siber güvenlik - ministry of health...bilgi güvenliği farkındalığı bilgi bir kurumun iş...
TRANSCRIPT
Her geçen gün bilgi güvenliğinin hayatımızda daha fazla yer kapladığı ve önemli olduğu bu dönemde; UITSEC olarak 13 yıllık tecrübemizle beraber, bilgi güvenliği terimlerini ve farkındalığı arttıracak önerileri bir arada toplamanın ve bu kaynağı oluşturmanın haklı gururu içerisindeyiz. Sektöre yeni girenler ve halihazırda sektör çalışanları için yararlı bir kaynak olacak bu çalışmayı
sizlere sunmaktayız.
ÖNSÖZ
Bilgi Güvenliği Farkındalığı
Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve
kurumlarla paylaşır. Kurum çatısı altında çalışanların bilgilerinin korunması büyük önem taşır. Bu yüzden, çalışanlar bilgi güvenliği konusunda eğitilmeli ve
farkındalık sağlanmalıdır.
1. Temiz masa temiz ekran politikasına uyulmalıdır.
2. Bilgisayardan uzaklaşırken bilgisayar mutlaka kilit ekranına geçirilmelidir.
3. Bil inmeyen kaynaklardan gelen dosyalara karşı dikkatl i olunmalı, güven vermeyen kaynaklar kullanılmamalıdır.
4. Kaynağı bell i olmayan depolama aygıt ları bi lgisayara takılmamalı, diğer depolama aygıtlarını kullanırken tarama yapılmalıdır.
5. Bilgisayar güvenliği için, zararlı yazılımlara karşı önlemler alınmalı ve APT-Malware analizleri yapılmalıdır.
6. Bilinmeyen kaynaklardan gelen e-postalara karşı dikkatli olunmalıdır. E-posta içeriği dikkatle okunmalı ve kurum içi veya kurum dışından gelen e-postalara dikkatli yaklaşılmalıdır.
7. Kullanıcı adı ve parolaların yüksek güvenlik düzeyinde olmasına dikkat edilmelidir. Bu parolalar en az 8 haneli olmalı, sayı, harf ve özel karakter içermelidir.
8. Kullanıcı bilgileri üçüncü şahıslarla asla paylaşılmamalıdır.
9. Kimlik kar tları güvenli şekilde saklanmalı ve üçüncü şahıslarla paylaşılmamalıdır.
Farkındalık Sağlamak İçin Yapılması Gerekenler
10. Kurum içi gizli bilgi ve belgelerden kurum dışında bahsedilmemeli, kurum içinde paylaşımına dikkat edilmelidir.
11. Yazıcıdan çıktı alırken etrafta belge bırakılmamalıdır. Kimlik kartları ile çıktı alınmasına dikkat edilmelidir.
12. Hassas veri içeren kişisel baskılar, notlar, belgeler kullanım sonrası imha edilmeli, çöp kutuları dâhil olmak üzere okunur şekilde atılmamalıdır.
13. Bilgileriniz belirli aralıklarla yedeklenmeli, bilgileriniz ve yedeklediğiniz alan korunmalıdır.
14. Bilgiler ile yedekler farklı ortamlarda tutulmalıdır.
15. Lisanssız yazı l ım kul lanı lmamalıdır.
16. Bilinmeyen e-posta ve haber gruplarına üye olunmamalıdır.
17. Kişisel dosyalar kurum içinde kullandığınız e-posta adresinizden gönderilmemelidir.
18. İnternete erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır.
19. Kurum bilgisayarı i le Bluetooth ve 3G modemlerle internet bağlantısı yapılmamalıdır.
20. Güvenilir olmayan sitelerden yazılımlar indirilmemeli ve kullanılmamalıdır.
21. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kul lanmanız ı gerekt i recek uygulamalar kul lanı lmamal ıd ı r.
22. Kullanı lan yazı l ımlar ın güncel l iği sağlanmalıdır.
23. Herkese açık olan blog ve tartışma forumları gibi sosyal medya ortamlarında kurumsal kimlik kullanımından kaçınılmalıdır.
