Etik korsanlık nedir ve kurumlara ne faydalar sağlar?
6.01.2021
Sosyal Medya

Etik korsanlık nedir ve kurumlara ne faydalar sağlar?

Siber korsanlığın bir türü olan etik korsanlık (ethical hacking) nedir, kurumlara hangi faydaları, nasıl sağlayabilir, bu yazımızda anlattık.

Büyük şüpheyle yaklaşılan bir eylem olan siber korsanlık, bir kurumun siber güvenlik programının ayrılmaz bir parçası olan yasal bir ikize sahiptir: Etik korsanlık. Bu yaklaşımda, bir kuruluşun güvenlik savunmalarını yasal olarak delme yetkisine sahip olan bilgisayar uzmanı, becerilerini kullanarak sistemin açıklarını kötü niyetli kişilerden önce saptar ve kapatılmasına destek olur.

Etik korsanların faaliyetleri, nihayetinde onları siber güvenlik alanındaki diğer işler için de hazırlar. Örneğin, bir güvenlik analisti kurumları tehlikeli ve zararlı siyah şapka (black-hat) tekniklerine karşı savunmak için bir bilgisayar korsanı gibi düşünebilmelidir.

Etik korsanlık nedir?

Etik korsanlık, mühendislerin güvenlik sistemlerindeki boşlukları belirlemek için bir kuruluşun güvenlik savunmalarını aştıkları, kurum tarafından yetkilendirilmiş bir yaklaşımdır.

Etik bilgisayar korsanları, kurum varlıklarını tehditlere ve güvenlik ihlallerine maruz bırakabilecek güvenlik açıklarını özenle ararlar. Sızma testi olarak da bilinen süreç, siber suçluların güvenlik açıklarından yararlanmak için kullandıkları teknik ve taktikleri taklit etmeyi içerir.

Sistemlere sızmak için kullanılabilecek sistem günlüklerini toplamak amacıyla Güvenlik Bilgi ve Eylem Yönetimi (SIEM) gibi modern yöntemler kullanılır. Zafiyet tarayıcılar ile sızma teşebbüsünde bulunulacak noktalar keşfedilir ve daha birçok siyah şapkalı yöntemin taklidiyle, BT varlıkları izlenir ve kötü niyetli saldırganların faydalanabileceği güvenlik açıkları ortaya çıkarılır.

Etik hacker'lar hangi tehditleri tespit eder?

Etik korsanlık yöntemi sayesinde kuruluşunuzun güvenlik yaklaşımını sağlamlaştırmak için aşağıdaki belirtilenler gibi tehditleri ve daha fazlasını belirleyebilirsiniz:

Bozuk kimlik doğrulama

Saldırganlar, bir web uygulamasındaki kimlik doğrulama sürecini atlamak için bu güvenlik açığından yararlanır. Kimlik bilgilerinde gezinme gibi otomatik saldırıları önlemek için bozuk kimlik doğrulamasının test edilmesi gerekir.

Enjeksiyon saldırıları

Bu, bir tehdit aktörünün bir programda güvenilmeyen girdiler sağladığı geniş bir saldırı vektörüdür. Yorumlayıcı saldırıyı bir komutun veya sorgunun bir parçası olarak işlerken, korsan programın yürütülmesini değiştirir.

Yanlış güvenlik yapılandırmaları

Bunlar, bir kuruluşun güvenlik yaklaşımında genellikle dışarıda bırakılabilen boşluklardır. Açık Web Uygulaması Güvenlik Projesi'nde (OWASP) en kritik güvenlik açığı olarak listelenmiştir. Siyah şapkalı bilgisayar korsanlarından önce bu yapılandırmaları saptamak ve onarmak önemlidir.

Bileşenlerdeki güvenlik açıkları

Saldırganlar, geliştirici tarafından göz ardı edilebilen bileşenlerdeki güvenlik açıklarından yararlanır. Bunları otomatik güvenlik açığı tarayıcıları kullanarak tanımlayabilirsiniz ancak bazılarının daha ayrıntılı incelemeye ihtiyacı olabilir.

Hassas verilerin açığa çıkması

Bu, bir kuruluşun kritik verilerini riske atabilecek bir güvenlik açığıdır. Bir güvenlik ihlaline neden olabileceğinden OWASP'teki ilk 10 güvenlik açığı arasında listelenmiştir. Hassas veriler arasında telefon numaraları, parolalar, sağlık kayıtları, kredi kartı numaraları ve benzeri hassas bilgiler yer alır.

Etik korsanlık kurumlara ne fayda sağlar?

