Sıfır gün güvenlik açığı, tedarikçi bir güvenlik açığından henüz haberdar olmadan önce saldırganlar tarafından keşfedilen bir yazılım güvenlik açığıdır. Tedarikçi farkında olmadığı için sıfır gün güvenlik açıkları için herhangi yama henüz yoktur ve bu da saldırıların başarılı olma olasılığı yüksektir.
Zero-day zafiyeti, yazılım satıcısının ya da geliştiricisinin fark etmeden önce kötü amaçlı kişiler tarafından fark edilip kullanılan bir yazılım güvenlik açığıdır. Burada zero-day terimi, geliştiricinin açığı yeni öğrenmesinden kaynaklı olarak kullanılır.
Zeroday (Sıfırıncı gün açıklıkları) daha önceden bilinmeyen veya tespit edilmemiş ancak ciddi saldırılara yol açacak zafiyetler barındıran yazılım veya donanım kusurlarıdır. Zeroday açıklıkları çoğunlukla saldırı gerçekleşene kadar tespit edilmesi zor olan zafiyetlerdir.
Vulnerability (Güvenlik Açığı), herhangi bir yazılımın veya web yazılımının içerisinde yer alan sistem hatalarıdır. Bu açıklar yada sistem hataları kullanıldığında kötü niyetli kişiler sisteme sızarak açığın imkan verdiği şekilde bilgilere erişebilir veya değiştirme hakkına sahip olabilir.
Sıfır gün saldırısı, bilinmeyen veya yeni keşfedilen bir yazılım/donanım güvenlik açığı olan sıfır gün güvenlik açığından yararlanmayı başaran bir siber saldırıdır.
İlgili 28 soru bulundu
DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi. DDOS (Distrubuted Denial of Service) DOS saldırısının yüzlerce, binlerce farklı sistemden saldırısının yüzlerce, binlerce farklı sistemden yapılması. Genellikle spoof edilmiş ip adresleri ve zombiler kullanılır.
Uygulama saldırıları (diğer adıyla uygulama katmanı DDoS saldırıları), belirli bir uygulamadaki belirli güvenlik açıklarına veya sorunlara saldırmak için tasarlanmıştır ve bu da uygulamanın kullanıcıya içerik sunamamasına neden olur.
Güvenlik açıkları, birçok farklı faktörden kaynaklanabilir. Yazılım hataları, tasarım hataları, zayıf şifreleme yöntemleri, kötü yapılandırma, güncelleme ve yama eksiklikleri, kullanıcı hataları veya kötü amaçlı yazılımların sistemlere sızması gibi faktörler, güvenlik açıklarının ortaya çıkmasına katkıda bulunabilir.
Gizlilik, Bütünlük ve Erişilebilirlik olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zaafi yeti oluşur.
Saldırganlar bir başka kullanıcının sahip olduğu nesne değerlerlerini taklit veya manipüle edebilmektedir. Böylelikle hedeflediği kişinin uygulama üzerindeki kimlik bilgilerini elde etmiş olurlar. Bu saldırı yöntemi IDOR (Insecure Direct Object References) olarak tanımlanır.
Siber bir saldırgan, çok sayıda cihazı enfekte eder, kontrollerini ele geçirir ve bu cihazları bot'lara dönüştürür. Tüm bu cihazları belirli bir IP adresine uzaktan yönlendirir ve bu da ilgili adresteki hizmetin çökmesine neden olur. DDoS saldırıları 24 saatten uzun sürebilir ve takip edilmeleri oldukça zordur.
Tarayıcıdaki adam saldırısı, ağ düzeyinden ziyade uygulama düzeyinde müdahale ile özdeştir. Kimlik avı saldırılarının aksine, kullanıcının kötü amaçlı bir web sitesini ziyaret etmesi gerekmez. Bunun yerine, kullanıcı meşru bir web sitesini ziyaret eder, ancak gerçekte gördükleri saldırgan tarafından kontrol edilir.
