"Umarım bu e-posta sizi iyi bulur. Sistemlerimizin güvenliğine yönelik bazı iyileştirmeler uyguluyoruz ve sorunsuz bir geçiş sağlamak için işbirliğinize ihtiyacımız var. Bu sürecin bir parçası olarak, kişisel bilgilerinizin ve şirket verilerinizin yeterli düzeyde korunmasını sağlamak için oturum açma protokollerimizi güncelliyoruz. Oturum açma kimlik bilgilerinizi güncellemek için lütfen aşağıdaki bağlantıyı takip edin."

Yukarıdaki paragraf herhangi bir kimlik avı e-postasının başlangıcı olabilir; Okuyucular, bir çalışanın bilgilerini çalmak veya kimlik bilgilerine erişmek amacıyla çalışanlarınıza yönelik yüzlerce, hatta binlerce benzer mesaj gördü.

Kimlik avı, sosyal mühendisliğin en acil türü olmasına rağmen, tek değildir ve konu dijital dünyayla sınırlı bile değildir; Kısıtlı binalara veya alanlara erişim sağlamak için bir çalışanı veya müteahhidi taklit eden bir kişi buna bir örnektir.

Sosyal Mühendislik Saldırılarının Evrimi

Saldırganlar, bir kuruluşa yönelik saldırılarını başlatmak için bir ağ geçidine ihtiyaç duyar ve bazen en kolay yol, bir sıfır gün güvenlik açığı keşfetmemektir; Klavye ile sandalye arasında kalana saldırıyor: çalışana.

Claranet Portekiz'de Siber Güvenlik İş Geliştiricisi Ricardo Silva, sosyal mühendisliğin "gizli bilgileri elde etmek için insan güvenini ve davranışından yararlanmayı" amaçlayan "siber suçlular tarafından en çok kullanılan taktiklerden biri" olduğunu hatırlatıyor. Dijital çağda, bu taktik "kötü niyetli aktörler teknolojik değişikliklere ve kuruluşlar tarafından benimsenen güvenlik ve siber güvenlik uygulamalarına uyum sağladıkça gelişmeye devam ediyor."

	Sosyal mühendislik, "hassas bilgileri elde etmek için insan güvenini ve davranışlarını istismar etmeyi" amaçlayan "siber suçlular tarafından en çok kullanılan taktiklerden biridir" Ricardo Silva, Claranet Portekiz'de Siber Güvenlik İş Geliştiricisi

Ricardo Silva, bu saldırıların, kötü niyetli aktörlerin "hedef odaklı kimlik avı, balina avcılığı ve hatta derin sahtekarlıkların ortaya çıkması yoluyla belirli hedeflere odaklandığı" "daha karmaşık yöntemler" ve "farklı iletişim kanalları" kullandığını ekliyor.

Noesis'te Siber Güvenlik Mühendisi olan Olga Carvalho, sosyal mühendisliğin "insan psikolojisini sömüren ve manipüle eden eski bir teknik" olduğunu hatırlatıyor ve "belki de tarihteki en eski ve en popüler sosyal mühendislik saldırısı" olan Truva Atı'nı hatırlatıyor. O zamandan beri ve amaç aynı olsa da - aldatmak - sosyal mühendislik saldırıları "teknikler, karmaşıklık ve erişim açısından önemli ölçüde gelişti."

Örneğin Yapay Zeka (AI), "kurbanların tanıdığı kişilerin sesini taklit etmek gibi araçların kapasitesini artırmak; içeriğin; ve siber suçluların bu saldırılar için kullandığı teknikler."

VisionWare'in Kurucusu ve CEO'su Bruno Castro'ya göre, bu saldırılar "giderek daha sofistike, kişiselleştirilmiş ve hedefli" bir şekilde gelişiyor. Siber suçlular, "CEO'ların, meslektaşların ve müşterilerin imajını ve sesini tahrif ederek, esas olarak üretken yapay zeka kullanarak" daha ayrıntılı teknikler kullanıyorlar.