24. Web sitelerinin URL’lerine dikkat edilmelidir. Sahte web siteleri genellikle gerçek bir siteyle aynı görünür fakat URL yazımı veya alan adı (domain) farklıdır.
25. Eğer girdiğiniz sistemde varsa sanal klavye kullanılmalıdır.
26. Sosyal medya üzerinden kişisel veriler sınırlandırılmalı, gizlilik ayarları yapılmalıdır.
27. Tanımadığınız ve beklemediğiniz telefon aramalarına doğrulama için geri arama yapılmalı, bilgi isteyen kişiden kimlik bilgisi istenmeli (sicil no, banka kartı personel numarası), diğer taraftan kimlik bilgisinin doğrulanması için sorgulama yapılmalı, aceleci davranmadan soğukkanlı, karşı taraftan emin olarak bilgi verilmelidir.
28. Önemli verilerinizin bulunduğu bilgisayarınızla kurum dışındaki şifresiz Wi-Fi ağlarına bağlanılmamalıdır.
29. Şifreli bir ortak Wi-Fi ağına bağlanırken admin hesabı değil guest hesabı kullanılmalıdır.
30. “Kurumsal bilgi güvenliği sadece teknolojiyle sağlanır” yaklaşımından uzaklaşılarak, bilgi güvenliğinin insan-eğitim-teknoloji üçgeninde yeni bir yaklaşımla sağlanacağı unutulmamalıdır.
“
ACL
Erişim Kontrol Listesi
Access Control List
Bir nesne üzerinde atanan veya reddedilen erişim izinleri konusunda kullanıcıları ve grupları tanımlayan bir yetkilendirme kısıtlama mekanizmasıdır.
Açık Anahtar Altyapısı
Asimetrik şifreleme ve dijital sertifika uygulamalarını kullanarak dijital ortamda güvenli işlemler gerçekleştirme olanağı tanıyan altyapıdır.
PKI
Public Key Infrastructure
Asimetrik şifreleme ve dijital sertifika uygulamalarını kullanarak dijital ortamda güvenli işlemler gerçekleştirme olanağı tanıyan altyapıdır.
Adli Bilişim
Bilişim suçları davalarında, olay yerinde suça konu olan dijital delillerin zarar görmeyecek ve değiştirilmeyecek şekilde toplanması, toplanan verilerin mahkeme sürecinde olayın aydınlatılması adına kullanılabilmesi gibi süreçleri içeren bilim dalıdır.
Computer Forensics
Adli İnceleme
Bir siber güvenlik olayının nasıl meydana geldiğini veya kimler tarafından gerçekleştir i ldiğini belirleyebilmek için dijital kanıtların toplanması, değerlendirilmesi, belgelendirilmesi ve sınıflandırılması sürecidir.
Digital Forensics
Bir siber güvenlik olayının nasıl meydana geldiğini veya kimler tarafından gerçekleştir i ldiğini belirleyebilmek için dijital kanıtların toplanması, değerlendirilmesi, belgelendirilmesi ve sınıflandırılması sürecidir.
Adware
Bilgisayarınızda reklamları otomatik olarak gösteren yazılımdır. Bir uygulamayı kullandığınızda bilgisayarınızda otomatik olarak reklamlar bir anda ekranda belirir.
Zararlı ReklamYazılımı
AES
Gelişmiş Şifreleme Standardı
Advanced Encryption Standard
128 ila 256 bit anahtar boyutlarını kullanan simetrik bir şifreleme algoritmasıdır.
Ağ TrafiğiAnalizi
Ağ üzerindeki gelen ve giden trafiğin ve bu trafik üzerinde taşınan paketlerin analiz edilmesi sürecidir.
Network Traffic Analysis
Alarm Durumu
Kurum içinde meydana gelen herhangi bir kesinti kritik seviyeye ulaştığında ve kesintiyi giderecek çözüm bulunamadığında yaşanan durumdur.