Man-in-the-middle saldırısı (Türkçe: aradaki adam saldırısı veya ortadaki adam saldırısı, İngilizce kısaltması MITM saldırısı), saldırganın birbiri ile doğrudan iletişim kuran iki taraf arasındaki iletişimi gizlice ilettiği veya değiştirdiği saldırı türüdür. İletişim ağı üzerinde veri paketleri serbestçe dolaşır.
Ortaya çıkan bu sınıflandırmaya göre bilgi güvenliği: ağ güvenliği (network security) uç/son nokta/kullanıcı güvenliği (endpoint security) veri güvenliği (data security)
Bilgi Güvenliği: Bilgi Güvenliği ve Kullanıcı Sorumluluğu
Bilgi güvenliğinin sağlanmasından herkes sorumludur. Bundan 20 yıl kadar önce, bilgisayar ve internet günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere sahip değildi.
Bilgi güvenliğinin sağlanmasından herkes sorumludur. Bu sorumluluklar yasal olarak da ifade edilmiş ve 5651 sayılı kanun "İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi" amacı ile düzenlenmiştir.
Güvenlik açığı, bir sistem, yazılım, ağ veya diğer bilgi teknolojilerinde, yetkisiz erişim, veri sızdırma, sistem çökmesi veya başka zararlı etkilerin oluşabileceği zayıf noktalara verilen genel bir isimdir.
Sızma Testi (Pentest) Aşamaları Ve Kullanılan Araçlar. Sızma yani penetrasyon testi, insan odaklı bir güvenlik açığı tespit sürecidir ve işletmelerin siber zayıflıkları tespit etmek için kullandığı birincil yöntemdir.
3.1 Bilgi Güvenliği İhlal Olayı
Kurumun bilgilerinin gizliliğini, bütünlüğünü veya kullanılabilirliğini herhangi bir biçimde etkileme potansiyeline sahip herhangi bir olaydır.
Smishing, cep telefonlarını saldırı platformu olarak kullanan bir kimlik avı biçimidir. Saldırgan, sosyal sigorta ve/veya kredi kartı numaraları dahil olmak üzere kişisel bilgileri toplamak amacıyla saldırıyı gerçekleştirir.
Siber saldırıların en yaygın ve en eski türü olan kötü amaçlı yazılımlar; bilgisayarlara, sunucuya, istemciye, cihaza ya da bilgisayar ağına zarar vermek için tasarlanan virüsler, fidye yazılımları, truva atları ve botnet'ler gibi tehditleri kapsar.
Bu siber saldırı sürecinde ilk adım, internet kullanıcısını kandırmak ve onunla ilgili kredi kartı bilgisi, hesap numarası, hesaba ait olan online şifre gibi özel bilgileri ele geçirmektir.
En etkili DDoS ataklar, mobil telefon, bilgisayar veya Nesnelerin İnterneti cihazların kontrolünü, onlara yerleştirdikleri Malware'lar ile sağlayan Botnetler tarafından yapılmaktadır. Saldırganlar Botnetleri istedikleri zaman uzaktan kontrol ederek DDoS saldırısı yapabilirler.
5237 sayılı TCK'nun 244/1. maddesi uyarınca “Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.” O halde, DDoS saldırıları “bir bilişim sisteminin işleyişinin engellenmesi” fiiline karşılık geldiğinden, TCK m. 244'te öngörülen suça vücut vermektedir.
DDoS ise sistemin kaldırabileceği yükün çok üzerinde anlık kullanıcı sayısı, anlık istek ile sistemi yorup cevap veremez hale getirerek veya hattı doldurarak sistemin erişilebilirliğini engellemeye yönelik bir saldırı türüdür.
Benzer sorularSıkça sorulan sorular
DuyuruReklam alanı
Popüler SorularSıkça sorulan sorular
© 2009-2024 Usta Yemek Tarifleri