Aynı zamanda, Bruno Castro, kimlik avı ve hedef odaklı kimlik avı kampanyalarının da "geliştiğini, ayırt edilmesinin giderek zorlaştığını", "daha kişiselleştirilmiş ve daha az görsel algılama biçimi içerdiğini" söylüyor. "İleri teknolojilere ve psikolojik manipülasyona" ek olarak, suçlular "gizli bilgilere yetkisiz erişim sağlamak için ellerinde giderek daha fazla araç var".

Saldırılarla Başa Çıkmanın Zorlukları

Olga Carvalho, sosyal mühendisliğin "şirketler için büyük bir zorluk" oluşturduğunu, çünkü "bu tür saldırıların tespit edilmesi önemli ölçüde daha zor" olan "insan ve teknolojik olmayan güvenlik açıklarını hedef aldığını" hatırlatıyor. Bu nedenle, "güçlü bir çalışan eğitimi bileşenine sahip iyi bir siber güvenlik kültürü, bu saldırılara karşı ilk savunma hattıdır."

Örneğin AI, "kurbanların tanıdığı kişilerin sesini taklit etmek gibi araçların kapasitesini artırdı; içeriğin; ve siber suçluların bu saldırılar için kullandığı teknikler" Olga Carvalho, Noesis'te Siber Güvenlik Mühendisi

Aynı zamanda, Noesis temsilcisi, bir diğer önemli zorluğun da "saldırganların şirketlerin organizasyonel hiyerarşisi hakkında değerli bilgiler elde etmesine olanak tanıyan" şirketlerin dijital olarak maruz kalması olduğunu ekliyor. Bu bilgiler ile "saldırıyı şirket içi bilgi veya sistemlerin en hassas ve ayrıcalıklı üyelerine yönlendirmek" mümkün olmakta ve "sosyal mühendislik saldırılarının risklerini en aza indirmek" için şirketlerin kamuya açık bilgilerinin düzenli olarak gözden geçirilmesi ve değerlendirilmesi gerekmektedir.

Aynı şekilde, Bruno Castro, insan faktörünün "hala" kuruluşlar için ana zorluk olduğunu söylüyor. "Karmaşık saldırıları meşru etkileşimlerden belirleme ve ayırt etme konusunda artan bir zorluk var ve buna ek olarak, sürekli genişleyen bir cihaz ve iletişim kanalı yelpazesini korumaya daha fazla ihtiyaç var" diyor.

Ricardo Silva, birçok çalışanın "sosyal mühendisliğin risklerinden ve saldırı girişimlerini nasıl tespit edebileceklerinden hala habersiz olduğunu" ve bunun da çalışanları daha kolay hedefler haline getirdiğini açıklıyor. Uzaktan çalışmanın yaygınlaşması aynı zamanda "şirketlerin uzaktan çalışanları korumak için teknolojiyi, politikaları ve güvenlik eğitimini uyarlamasını gerektiriyor", çünkü saldırganlar "saldırıları önlemeyi ve tespit etmeyi" zorlaştıran "e-postalar, sosyal ağlar ve telefon görüşmeleri gibi çeşitli kanalları" kullanıyor. Bana göre, bazı kuruluşlar saldırıları önlemek ve bunlara yanıt vermek için etkili politika ve uygulamalardan yoksundur.

Test edin ve oluşturun (ve gerektiği kadar tekrarlayın)

Bruno Castro, konuyla ilgili eğitim veya kurslar düzenlemek ve kimlik avı simülasyonları gibi düzenleyici farkındalık eğitimi, kuruluşların çalışanlarıyla birlikte uygulayabilecekleri ve uygulaması gereken uygulamalardan bazılarıdır. Aynı zamanda, "değerlendirmelerde başarılı olamayanlar için ek eğitim" sağlamak "esastır". VisionWare'in kurucusu ve CEO'su, diğer uygulamaların "bağlantılara tıklamadan veya gizli bilgiler vermeden önce iletişim kaynaklarını doğrulamak gibi güvenlik önlemlerinin benimsenmesini teşvik etmek; Temel olarak, istisnasız tüm çalışanlardan üst yönetime kadar geçmesi gereken bir güvenlik ve dijital hijyen kültürünün giderek daha fazla benimsenmesini teşvik etmek".

