Küçük İşletmelerin Bilmesi Gereken 7 Güvenlik Açığı

Küçük İşletmelerin Bilmesi Gereken 7 Güvenlik Açığı

Halihazırda orta ölçekte veya küçük bir işletmeniz var veya yeni bir iş kuracaksanız, bilgisayarın marifetlerinden faydalanmanız gerektiğinin farkındasınızdır. Muhasebe işlemleri, iş ve üretim takibi ve pazarlama konularında bilgisayar ve internetten faydalanmayan bir işletmenin artık var olmasının ne kadar güç olduğu ortadadır. Özellikle KOBİ (küçük ve orta büyüklükteki işletmeler) tanımına uyan kurumsal yapıların en uygun koşullarda bilişim ihtiyaçlarını karşılamaya gayret gösterdiği düşünülürse, tasarruf yapılmaya çalışılan konularda güvenlik açıkları oluşması muhtemeldir. Kendi yapılarında bilişim uzmanı çalıştırmayan işletmelerin bu noktada kurumsal güvenlik hizmeti veren firmaların danışmanlığına başvurması hem ekonomik hem de hayat kurtarıcı olabilir.

Kurumsal bilişim güvenliği, internetin hayatımızdaki yeri düşünüldüğünde üstünde dikkatle durulması gereken bir konu olduğu gibi işletmelerin de fazlaca bilgi sahibi olmadığı bir konu olduğundan genellikle bir istenmeyen durumların geri dönüşü zor olan sonuçlarıyla gündeme gelmektedir. Ancak önceden güvenlik risklerinin belirlenip en aza indirilmesi daha az zaman ve paraya mal olmasının yanında işletme güvenilirliğini de artıracaktır. 2016 yılında Amerika’da yapılan bir araştırmaya göre siber saldırı mağduru küçük işletmelerin yarısından fazlası 1 yıl geçmeden kepenklerini kapatıyor.

İnternete bağlı sistemler her an için yerel ağ içinden ve internetten gelebilecek saldırılara karşı korunmalıdır. İşletmelerin internet siteleri, bayi ağı yazılımları, elektronik ticaret ara yüzleri, elektronik posta iletişimi, işletmede kullanılan bilgisayarlar ve mobil cihazlar her zaman için güvenlik açıkları nedeniyle saldırıya uğrayabilir, veri kaybına neden olabileceği gibi zaman ve para kaybının yanında işletmenin imajını da zedeleyebilir.

Internet ve bilgisayarları ticareti takip etmek, yönetmek ve geliştirmek için kullanan işletmelerin bilmesi gereken konuları 7 ana başlık altında inceleyecek olursak;

1. Zararlı Yazılımlar

Zararlı yazılımlar bir sisteme veya internet sitesine bulaşmak ve hasar vermek amacıyla tasarlanmış kötü amaçlı bilgisayar programlarıdır. Genel bir tanım olmakla birlikte verileri bozarak fidye talep etmek, bilgileri çalmak, istenmeyen reklamlar göstermek veya kullanım alışkanlıklarını toplamak gibi çok çeşitli yollarla sistemlere ve internet sitelerine bulaştırılabilirler. Müşteri bilgileri, kredi kartları ve hesap bilgileri gibi kıymetli verilerin bozulmasına veya açığa çıkmasına neden olabilirler.

Siber saldırıların yarısından fazlasında arka planda bir zararlı yazılım kullanıldığını söyleyebiliriz. En sık kullanılan zararlı yazılım saldırıları içerik bozma ve kötü amaçlı yönlendirmedir. Bunun sonucunda, internet sitenizdeki bilgilerin değiştirilerek ziyaretçilerin etkileşim ve girişleri toplanabileceği gibi bir sipariş bağlantısının ziyaretçinin bilgisayarına zararlı yazılım bulaştırabilecek bir adrese yönlendirilmesi veya kredi kartı bilgilerini çalarak sahte sipariş oluşturma yoluyla dolandırıcılık yapılması da söz konusu olabilir.

CHIP Bilgisayar olarak zararlı yazılımlara karşı sistemlerinizin ve internet sitelerinizin ne şekilde güvenceye alınabileceği konusunda size hayat kurtaran çözümler sunabilir, geri dönüşü olmayan durumlara girmeden önce önlemleri alıp afet durumları da dahil, verilerinizin güvenliğini sağlayabiliriz.

