Kurumunuzda phishing (kimlik avı) saldırılarına karşı önlem almak, hassas bilgilerinizi koruyabilmeniz ve operasyonlarınızın bütünlüğünü sürdürebilmeniz için çok önemlidir. Phishing saldırıları, çalışanları kandırarak gizli bilgileri ifşa etmeleri veya kötü amaçlı yazılım (virus, worm, spyware, adware, trojan) yüklemeleri amacıyla e-posta, kısa mesajlar (smishing, vhishing) ve sahte web siteleri dahil olmak üzere çeşitli biçimlerde olabilir.
Kurumunuzun Phishing saldırılarına karşı korumasını artırmak için almanız gereken tedbirler şunlardır:
1-Çalışan Eğitimi ve Farkındalığı
Phishing tehlikeleri ve phishing girişimlerinin nasıl fark edileceği konusunda kurum çalışanlarını eğitmek amacıyla tüm çalışanlara düzenli phishing farkındalığı eğitimi verin.
Çalışanları, özellikle hassas bilgi veya eylem talep eden e-postaların orijinalliğini doğrulamak için eğitin. Bu konuda daha fazla bilgi edinmek ve çalışanlarınızın farkındalığını artırmak adına Terranova – Security Awareness Training’e göz atın!
2-Güçlü E-posta Güvenliği
Şüpheli e-postaları çalışanların gelen kutularına ulaşmadan engellemek için gelişmiş e-posta filtreleme ve phishing’e karşı koruma çözümleri uygulayın.
E-posta iletişimini korumak için e-posta sunucularını güçlü şifreleme (TLS) kullanacak şekilde yapılandırın. Agari Phishing Defense gelen kutunuzu daha güvenli bir hale getirmek için size yardımcı olabilir.
3-Çok Faktörlü Kimlik Doğrulamayı (MFA) kullanın:
Ekstra bir güvenlik katmanı eklemek için hassas sistemlere ve hesaplara erişim için MFA’yı zorunlu tutun; bu da saldırganların yetkisiz erişim elde etmesini daha da zorlaştırır.
4-Yazılım ve Sistemleri Güncel Tutun (Frontline):
Bilinen güvenlik açıklarını gidermek için işletim sistemlerini, yazılım uygulamalarını ve eklentileri düzenli olarak güncel tutabilmek için zafiyet analizi yapın.
Sistemlerinizin en son tehditlere karşı korunmasını sağlamak için mümkün olduğunca otomatik güncellemeleri etkinleştirin.
5-Güçlü Şifre Politikaları:
Şifre karmaşıklığı gerekliliklerini (ör. uzunluk, özel karakterler) ve düzenli şifre değişikliklerini zorunlu kılın.
Karmaşık şifreleri güvenli bir şekilde oluşturmak ve saklamak için şifre yöneticilerinin kullanımını teşvik edin.
6-Web Sitenizi Güvenceye Alın
Kullanıcılar ve web siteniz arasında iletilen verileri şifrelemek için HTTPS kullanın.
Etki alanı sahtekarlığını ve kurumunuzun kimliğine bürünen (BEC – Business E-Mail Compromise) sahte web sitelerini izleyin.
7-Phishing Raporlaması
Çalışanların şüpheli e-postaları veya mesajları bildirmesi için net bir süreç oluşturun.
Kurumun etkili bir şekilde yanıt verebilmesi için çalışanları phishing girişimlerini derhal bildirmeye teşvik edin.
8- DMARC’yi (Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk) uygulayın
DMARC, e-posta sunucularının kimlik doğrulama kontrollerinde başarısız olan iletileri nasıl işlemesi gerektiğini belirleyerek e-posta sahtekarlığının önlenmesine yardımcı olur.
DMARC’yi doğru şekilde yapılandırmak, kurumunuzun e-posta alanının korunmasına yardımcı olabilir.
9-Hassas Verilerinizi Paylaşırken Dikkatli Olun
Çevrimiçi olarak, halka açık forumlarda ve sosyal medyada paylaşılan hassas bilgilerin miktarını en aza indirin.
Hassas verilere kimlerin erişebileceğini sınırlamak için sıkı erişim kontrolleri uygulayın.
10-Düzenli Güvenlik Denetimleri
Kurumunuzun savunmasındaki zayıflıkları belirlemek ve gidermek için düzenli güvenlik denetimleri ve güvenlik açığı değerlendirmeleri gerçekleştirin.
Phishing saldırılarını simüle etmek ve çalışanlarınızın yanıtlarını değerlendirmek için sızma testini kullanın.
11- Olay Müdahale Planı
Phishing saldırısı durumunda atılacak adımları özetleyen kapsamlı bir olay müdahale planı geliştirin.
Planınızı masa üstü alıştırmalar/analizler ve tatbikatlarla düzenli olarak test edin.
12-Siber Güvenlik Uzmanlarıyla İş Birliği Yapın:
Siber güvenliğin devam eden bir çaba olduğunu ve yeni phishing taktiklerinin sürekli olarak geliştiğini unutmayın. Güncel kalmak ve güvenlik önlemlerinizi buna göre uyarlamak, kurumunuzu phishing saldırılarına karşı korumak için çok önemlidir.