Ricardo Silva ayrıca "çalışanları sosyal mühendisliğin riskleri konusunda test etmenin ve eğitmenin kuruluşları korumak için gerekli olduğunu" savunuyor. "Yüksek olgunluğa" ulaşmak için düzenli olarak eğitim ve kurslar almak, pratik tatbikatlar veya saldırı simülasyonları yapmak ve konuyla ilgili dahili ve sürekli iletişim kurmak gerekir. Ancak bu sorun çalışanlarla sınırlı kalamaz: "kuruluşun liderliği siber güvenliğe bağlılık göstermeli ve veri ve bilgilerin korunmasına değer veren bir kültürü teşvik etmelidir" ve bu kültür "güvenli bir ortamın sürdürülmesinde tüm çalışanların işbirliğini ve ortak sorumluluğunu teşvik etmelidir".

Olga Carvalho, "sosyal mühendislik saldırılarını tanımak için eğitilmiş çalışanların, herhangi bir şirketin ilk savunma hattı olduğunu" özetliyor. Bu nedenle, "eksiksiz bir siber güvenlik farkındalık stratejisi, çalışanları çeşitli sosyal mühendislik yöntemlerinden ve bunların nasıl tanımlanabileceğinden haberdar eden çeşitli uygulamaları kapsamalıdır."

Bir güvenlik kültürü oluşturun

Tehditler artarken, çalışanların yalnızca kendilerinin değil, şirketin kendisinin de karşı karşıya olduğu riski anlamaları önemlidir. Cevap, çalışanların riskin farkında olduğu bir güvenlik kültürü oluşturmaktır.

Ricardo Silva'ya göre, siber güvenlik kültürünün "sağlam ve etkili" olması ve "liderlik desteğine" sahip olması, ayrıca çalışanların düzenli eğitimi, net politikaların uygulanması ve departmanlar arasında işbirliğine sahip olması gerekiyor. "Kuruluşlar, ileri teknoloji çözümlerine yatırım yaparak ve açık iletişim ve paylaşılan sorumluluk ortamını teşvik ederek, sosyal mühendislik ve diğer siber güvenlik tehditleriyle ilişkili riskleri ele almaya ve en aza indirmeye daha hazırlıklı hale geliyor" diyor.

Olga Carvalho, siber hijyene sıfır tolerans yaklaşımının gerekli olduğunu paylaşıyor "hem sistemler hem de insanlar için sağlıklı ve güvenli bir kültürü teşvik ediyor". Aynı zamanda, "çalışanlarını sosyal mühendislik saldırılarını tespit etme ve önleme konusunda güçlendirmek için şirketler, bu kültürü geliştiren net yönergeleri güçlendiren politikalar uygulamalıdır."

Bruno Castro, sürekli eğitime ek olarak, "olası tehditler hakkında açık iletişimi teşvik etmenin ve teşvik etmenin ve olağandışı bir durum, yani kuruluşun veya çalışanın davranışsal temelinin dışına çıkan herhangi bir davranış için alarmizmi teşvik etmenin ve teşvik etmenin" eşit derecede önemli olduğunu savunuyor. Aynı zamanda, güvenlik kontrollerinin, örneğin, "çalışanların mesleki görevlerini yerine getirmek için yalnızca minimum erişim seviyelerine veya izinlere sahip olduklarını ve başka bir şeye sahip olmadıklarını belirleyen" en az ayrıcalık ilkeleri uygulanarak dikkate alınması gerekir.

Teknoloji desteği

Çalışanların herhangi bir kuruluş için ilk savunma hattı olması gerektiği doğrudur, ancak bu ilk hat başarısız olduğunda teknolojiye ihtiyacınız vardır. Bu nedenle, Olga Carvalho'nun işaret ettiği gibi, ilk savunma hattı duyarlı çalışanlardır; ikincisi teknolojiye dayalıdır.

Noesis temsilcisi, çevre açısından "e-posta güvenlik çözümlerinin sosyal mühendislik saldırılarını, hesap hırsızlığını ve bilgi sızıntısını tespit etmek ve bunlarla mücadele etmek için belirleyici olduğunu" söylüyor. Aynı zamanda, "çok faktörlü kimlik doğrulama, dahili belgelerin sınıflandırılması ve çalışanların en savunmasız olduğu sosyal platformlarla teması engellemek için önlemler sunan" çözümlere sahip olmak gerekiyor.