2. SQL Enjeksiyonu

Web siteleri aslında bir bilgisayar programıdır. Bu nedenle güvenlik açıkları içerebilir ve bu açıkları kullanarak kötü niyetli saldırganlar size ve müşterilerinize zarar verebilir. SQL enjeksiyonu tekniği hacker olarak bilinen saldırganların sıklıkla tercih ettikleri oldukça basit ve etkili bir yöntemdir. Internet sitesinin yazılımındaki açıklar kullanılarak veri tabanında istenmeyen işlemlerin yapılması olarak tanımlayabileceğimiz bu saldırı ile veri tabanları tamamen saldırganların eline geçebileceği gibi sistemlere yetkisiz erişimin sağlanarak fark edilmeden düzenli olarak zararlı yazılımların çalıştırılması, verilerin toplanması, dolandırıcılık gibi karmaşık sonuçlar oluşabilir. Sıklıkla web sitelerinde denenen bu saldırıya karşı iyi yazılmış internet sitesi kodu ve düzenli uygulanan penetrasyon testleri ve güvenlik güncellemeleri uygulanabilecek temel önlemlerdir.

3. Sistemler Arası Komut Çalıştırma (XSS)

Küçük İşletmelerin Bilmesi Gereken 7 Güvenlik Açığı

SQL enjeksiyonunun tersine siteler arası komut dosyası çalıştırma (XSS) saldırısında internet sitesi değil ziyaretçileri hedef alınır. Internet sitesine çeşitli yollarla yerleştirilen zararlı kodlar kullanılarak ziyaretçilerin sistemlerinde yetkisiz kod çalıştırılması ve bu sayede ziyaretçilerin tarayıcı geçmişi, kredi kartı gibi hassas bilgileri toplanabilir veya bilgisayarlara zararlı yazılımlar bulaştırılarak daha kompleks saldırılar gerçekleştirilebilir. İşletmelerin internet sitelerinin bu zararlı kodlara karşı düzenli kontrol edilmesinin yanında internete giren işletme bilgisayarlarının da bu teknikle gerçekleştirilebilecek saldırılara karşı korunuyor olması gerekmektedir.

4. Gözetleyen Adam Saldırısı

Gözetleyen adam veya İngilizce’de kullanıldığı haliyle man in the middle (ortadaki adam) saldırısı bir internet sitesi ile ziyaretçisi arasındaki iletişimi dinleyen bir saldırganın bu bilgileri toplaması ile internet sunucusuna ve/veya ziyaretçiye zarar vermesi şeklindedir. Bu iletişimde ele geçirilen veri basit ve önemsiz bilgiler olabileceği gibi kredi kartı detayları gibi hassas bilgiler de olabilir. Saldırgan bu bilgileri dilerse kendisi kullanabilir veya üçüncü taraflara satabilir.

Bu saldırıları sunucu tarafında önlemek için SSL sertifikası kullanarak ziyaretçilerin bilgisayarı ile olan iletişimi şifrelemek bir çözüm olabilir. Ayrıca sunucu ve istemci tarafında iletişi şifrelenmeden önce veya şifre çözüldükten sonra izleyebilecek zararlı yazılımlara karşı da önlem alınmış olması gerekir. Bir e-ticaret sitesi işletmiyor olsanız da Google SEO (arama motoru optimizasyonu) için de avantaj sağlayan SSL sertifikasını tercih etmek gerekir. İşletmeler internete giren bilgisayarların internetteki sunucularla iletişimi sırasında SSL sertifikalarla şifrelenmiş güvenli bağlantıları tercih ederek de gözetleyen adam saldırılarına karşı önlem alabilirler.

CHIP Bilgisayar ücretli ve ücretsiz SSL sertifikaları konusunda işletmenizin ihtiyacı olan çözümleri en uygun koşullarla sunar ve sistemlerinizde uygulamasını yapabilir.

5. Şifre Saldırıları

Saldırganlar ister sistem yöneticisi isterse operatör olsun her tür insan hesabının şifresinin basit ve tahmin edilebilir olduğunu öngörerek şifre saldırıları ile yetkisiz erişim sağlamaya çalışır. Burada karmaşık bir şifrenin hatırlanmasının güç olmasının aslında tahmin edilebilirliğini de azalttığını söylemek gerekir. Ancak kullanıcılar kendileri için önemli olan kelime ve rakam kombinasyonlarını sistemlere erişim için belirledikleri parolalarında kullanmakta ısrar edeceklerinden şifre saldırıları hacker’lar tarafından kullanılmaya devam edecektir. Ayrıca saldırganların hedef aldıkları sistemlere keylogger programları kurarak klavye tuşlamalarını kaydedip kendisine göndermesi de şifre saldırılarında tercih edilen bir yöntemdir. Bununla beraber kullanıcı alışkanlıklarının derlenip oluşturulan parola veri tabanları da bu denemelerde kısa zamanda parolanın bulunup yetkisiz erişimin sağlanmasını kolaylaştırmaktadır.