Alert Situation
Kurum içinde meydana gelen herhangi bir kesinti kritik seviyeye ulaştığında ve kesintiyi giderecek çözüm bulunamadığında yaşanan durumdur.
Anahtar Risk Göstergesi
KRI
Key Risk Indicator
Önemli riskleri tahmin etme olasılığı oldukça yüksek risk göstergesi olarak ifade edilebilir. Risk konusunda yanılması güç bir göstergedir.
Anonymizing Proxy
Kullanıcının web aktivitesini gizlemesini sağlar. Genellikle web güvenlik filtrelerini atlatmak için kullanılır.
Anti-malware
Bilgisayar virüsleri, solucanlar, trojanlar, zararlı tarayıcı eklentileri, adware ve spyware dâhil olmak üzere birçok malware tehdidini tespit etmek veya ortadan kaldırmak için yaygın olarak kullanılan teknolojidir.
AsimetrikŞifreleme
Şifre ve deşifre işlemleri için farklı anahtarların kullanıldığı bir şifreleme tekniğidir.
Public Key
APT
Gelişmiş Kalıcı Tehdit
Kritik verileri ele geçirme sebebiyle gerçekleştirilen hedef odaklı saldırılardır. Belirli bir hedefe veya kuruma yöneliktir, geleneksel güvenlik mekanizmalarını atlatabilir. Bu özellikleri sebebiyle tespit edilmesi zordur.
Advanced Persistent Threat
Backdoor
Bir sisteme dışarıdan sızılabilmesi için sistemde açık oluşturmak amacıyla kullanılan bir sanal ajandır.
Bilgi Güvenliği
Bilgilerin izinsiz kullanımını, ifşa edilmesini, yok edilmesini, değiştirilmesini, zarar görmesini veya bilgilere yetkisiz kişilerce erişilmesini engellemek için yürütülen faaliyetler bütünüdür.
Information Security
Botnet
Hacker tarafından uzaktan kontrol edilen virüslü bilgisayarlardır. Hackerlar botnetleri DDoS saldırısı yapmak için de kullanabilir. Binlerce bilgisayarın aynı anda aynı web sitesine erişmesini sağlayabilir. Böylece, websunucusu tüm istekleri karşılamada zorlanır ve siteye erişim engellenir.
Brute Force Saldırısı
Deneme-yanılma yöntemiyle şifrelerin çözülmesi için kullanılan yöntemdir. Brute Force saldırısında hackerlar bir sisteme veya dosyaya yetkisiz erişim sağlamak için çok fazla sayıda şifre ve anahtar kelime kombinasyonu dener.
Buffer Overflow
Değişkenlere varsayılandan büyük veriler girerek taşmaya sebep olunması ve bu sayede istenen bir kodun çalıştırılması olarak tanımlanabilir.
Arabellek Taşması
Bulut Bilişim
Bulut Bilişim tüm uygulama, program ve verilerin sanal bir sunucuda yani bulutta depolanmasıdır. İnternete bağlı olunan herhangi bir ortamda cihazlar aracılığıyla bu bilgilere kolayca erişim sağlanabilir.
Cloud Computing
Bütünlük
Bilgilerin kasti, yetkisiz veya kazaya bağlı değişikliklerden korunması prensibidir.
Integrity
CookieÇerez
Cookie’ler web sitelerinde dolaşırken bilgilerin, şifrelerin kaydedildiği, o web sitesine tekrar girildiğinde bilgilerinizin hatırlanarak giriş yapıldığı dosyalardır.
Çevreleme PolitikasıContainment Policy
Bir olay tespit edildiğinde ve doğrulandığında etkilerin minimum düzeye indirilmesi için atılan adımları içeren politikadır.
Çok Faktörlü KimlikDoğrulaması
MFA Çift aşamalı güvenlik seviyesi olarak kullanıma sunulan yöntemdir.
Multi-Factor Authentication
DMZ
Savunmasız bölge olarak ifade edilebilir. Güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bölgedir.
