SMB

Bu yazıda, tedarik zinciri saldırıları, jeopolitiğin siber güvenliğe etkileri, Avrupa’da kişisel verilerle ilgili yeni yasa (Genel Verilerin Korunması Yönetmeliği), buluta taşınma ve makine öğrenimi gibi sıcak gündem maddelerinden söz edeceğiz.

“Kritik bilgi altyapısını nasıl koruyamıyoruz?” diye adlandırmak istediğimiz süreç için bir eğitim kılavuzu.

Konu Nesnelerin İnterneti olduğunda, güvenlik hâlâ olması gereken noktada değil. Bağlantılı aygıtlarının da çoğu pek bilinmiyor. Ayrıca, Nesnelerin İnterneti’ne yönelik tehditlerin kullanıcıları deyim yerindeyse savunmasız yakalamak gibi kötü bir huyu var. Bugünkü gündemimizde zararsız gibi görünen başka bir mekanizmayı ele alacağız.

Nedense şu ve benzeri ifadelerle karşılaşıyoruz: “Şirketimiz önemli bir aktör değil; bir saldırgan için ilgi çekici bir hedef olamaz.” Bu ifade ne kadar popüler olsa da yanlış bir yoruma işaret ediyor. İşte bir APT operatörünün, tedarik zinciri saldırısında küçük bir şirketi nasıl kullandığına dair bir örnek.

2017 yılını göz önünde bulundurarak önümüzdeki yıl için sihirli küremize bakınca, kripto para madencisi görünümündeki daha yeni ve gelişmiş siber tehditlerin 2017 yılında ortalığı sallayan fidye yazılımlarını tahtından edeceğini şimdiden görebiliyoruz. Yaptığımız son araştırmanın sonuçlarına göre madenciler beklentileri karşılamakla kalmayıp bunların üzerine bile çıkmış.

Siber güvenlik dünyası kalabalık bir yer gibi görünebilir. Siber güvenlik ortağı seçme konusunda birçok çözüm birbirine benziyor olabilir. Hepsi etkileyici başarı notlarına sahiptir ve yönetilen hizmet ortaklarına (MSP’ler) farklı değerler katar.

Her zaman yaptığımızın aksine, bu sene resmi mali teftiş sonuçlarını beklemek yerine, doğrudan ön satış sonuçlarını yayınlamaya karar verdik.

Neredeyse her gün güvenlik açıkları hakkında yeni haberler duyuyoruz. İnsanlar bunları internette tartışıyor, geliştiriciler düzeltme eki yayınlıyorlar. Sonrasında da herkes sakinleşiyor. Böylece her şey yolundaymış ve sorun çözülmüş gibi görünüyor olabilir. Fakat durum böyle değil. Özellikle güncellemeleri çok çaba gerektiren ağ ekipmanlarının yazılımları söz konusu olduğunda, yöneticilerin bir kısmı bu güncellemeleri kurmuyorlar.

Her yıl, uzmanlarımız meydana gelen olayları analiz eder ve bir olayı (veya eğilimi) yılın hikayesi olarak seçer. Bu yıl tartışılacak çok fazla husus mevcut değildi: 2017 kesinlikle fidye yazılımı yılı oldu. Üç fidye yazılımı (WannaCry, ExPetrve nispeten daha az ünlü olan Bad Rabbit) çok fazla dikkat çekti ancak bunlardan sadece bir tanesi fidye yazılımı gibi görünüyor.

Fidye yazılımları, son birkaç yıldır tüm dünyada ağlar üzerinde yayılan bir salgındır. Bu yazılım işletmeler, hastaneler ve belediyeler gibi kurumları etkiler.

Bloğumuza ilk defa gelmiyorsanız, kimlik avının ne olduğunu biliyor olmalısınız. Bilmiyorsanız bu yazımızı mutlaka okuyun. Kısaca, kimlik avı kişisel verileri elde etmeyi amaçlayan bir dolandırıcılık türüdür: oturum açma, parolalar, cüzdan numaraları gibi. Asıl olarak da dijital sosyal mühendisliktir.