Son olarak, yapay zeka veya makine öğrenimi ile desteklenen çözümler, "yalnızca normalden farklı davranışların tanımlanmasına değil, aynı zamanda kimlik avı saldırılarına otomatik olarak yanıt verilmesine" de olanak tanır. Bu nedenle, "insanlar ve teknoloji arasındaki sinerji, şirketlere bu tür saldırılarla yüzleşmek için en iyi şansı sunuyor."

	Kuruluşlar, "sosyal mühendisliğe dayalı kötü niyetli saldırı eylemlerini belirlemelerine ve bunlara tepki vermelerine olanak tanıyan gelişmiş güvenlik çözümlerine sahip olmalıdır", yani bu tür saldırıların gelişmiş biçimlerini analiz etmek, tespit etmek ve bunlara yanıt vermek için AI teknolojisinin kullanılması yoluyla Bruno Castro, VisionWare'in Kurucusu ve CEO'su

Bruno Castro'ya göre, kuruluşlar "sosyal mühendisliğe dayalı saldırıların kötü niyetli eylemlerini tanımlamalarına ve bunlara tepki vermelerine olanak tanıyan gelişmiş güvenlik çözümlerine sahip olmalıdır", yani bu tür saldırıların gelişmiş biçimlerini analiz etmek, tespit etmek ve bunlara yanıt vermek için AI teknolojisini kullanarak. Örneğin, SOC'ler "tehditlerin izlenmesi, korunması ve azaltılması için gerekli teknolojileri, davranışsal temelde toplanan büyük verilerin korelasyonu ile istihbarat bileşeniyle birleştirecekleri için bu açıdan çok yardımcı olabilir".

Claranet Portekiz temsilcisi, kuruluşların sosyal mühendislik siber saldırılarının risklerini azaltmak için anti-spam çözümleri gibi "birden fazla teknolojik çözüm ve hizmeti benimsemesi" gerektiğini savunuyor. "Ağı kötü niyetli trafikten ve izinsiz giriş girişimlerinden korumak için etkili güvenlik duvarları uygulamak da çok önemlidir. Antivirüs programlarını güncel tutmak, cihazları sosyal mühendislik saldırıları yoluyla yayılabilecek kötü amaçlı yazılımlardan korumaya yardımcı olabilir" diye ekliyor.

Uyarı işaretleri

Bruno Castro, uyarı işaretlerinin "çalışanlarla her türlü doğrudan iletişim, kişisel veya kurumsal bilgilere erişmek için insan faktörünü kullanma" veya "e-posta veya telefon yoluyla finansal işlemler için gizli bilgi veya kişisel veri talepleri" olduğunu savunuyor. Aynı zamanda, "aciliyet duygusu ve şüpheli URL'ler ve ekler de alarm için açıklayıcı işaretlerdir. Dilbilgisi, robotik iletişim izlenimi veren yanlış yazılmış metinler de acil bir uyarı işaretidir."

Ricardo Silva, "istenmeyen e-postaların, kısa mesajların veya telefon görüşmelerinin gizli bilgilerin ifşa edilmesini teşvik eden veya derhal harekete geçilmesini gerektiren, sosyal mühendislik girişiminin göstergesi olabileceğini" belirtiyor. Bu nedenle, şirketler "gönderenin e-posta adresini veya belirtilen web sitesinin URL'sini dikkatlice kontrol etmeli ve beklenmedik ekler veya bağlantılar içeren e-postalara ve mesajlara dikkat etmelidir. Kuruluşlar, bu uyarı işaretlerini tanıyarak ve dikkate alarak, varlıklarını ve değerli bilgilerini sosyal mühendislik saldırılarından daha iyi koruyabilecekler."

Olga Carvalho, "siber suçluların kurbanlarla iletişim kurmasının farklı yolları olduğu için sosyal mühendislik saldırılarını tespit etmenin önemli bir çaba gerektirdiğini" belirtiyor. Bu nedenle, "bir sosyal mühendislik kampanyasının devam ettiğine dair potansiyel işaretlere dikkat etmek ve araştırmak" kuruluşlara kalmıştır.

Kaynak: Sosyal Mühendislik: Aldatmadan Saldırma Sanatı (itsecurity.pt)