Demilitarized Zone
DNS
Alan Adı Sistemi256 karaktere kadar uzayabilen alan adı isimlerini IP’ye çevirmek için kullanılan hiyerarşik veritabanıdır.
Domain Name System
DNS Hijacking
DNS hijacking saldırısında saldırgan bilgisayarın ayarlarını DNS’i görmezden gelecek şekilde değiştirir veya kendisi tarafından kontrol edilen bir DNS sunucusu kullanır. Saldırganlar iletişimi sahte sitelere yönlendirir. Kullanıcılar genellikle giriş bilgilerinin ele geçirilmesi için sahte sitelere yönlendirilir.
DoS Saldırısı
Saldırının amacı hedef alınan sistemi hizmet veremeyecek hale getirip servisi durdurmaktır. Hedefe çok fazla paket gönderilip servis işlemez duruma getiril ir.
Denial of Service
E-MailMalware
E-mail aracılığıyla yayılan bir zararlı yazılımdır.Virüslerin yayılması için kullanıcının ekteki dosyaya veya linke tıklaması gerekir.
En Düşük Erişim Hakkı İlkesi
Bir görevi tamamlamak için gereken en düşük erişim hakkını sağlamak amacıyla kullanılan kontrollerdir.
Principle of least privilege
Eradikasyon
Ortadan KaldırmaEradication
Olay kontrol altına alındıktan ve gerekli önlemler uygulandıktan sonra olayın asıl nedeni tespit edilir ve tamamen ortadan kaldırılır.
Erişim Hakları
Veri sahipleri veya bilgi güvenliği politikası tarafından oluşturulan kurallara uygun olarak bir sistemde bulunan verileri silmek, değiştirmek veya görüntülemek için kullanıcılara veya programlara verilen izindir.
Access Rights
Etki Analizi
Siber olayların veya tehditlerin maliyetleri baz alınarak bilgi kaynaklarının kurum açısından kritiklik seviyelerinin tespitedilmesi amacıyla gerçekleştirilen çalışmadır.
Impact Analysis
Exploit
Sistemlerde veya programlarda bulunan zafiyetler veya hatalar için kullanılır. Bu zafiyetleri exploit eden hackerlar sistemlere ciddi hasarlar verir.
Felaket
Ciddi zararlara veya kayıplara sebep olan planlanmamış olaydır. İşletmenin kritik iş süreçlerinin aksamasına sebep olur. Bir felaket meydana geldiğinde felaket kurtarma planı devreye sokularak olayın çözülmesi amaçlanır.
Disaster
FelaketKurtarma Planı
Bir felaket veya acil durum meydana geldiğinde iş süreçlerinin aksamaması için olaya zamanında müdahale etmek veya etkilerini minimum seviyeye indirmek için başvurulabilecek fiziksel, teknik ve yöntemsel kaynakları içeren plandır.
Disaster Recovery Plan
FTP
Dosya Aktarım Protokolü
File Transfer Protokol
İnternete bağlı bilgisayarlar arasında dosya transferi yapmak için kullanılan bir internet protokolüdür.
Geriye Kalan(Artık) Risk
Yönetim risk müdahalesi sürecini tamamladıktan sonra geriye kalan riski ifade eder.
Gizlilik
Gizlilik, ‘bilinmesi gerekenler’ bazındaki bilgilerin sadece yetkili kişilerin, süreçlerin veya sistemlerin erişimine açık olmasını öngören “en düşük erişim hakkı” prensibi olarak tanımlanabilir.
Confidentiality
Güvenli Elektronik İşlem
SET Elektronik ticarette, bilgi aktarımının güvenli bir şekilde sağlanması için kullanılan internet protokolüdür.
Secure Electronic Transaction
Hacktivizm
Hacktivizm siyasi ve toplumsal amaçlarla gerçekleştirilen faaliyetleri tanımlamak için kullanılan bir terimdir. Kuruluşlar, hükümetler, şirketler ve bireyler hedef alınır.
HoaxAsılsız Uyarılar
Kullanıcıları kandırmak veya dolandırmak için internet üzerinden yayılan asılsız uyarılardır.
