Siber saldırı dijitalleşmedeki artışa paralel olarak ivme kazanırken, özel sektörde faaliyet gösteren büyük şirketler bu saldırıların etkilerini özellikle finansal kayıp ve itibar kayıpları şeklinde yaşıyor. Türkiye Siber Güvenlik Kümelenmesi üyesi siber güvenlik şirketi SwordSec’nun, bu yılın ilk çeyreğine yönelik Türkiye Saldırı Yüzeyi Raporu’nda; Fortune Türkiye tarafından açıklanan ‘Türkiye’nin en büyük 500 şirketi’, sektörel olarak potansiyel siber güvenlik riskleri açısından değerlendiriliyor ve alınması gereken önlemler belirtiliyor. 2021 yılı sıralamasına göre, bu şirketlerin 30’a yakını tekstil sektöründe faaliyet gösteriyor.
Çalışma için, şirketlerin dijital varlıkları, e-posta güvenliği, web sunucular, aktif zafiyetli sunucular, kritik portlar ve servisler, DNS güvenliği gibi kriterlerde incelendiği raporda, Türkiye’de faaliyet gösteren e-ticaret ve tekstil sektörlerinin, belirtilen kriterler açısından en riskli gruplar olduğu belirtiliyor. Raporda toplamda 39 sektörde faaliyet gösteren şirketlere ait 84 bin 100 aktif subdomain ve 14 bin 478 açık port veya aktif servise ilişkin veriler yer alıyor.
Saldırı yüzeyi genişledikçe risk faktörü artıyor
Bir şirketin, sistemin veya kritik bir altyapının, saldırganlara açık tüm alanlarını ifade eden saldırı yüzeyinin genişlemesinde; sistemlerin dijital izleri, dijital varlıkları, kullandıkları teknolojiler, versiyonlar gizli anahtarlar ve uygulama yolları rol oynuyor. Bu dijital varlıklar ve izler ne kadar çok ise tehdit ve risk faktörü de o oranda artış gösteriyor. Saldırganlar sistemleri ele geçirmek için saldırı yüzeyine odaklanıyor ve sistemler hakkında edinebilecekleri her bilgi oldukça önem taşıyor.
SSL sertifikası eksiğinin en fazla olduğu sektör tekstil
Raporun değerlendirme kısmında, Türkiye ekosistemindeki firmaların normalden yüksek saldırı yüzeyine sahip olduğunun görüldüğünün altı çiziliyor. Şirketlerde bilgi güvenliği yöneticisi sayısının yetersizliği, bilgi düzeylerinin yüksek olmaması ve gerekli teknolojik araçların/ürünlerin/hizmetlerin alınmaması bu durumun nedenleri olarak sıralanıyor.
Siber saldırıların en fazla web kaynaklı olarak yaşandığına işaret edilen raporda, tekstilin, web sitelerinde verilerin şifrelenerek okunmasını engelleyen SSL (Secure Socket Layer) sertifikası eksiğinin en fazla olduğu sektör olduğu belirtiliyor.
Siber saldırı karşısında hangi önlemler alınmalı?
E-posta kimlik doğrulama yöntemleri ve web sunucu güvenliğindeki eksiklikler, sayfa başlıklarındaki hatalar saldırganların ilgisini çekip siber saldırılara kapı aralıyor. Çok sayıda şirketin e-posta altyapısında yurt dışı menşeli bir servis sağlayıcı kullandığına dikkat çekilen raporda, e-posta güvenliği için şirketlere kendi mail sunucularını yapılandırmaları tavsiye ediliyor.
Saldırı yüzeyinin azaltılması için izlenebilecek bazı önlemler ise şu şekilde sıralanıyor: web site ve uygulamalarının arka planda çalışan servislerinin dışarıya açık olmaması (veri tabanı, bulut depolama ve benzeri); çalışanların güçlü şifre kullanması ve şifre güvenliği konusunda bilinçlendirilmeleri; sunucularda çalışan servislerin konfigürasyonlarının yapılması; sunucu üzerindeki eski servislerin kapatılması; sunucular üzerinde çalışan servislerin güncel olmaları; sunucunun bağlantılara verdiği cevaplarda bilgi sızıntısına sebep olabilecek başlık bilgilerinin kapatılması.
“Büyük şirketler küçük zafiyetlerle saldırıya uğrayabiliyor”
SwordSec Siber Güvenlik Teknolojileri A.Ş. Genel Müdürü Seyfullah Kılıç, rapordaki verilere ilişkin, bugün siber casusların hedefini büyük şirketlere yönelttiğini dile getirdi. Bunun, siber saldırganların amacının para kazanmak olduğunu gösterdiğini belirten Kılıç, günümüzdeki teknolojik gelişmeye bakıldığında, büyük şirketlerin küçük zafiyetlerle saldırıya uğrayabildiğinin ve sonucunun yıkıcı olabildiğinin altını çizdi. Kılıç: “Devletler ve şirketler düzeyinde son yıllarda yapılan saldırıların hemen hemen hepsi hedef odaklı siber saldırılardır. Şirketler kendilerini sürekli izleyerek korunmalı. Güncel zafiyet bildirilerini takip etmeleri ve personellere dikkat çekici siber güvenlik eğitimleri vermeleri gerekiyor” dedi.