Bir siber saldırı sırasında, bir saldırganın bir bilgi sistemine (IS) ana giriş vektörlerinden biri, İngilizce’de “phishing” – “phishing” olarak adlandırılır. Bu ağ geçidi, kötü amaçlı bir bağlantıya tıklamaya yönlendirilen kurbanın manipülasyonuna dayanmaktadır. Kullanılan teknik yönün yanı sıra – saldırıyı görsel olarak inandırıcı kılmak için, tüm “oltalama” insan psikolojisine dayanmaktadır.
Bu, mevcut tehditlerin cephaneliğindeki yöntemlerden yalnızca biri olmasına rağmen, insan psikolojisinin bir IS’nin güvenliği üzerindeki etkisini göstermek ilginçtir. Ayrıca, kriz yönetimi sırasında insanın önemli rol oynadığı aşamalar çoktur. Bu nedenle, bu tür durumlar için mümkün olduğu kadar iyi hazırlanmak gerekir.
İnsan faktörünün kritik rolü
Bir siber saldırı sırasında, bir saldırganın eylemlerini – “chain of uzlaşma” veya İngilizce’de “Cyber Kill Chain” olarak adlandırılan – aynı zamanda mağdurların ve / veya savunucuların eylemlerini bir adımlar zinciri aracılığıyla tanımlamak mümkündür. IF saldırdı.
Saldırganın bakış açısından, kurbanının psikolojisi ve alışkanlıkları hakkında iyi bilgi sahibi olması, hedef ağa erişimini büyük ölçüde kolaylaştırabilir. Bu ilk olarak, saldırganın hedeflenen IS’nin güvenlik açıkları kadar şirketi veya kuruluşu oluşturan ana oyuncular hakkında da çok şey öğrenebileceği bir keşif aşamasını içerir.
Sonuç olarak, saldırı için kötü amaçlı dosyalar oluşturulduktan sonra tehdidin, kötü amaçlı unsuru bilgi işlem ortamlarına sokmak için bir teslim yöntemi seçmesi gerekecektir. İlk adımda toplanan bilgilerin burada çok yararlı olduğu ortaya çıkıyor ve uzaktan erişim hesaplarına yasal erişim elde etmeye kadar gidiyor – örneğin, mağdur kullanıcının sosyal ağlarında toplanan bilgilerden kolayca çıkarılabilen tanımlayıcılar aracılığıyla.
Saldırgan, sisteme girdikten sonra, gerekli görülen tüm kötü niyetli eylemleri gerçekleştirmeden önce kurban tarafından tespit edilme riskini göze alarak, en büyük takdir yetkisini kullanacaktır. Bununla birlikte, üzerinde bulunduğu sistemin güvenliğine uygulanan mantığı hayal etmeye devam edebilir, bazen kötü bir yapılandırma veya güvenli olmayan kod satırlarıyla bağlantılı güvenlik açıklarını keşfetmeye izin verebilir.
Mağdur saldırının farkına varır varmaz kriz yönetimi devreye alınabilir. Geri sayım başlar ve uygun önceliklendirme yapılmadan çabalar boşa gidebilir. Sonra insan kararlarının hakemliği gelir. Uygulanacak güvenlik önlemlerinin alaka düzeyinin ötesinde, görevlerin zayıf önceliklendirilmesi ve net olmayan talimatlar, saldırganın amacına ulaşması için yeterli zamanı verebilir.
Saldırının son aşamasının gelmesi durumunda ise iki aktör arasında psikolojik bir mücadele başlar. Fidye yazılımı bağlamında bu, bir gasp girişimi anlamına gelir. Saldırganın amacı, kurbanı etkilemek ve böylece verilerini kurtarmak için istenen fidyeyi ödemenin tek olası seçenek olduğuna onu ikna etmektir.
Dahası, ikili veya üçlü gasptan da bahsedebiliriz. İlk durumda, saldırgan yalnızca verilerin şifresini asla çözmemekle kalmaz, aynı zamanda İnternetten alınan tüm bilgileri düz metin olarak ve özellikle de gizli verileri yaymakla tehdit eder. Her zaman kurbanı manipüle etme amacıyla, üçlü haraç, hedef IS’ye tehdit ve bazen hizmet reddi infazı ekler.