Honeypot
Yetkisiz erişimleri tespit etmek, zararlarından kaçınmak ya da önlemek amacıyla kurulan bir çeşit tuzaktır. Genellikle güvenlik uzmanları tarafından kullanılır. Mevcut tehditler ve saldırılarla ilgili bilgi toplanması amaçlanır.
IaaS
Altyapının servis olarak sunulması olarak adlandırılabilir. Bu en temel bulut hizmet modelinde, sunucular bulut sağlayıcılar tarafından fiziksel veya sanal makineler olarak sunulur. Kullanıcı, hizmeti sağlayan firmaların sanallaştırılmış altyapısından işlem gücü ve depolama alanı gibi hizmetler satın alır.
Infrastructure as a Service
Injection
Uygulamanın içine, uygulama tarafından daha sonra çalıştırılacak olan zararlı kod enjekte etmeyi içeren saldırı türleri için kullanılan terimdir.
IP GüvenliğiIPSec
IP (internet protokolü) kullanılarak yapılan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan protokol paketidir.
ISO
UluslararasıStandartlar Organizasyonu
International Standards Organization
Dünyanın en büyük gönüllü Uluslararası Standart geliştiricisidir.
İçerik Filtreleme
Gelen ve giden paketlerin içeriklerinin analiz edilerek ağa erişimin kontrol edilmesi, engellenmesi veya izin verilmesidir.
Content Filtering
İki Faktörlü Doğrulama
Doğrulama için iki bağımsız mekanizmanın kullanılmasıdır.
Two-Factor Authentication
İş Etki Analizi
BIABusiness Impact Analysis
Bilgi varlıklarının kritiklik seviyeleri analiz edilir. İş etki analizi kapsamında, kurum içerisindeki işlemler ve süreçler önceliklendirilerek olası birkesintide işletmenin uğrayacağı risk değerlendirmeleri gerçekleştiril ir.
İş Sürekliliği Planı
BCPKritik iş süreçlerinin kesintiye uğraması durumunda kurum tarafından devreye sokulan plandır.
Business Continuity Plan
İyileştirme
Zafiyetler tespit edildikten ve değerlendirildikten sonra, zafiyetleri gidermek veya etkilerini minimum düzeye indirmek için uygun iyileştirme ve onarım çalışmaları gerçekleştiril ir.
Remediation
İzinsiz Giriş Önleme Sistemi
IPS Ağ veya sistemi kötü niyetli aktivitelerden korumak için sürekli izleyen sistemdir. Saldırıları hem tespit etmek hem de önlemek için tasarlanmıştır.
Intrusion Prevention System
İzinsiz Giriş Tespit Sistemi
IDSAğ üzerindeki trafiği sürekli olarak izleyen ve şüpheli bir durumla karşılaştığında ağ yöneticisine uyarı gönderen ve firewall üzerindeki ilgili trafiği kapatarak güvenliğini sağlayan sistemdir.
Intrusion Detection System
İzleme Politikası
Bilgisayarların, ağların, uygulamaların ve bilgilerin kullanımına ilişkin verilerin yorumlanma şeklini tanımlayan veya ana hatlarıyla özetleyen kurallar bütünüdür.
Monitoring Policy
Kabul Edilebilir Kullanım Politikası
Kurumu ve kurum içindeki kullanıcıları ilgilendiren, belirli bir ağa veya internete erişim sağlamadan önce onay verilen kullanım aralığını ifade eden politikadır.
Acceptable Use Policy
Karşı Önlem
Bir tehdidi veya zafiyeti önlemek ya da etkilerini en aza indirmek için yürütülen herhangi bir süreçtir.
Countermeasure
Keylogger
Sisteme yüklenmesiyle aktif hale gelen tuş takip programlarıdır, klavyede basılan her tuşu bir dosyaya kaydeder. Genellikle kullanıcı adları, şifreler ve kredi kartı bilgileri gibi kritik verileri çalmak için kullanılır.