İşletmeler de internet siteleri ve web tabanlı yazılımlarında tahmin edilmesi zor ve yeterli uzunlukta parola seçilmesini zorunlu kılacak kriterler kullanabilir, belirli sürelerde şifrelerin değiştirilmesini zorunlu hale getirebilir ve geriye dönük belli sayıda şifreden birinin seçilmemesini sağlayabilirler. Ayrıca şifre giriş ekranlarında sanal klavyeyi zorunlu hale getirmek de güvenlik seviyesini nispeten iyileştirecektir. Kullanıcı girişlerini iki veya üç kademeli doğrulama ile cep telefonuna veya mail adresine gönderilen benzersiz tanımlayıcı kodu ile kontrol etmek de oldukça etkili bir yetki kontrol mekanizması olabilmektedir.

6. DDoS Saldırıları

İngilizce Denial of Service kelimelerinin baş harflerinden oluşan DoS veya daha kapsamlı olan DDoS saldırıları bir sisteme aşırı yük oluşturarak erişimini kesme girişimi şeklindedir. İşletmelerin internet sitelerine veya işletmenin internete çıkış yaptığı ağı aşırı trafik oluşturarak kaynakların sınırlarına çekerek normal işleyişinin bozulması mümkündür. Bu tür saldırılar bir noktadan başlatıldığında DoS olarak nitelendirilirken daha fazla noktadan başlatılan ve sıklıkla küresel çapta olanına DDoS olarak isimlendirilmektedir. Burada sadece internet trafiği değil aynı zamanda sistemlerin işlemci, bellek, depolama gibi kaynakları da hedef alınabilmekte, kalıcı hasarlar da oluşturulabilmektedir.

İşletmelerin internet bağlantılarında fiziksel güvenlik duvarları kullanmaları çoğunlukla bu tür saldırıların başlangıcında fark edilip savunulmasını sağlıyor olsa da kullanılan sistem yazılımların da bu tür saldırıları fark edip saldırganın sistem kaynaklarını kullanamayacağı şekilde sisteme yük bindirmesini engelleyecek şekilde tasarlanmış olması gerekir. Çoğunlukla DDoS saldırıları kısa süreli hizmet kesintisiyle kendini gösteriyor olsa da saldırı sırasında diğer penetrasyon tekniklerinin kullanılması ile sistemlere büyük maliyetler oluşturan hasarlar da verebilmektedir.

7. Hatalı Yapılandırılmış Güvenlik Sistemi

Küçük İşletmelerin Bilmesi Gereken 7 Güvenlik Açığı

Sistem ve internet güvenliği konusunda afet planı hazırlanmış ve gerekli tedbirlerin yatırımını yapmış bir işletmenin dahi güvende olduğunu söylemek mümkün değildir. Çünkü çevresel koşulların, kullanılan donanımın ve güvenlik yazılımlarının açıklarının her zaman bir yenisi saldırganlar tarafından keşfedilip kötü niyetle kullanılabilmektedir. Doğru ayarlanmamış bir güvenlik yazılımı aslında hiç güvenlik yazılımı kullanmamaktan çok daha tehlikelidir. Düzenli aralıklarla siber tehlikelere karşı saldırı testleri yapılmalı, mümkün olduğunca fazla farklı nokta ve ortamda yedeklemeler yapılmalı ve yetkisiz erişimin yeni yolları araştırılıp tespit edildiği anda çözümü bulunmalıdır.

Bu ve daha fazlası için CHIP Bilgisayar olarak işletmenizin güvenlik açıklarını tespit etmemiz ve bunları nasıl giderebileceğimiz konusunda teklif sunmamız için bize ulaşmayı geciktirmemeli, en kısa zamanda güvenlik açıklarınızı ortadan kaldırmalısınız. Şunu unutmamalısınız ki bir saldırganın sistemlerinize ne kadar zarar verebileceği tamamen sizin bu konuya ne kadar dikkat gösterdiğinizle ilgilidir.

Fotoğraf Kriemer@Pixabay