Sık sık şu soruyla karşılaşıyorum: “Dünyada tamamen güvenli bir şey yoksa KasperskyOS’un güvenli olduğunu nasıl söyleyebilirsiniz?”

İster bilgisayar ister akıllı telefon olsun iş cihazları nadiren yalnızca iş için kullanılıyor. Hepsi oyun, mesajlaşma ve flört uygulamalarıyla dolu. Birçok modern işletme işe müdahale etmedikleri sürece hobilere göz yummayı tercih ediyor. Fakat konu özellikle flört uygulamalarına gelince en çok risk altında olan şey, çalışan verimliliği değil. Çevrimiçi flörtün işletmeler için oluşturabileceği tehditleri belirlemek için bir araştırma yaptık.

Kaspersky Lab, değişen tehdit ortamını her zaman dikkatli bir şekilde izler. Geçmişi ve bugünü bilmek, geleceğin daha kolay tahmin edilmesini ve çeşitli piyasalar için yıllık tahminlerde bulunmamızı kolaylaştırır. Bugünkü yazımızda finans sektöründen bahsedeceğiz.

Kaspersky Lab olarak güvenlikle alakalı birçok etkinliğe büyük önem veriyoruz. Bu yüzden 14 – 15 Kasım tarihleri arasında IFINSEC Finans Sektörü BT Güvenlik Konferansı ve Sergisi’nin platin sponsoruyduk ve iki konuşmacı ile katıldık.

Konu finans sektörü olduğu için kripto para birimi konferansın ilgi çekici konularından biriydi ancak takipçilerimizin daha önceki postlarımızdan tanıdığı Küresel Araştırma ve Analiz Ekibi (GReAT) üyemiz Denis Legezo daha ilgi çekici bir konu hakkında gerçekten enfes bir sunum yaptı.

Kaspersky Security Analyst Summit (#TheSAS) nedir?

Uzmanlarımız, Silence (Sessizlik) adında, Truva Atı kullanan yeni bir hedefli saldırı keşfetti. Bu saldırı finansal kurumlara karşı düzenleniyor. Saldırının ilk hedefi Rus bankaları ancak Malezya ve Ermenistan kurumları da saldırıdan etkilenenler arasında.

Siber güvenlik ayı dün sona erdi. Ancak bu durum, en güncel siber güvenlik haberlerini ve trendlerini takip etmeyi bırakmamız gerektiği anlamına gelmez. Kasım ayının ilk gönderisinde endüstriyel kontrol sistemlerine odaklanacağız. Bu sistemlerin ne olduğunu bilmenin öneminden ve güvenliklerini nasıl sağlayabileceğimizden bahsedeceğiz.

Müşterilerinizin şirketiniz hakkındaki görüşlerini nasıl daha objektif bir şekilde değerlendirebilirsiniz? Müşterilerimiz, 1 Ekim 2016 ve 1 Eylül 2017 tarihleri arasında Gartner Peer Insights portalına ürünlerimiz hakkında 199 yorum gönderdi. Uç Nokta Koruma Platformları alanında, müşterilerimizin görüşlerine bağlı olarak 2017 Gartner Peer Insights Customer Choice Awards ödüllerinin bir parçası olan Platin Ödülü’nü aldık.

Kişisel veri sızıntıları her gün gerçekleşir. Bazıları haberlere konu olurken bazılarından kimsenin haberi bile olmaz. Bu yıl içinde, sadece Amerika Birleşik Devletleri’nde 163 milyon kullanıcı kaydı ele geçirildi (Kimlik Hırsızlığı Kaynak Merkezi’nden alınan verilere göre). Bu rakam, geçen yıl boyunca ele geçirilen toplam kullanıcı kaydının dört katı.

BT güvenlik stratejisi hakkında konuşurken işletmeler genellikle tek bir soruyla ilgilenir: Hangi önlemler yeterlidir? Uzun bir süre boyunca genel kanıya göre pasif bir strateji (ağ çevresini ve iş istasyonlarını korumak) uygulamak yeterliydi. Ancak şirketlerin gelişmiş ve hedefli saldırılara maruz kaldığı düşünüldüğünde EDR (uç nokta tespiti ve yanıtı) gibi yeni yöntemlerin gerektiği açıkça görülür.