Kimlik Doğrulama
Bir kullanıcının kimliğinin ve bilgilere erişim yetkisinin doğrulanmasıdır.
Authentication
Konfigürasyon Yönetimi
Bir sistemin yaşam döngüsü boyunca hem fiziksel hem de işlevsel konfigürasyonunun izlenmesi ve kontrol edilmesi sürecidir.
Configuration Management
Kriptografi
Bilginin istenmeyen şahıslar tarafından anlaşılmasını önlemek ve gizlil iğini sağlamak amacıyla şifrelenmesinde kullanılan teknikler bütünüdür.
Cryptography
Kritik Altyapı
Devre dışı kalması veya zarar görmesi halinde bir kurumun, şirketin veya ulusun ekonomik güvenliğini olumsuz yönde etkileyebilecek sistemlerdir.
Critical Infrastructure
Kritik Analiz
Kaynakların ve iş fonksiyonlarının işletme açısından öneminin ve bu kaynakların mevcut olmadığı durumlarda ne gibi etkilerin meydana gelebileceğinin belirlenmesi amacıyla yürütülen analizdir.
Critical Analysis
Kurtarma
İş hedeflerinde veya iş sürekliliği planında belirtilenlerle uyumlu olarak etkilenen sistemler veya servislerin onarılmasını sağlayan ve olay müdahale planında yer alan aşamalardan biridir.
Recovery
Kurtarma Noktası Hedefi
RPORecovery Point Objective
Bir iş süreci veya BT bileşeni için kurumun tolerans gösterebileceği maksimum veri kaybını süre olarak ifade eder.
Kurtarma Süresi Hedefi
RTORecovery Time Objective
Kesintiye uğrayan iş sürecinin ne kadar süre sonra çalışır hale getirileceğine dair hedef süreyi ifade eder.
Malware
Bir bilgisayar sisteminden kritik verileri çalmak veya yok etmek için geliştirilmiş kötü amaçlı yazılımlardır.
Man-in-the-Middle Attack
Bir ağ üzerinde hedef bilgisayar ile diğer ağ araçları (router, switch, modem ya da server gibi) arasına girerek verileri elde etme ilkesine dayanan bir saldırı türüdür.
Mantıksal Erişim Kontrolleri
Yazılımlara ve veri dosyalarına erişimi kısıtlamak için oluşturulmuş politikalar, prosedürler, organizasyonel yapı ve elektronik erişim kontrolleri bütünüdür.
Logical Access Controls
Olay Müdahalesi
Bir felaket veya önemli bir güvenlik olayı meydana geldiğinde, iş süreçlerinin veya işletmenin zarara uğramaması için alınması gereken aksiyonlar bütünüdür.
Incident Response
OSI Modeli
OSI (Open Systems Interconnection) modeli ISO tarafından geliştirilmiştir. Amaç iki bilgisayar arasındaki iletişimin nasıl olacağının tanımlanmasıdır.
OWASP
Güvensiz yazılımlardan dolayı ortaya çıkan problemlerle mücadele için kurulmuş bir topluluk projesidir.
Payload
Sistemlerdeki açıklardan faydalanarak sistem üzerinde belirli işlemlerin (kullanıcı oluşturma, dll enjeksiyonu vb.) yapılmasına olanak tanıyan genellikle exploitler ile birlikte kullanılan kod parçalarıdır.
Penetrasyon Testi
Belirlenen hedef sisteme bilinen her türlü saldırı yöntemini kullanarak sızma ve sistemde mevcut zafiyetleri belirleme sürecidir.
Penetration Test
Paket Filtreleme
Hangi tür trafiğin gönderileceğinin veya alınacağının belirlenmesidir.
Packet Filtering
Phishing
Sahte e-posta veya web siteleriyle kullanıcıların kredi kartı bilgilerini ele geçirmeyi amaçlayan e-dolandırıcılık yöntemidir.
Protokol
İki ya da daha fazla bilgisayar arasındaki iletişimi sağlamak amacıyla verileri düzenlemeye yarayan kurallar bütünüdür.
