatler süren bir eğitimden kaçınılması tavsiyesinde bulunuyor. Onun yerine bu başlıklara modüler bir şekilde yaklaşın. Modüller üç ila beş dakika kadar kısa olabilir. Temel eğitim kısa videolar ve yerinde eğitimin bir karışımı olmalı, hatta pekiştirme için oltalama değerlendirmeleri yapılmalı. Facebook gönderileri, twitter gönderileri, posterler ve el ilanları da bir rol oynayabilir. Çalışanların temel eğitimi yılda bir kez almaları ve yıl içerisinde bunların kesintisiz dokunuşlarla pekiştirilmeleri önemli, şeklinde konuşuyor Spitzner. Son olarak çalışanın programa olan ilgisini ve sonuç olarak onların davranışlarındaki değişimleri ölçen ölçütlere gereksinim var. Program aynı zamanda bu ölçümlere bağlı olarak yılda en az bir kez olmak üzere yeniden değerlendirilerek güncellenmeli.