Etik korsanlık, organizasyonunuzu veya kurumunuzu gelişen saldırı vektörlerine karşı savunma katmanlarıyla donatmanıza yardımcı olur. Potansiyel saldırı yüzeylerini kötü niyetli kişilerden önce belirlemenizi ve hassas verilerin çalınmasını veya kötüye kullanılmasını önlemenizi sağlar.

Güvenlik açıklarını belirleme

Etik bilgisayar korsanları, BT altyapınızdaki gerçek korsanlık senaryosunda yararlanılabilecek güvenlik açıklarını belirlemek için güvenlik açığı taraması yapar. Güvenlik açıklarını tespit etmek için kaynak kodları da analiz edilebilir. Güvenlik açıklarını belirlemek için başka bir popüler teknik daha var: Bu teknikte kasıtlı olarak bir programa müdahale edip onun çökmesine neden olunur. Sonuç olarak güvenlik sorunlarını ortaya çıkaran bu tekniğe bulandırma adı verilir.

Verilere yetkisiz erişimi önleme

Veri güvenliği tehditleri ve güvenlik açıkları, altyapıyı koruyan güvenlik duvarında sona ermiyor. Etkili bir veri güvenliği yaklaşımı oluşturmak için kuruluşların kritik değerlendirme ve testlerle kendi güvenlik yapılarına meydan okumaları gerekir. Etik korsanlık, siyah şapkalı bilgisayar korsanının yöntem ve tekniklerini taklit ederek, deneyimlerden öğrenerek ve sorunu çözerek bunu yapmanıza yardımcı olur. Şirketlerin uyumluluk standartlarını takip etmelerine yardımcı olur ve bir müşterinin verilerinin ve bilgilerinin yeterince korunduğuna dair güvence sağlar.

Güvenli ağ yaklaşımı

Etik korsanlık, güvenlik açığını tespit etmek için mimariyi inceleyip güçlendirerek ağ altyapılarının iyileştirilmesine yardımcı olur. Şirketlerin ağ bağlantı noktalarını güvenli hale getirerek, güvenlik duvarlarını yapılandırarak ve yöneticilerin en son ağ güvenliği politikalarını belirleyip uygulamasına fırsat vererek daha güçlü bir teknik altyapı oluşturulmasına olanak tanır. Şirketlerin ağlarını potansiyel siber tehditlerden korumasına, kesinti sürelerini önlemesine ve itibarlarını korumasına yardımcı olur.

Siber saldırıları önleme

İşletmeler, siber saldırılar nedeniyle itibar kaybının yanı sıra ek olarak ağır para cezalarına çarptırılabilir. Cezalar, HIPAA, GDPR, PCI-DSS ve benzeri uygunluk standartlarına uyulmaması nedeniyle verilebilir.

Öne Çıkan Yazılar
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital dönüşümde, sürecin ilerleyen adımlarına bırakılan siber güvenlik, planlama aşamasında ele alınarak dijitalleşmeye...
18.09.2020
Güvenlik
İki faktörlü kimlik doğrulama (2FA) internette güvende kalın
İki faktörlü kimlik doğrulama (2FA) ile internette güvende kalın
İki faktörlü kimlik doğrulama ya da kısaca 2FA olarak bilinen güvenlik önlemi, internetteki giriş işlemlerinde hızlı ve pratik...
28.09.2020
Güvenlik
KVKK Hakkında Bilinmesi Gerekenler  
KVKK Hakkında Bilinmesi Gerekenler
Bilgi teknolojilerinin yaygınlaşması, bazı güvenlik risklerini de beraberinde getiriyor. Bireylerin yanı sıra, kurumların...
20.08.2020
Güvenlik
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO27001 2013 revizyonu ile neler değişti? Belgelendirme ve belge yenilemesi sürecinde şirketleri neler bekliyor?
11.11.2013
Güvenlik
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı Güvenliğinde Ziyaretçi Karşılama Teknolojileri
İş Sağlığı ve Güvenliği Yasası (Kanun No.6331), TBMM tarafından kabulünden sonra, 30 Haziran 2012 tarih ve 28339 sayılı Resmi...
8.08.2016
Güvenlik
ISO 27000:2014 güncellemesinin getirdiği yenilikler
ISO 27000:2014 güncellemesinin getirdiği yenilikler
ISO/IEC 27000 serisi hakkında genel bilgi edinmek ve güncellenen ISO 27000:2014 revizyonu ile standartta yapılan değişikliklerden...
9.06.2014
Güvenlik