Bu eylemler, saldırıya uğrayan şirketin mali durumu üzerinde önemli bir etkiye sahip olabileceği gibi doğrudan tüm çalışanlar üzerinde de etkili olabilir. A Portsmouth Üniversitesi çalışması İngiltere İçişleri Bakanlığı tarafından yaptırılan bir araştırma, siber saldırıların örneğin bir hırsızlığınki kadar ciddi psikolojik yaralar bırakabileceğini gösterdi.
Peki zihinsel olarak bir siber saldırıya nasıl hazırlanırsınız?
Kötü niyetli aktörlerin teknikleri – bugün – çok gelişmiş olabilse de, saldırıların çoğunu sınırlamak ve hatta sona erdirmek için iyi bir yukarı akış hazırlığı yeterli olabilir.
Gerçekten de, çalışanların eğitimi ve farkındalığı genellikle en yaygın tavsiyedir, ancak şirketler ve kuruluşlar içinde genellikle çok az uygulanır (veya uygulanmaz). Bir kullanıcının izlemesi gereken iyi bir bilgisayar hijyeni tanımlamanın (karmaşık parolalar, boş masa politikası vb.) yanı sıra bu güvenlik önlemlerini kullanışlılıklarıyla ilgili somut açıklamalarla ilişkilendirmek gerekir. ONLAR IT Hijyen Rehberi ANSSI, bu etki için bir dizi kural içerir. Amaç, dışarıdan görülebilen bilgilerin, minimum da olsa, şirketin IS’sinin güvenliği üzerindeki etkisinin herkesin farkına varmasını sağlamaktır. Ek olarak, özellikle kimlik avı eğitim kampanyaları yoluyla farkındalık tekrarlanmalı ve değerlendirilmelidir. Bu, tüm çalışanlar için bu eylemleri reflekslere dönüştürmeyi mümkün kılacaktır!
Ek olarak, her tür siber saldırıya hazırlanmak için bugüne kadar bilinen en etkili yöntemler, savunulacak İD ile ilişkili risklerin değerlendirilmesinden ve ardından olayların olasılığını mümkün olduğunca sınırlamayı amaçlayan önlemlerin uygulanmasından oluşuyor. . Şirkete göre tanımlanan önlemlerin adapte edilmesi esastır. Bunu yapmak için, ISO 27002 standardı gibi kıyaslamalar izlenecek genel bir yön vermeye yardımcı olabilir.
Ve tüm saldırı senaryolarını öngörmek mümkün olmasa da, IS’nin yanı sıra yukarı akışta oluşturulan prosedürler hakkında mükemmel bir bilgi, bir uzlaşma durumunda yanıtı kolaylaştırmayı mümkün kılar. Bu sayede “yerinde” alınan kararlara bağlı hataların sınırlandırılması mümkün olmaktadır.
İstisnai kriz yönetimi durumlarında, insan faktörünün dikkate alınması esastır. Bu, aktörlerin lojistiğinden sorumlu olmak, gıda tedarikinden sorumlu olmak veya bu kriz durumlarında genellikle unutulan diğer ihtiyaçlar gibi belirli rollerin oluşturulmasını içerir. Bu katılım, böyle bir bağlamda aktörlerin performansını artırmanın yanı sıra istemsiz hata risklerini sınırlamayı mümkün kılar.
Bu nedenle, insan faktörüne bağlı etkileri sınırlamak için bir olay müdahalesi yukarı yönde yönetilir. Bu, şirkette hazırlıklara ve bilinçlendirmeye, hatta ekiplerin internette ücretsiz olarak erişilebilen kişisel bilgilerinin miktarını ve türünü kontrol ederek anlamına gelir. Bir IS’yi güvenceye almak bir çevre oluşturmaktan geçse de, saldırganlar kendi paylarına hiçbir sınır koymazlar.