Ransomware
Saldırgan tarafından istenen fidye ödenene kadar dosyalara veya bilgisayara erişimi engelleyen yazılımdır.
Riskin Azaltılması
Karşı önlemler ve kontroller aracılığıyla riskin etkili bir biçimde yönetilmesidir.
Risk Mitigation
Risk Kabulü
Risk kurumun tolerans gösterebileceği seviyedeyse veya riski ortadan kaldırmanın maliyeti potansiyel riskten fazlaysa, kurum riski ve karşılaşacağı kayıpları kabul eder.
Risk Acceptance
Risk Değer-lendirmesi
Riski ve potansiyel etkilerini tespit etme ve değerlendirme sürecidir.
Risk Assessment
Risk Transferi
Riskin gerçekleşmesi sonucunda ortaya çıkması muhtemel maddi kayıplar başka bir kişi veya kuruma aktarılır.
Risk Transfer
Risk Yönetimi
Potansiyel risklerin önceden tespit edilmesi, değerlendirilmesi ve bu sayede risklerin etkilerini azaltacak veya tamamen olarak ortadan kaldıracak önlemlerin alınması sürecidir.
Risk Management
SaaS
Yazılımın bir servis olarak sunulmasıdır. Bu modelde yazılım hizmet sağlayıcısının sunucularında barınır.
Software as a Service
Sahte Antivirüs Yazılımı
Güvenlik açısından yararlı gibi görünen, ancak sınırlı veya sıfır güvenlik sağlayan, hatalı veya aldatıcı uyarılar üreten ve kullanıcıları sahte işlemler gerçekleştirme konusunda kandırmaya çalışan yazılımdır.
Fake Antivirus
Saldırı Mekanizması
Exploit’in belirlenen hedefe ulaştırılması için kullanılan bir yöntemdir. Saldırı bizzat saldırgan tarafından gerçekleştirilmiyorsa, saldırı mekanizması exploit’i hedefe ulaştıran bir araç içerebilir.
Attack Mechanism
Saldırı Vektörü
Hedefe (varlığa) erişim sağlamak için saldırgan tarafından takip edilen rotadır.
Attack Vector
SCADA
SCADA (Merkezi Denetim ve Veri Toplama), kritik hizmetleri izleme ve kontrol etme konusunda kilit öneme sahip bilgisayarları ve uygulamaları içeren sistemlerdir.
SDLCSistem Geliştirme Yaşam Döngüsü
Bir yazılım sisteminin geliştirilmesi sürecini kapsayan tüm aşamalardır.
Secure ShellSSH
Ağa bağlı iki bilgisayar arasındaki veri aktarımının kriptografik olarak sağlandığı bir ağ protokolüdür.
Secure Sockets LayerSSL
Güvenli Soket Katmanı. Sunucu ile istemci arasındaki veri alışverişinin şifrelenerek yapılması işlemidir.
Siber Espiyonaj
Gizli ve kritik bilgileri siyasi veya ekonomik sebepler doğrultusunda ele geçirmek için yürütülen faaliyetler bütünüdür.
Cyber Espionage
Siber Güvenlik
Bilgi sistemlerinin ve kritik verilerin korunması, işlenen ve depolanan bilgilerin gizlilik, bütünlük ve erişilebilirliğinin sağlanması, tespit edilen olaylara veya tehditlere karşı önlemler alınması gibi faaliyetleri içeren süreçler bütünüdür.
Cyber Security
Siber Güvenlik Mimarisi
Bir kurumun BT altyapısında bulunan güvenlik kontrollerine ilişkin yapıyı, bileşenleri ve topolojiyi ifade eder.
Cyber Security Architecture
Siber Savaş
Bir devletin veya kurumun bilgisayar sistemlerine zarar vermek veya kesintiye uğratmak amacıyla gerçekleştirilen faaliyetler bütünüdür.
Cyber War
Sistem Güçlendirme
Gereksiz yazılım programlarını, protokollerini ve servislerini devre dışı bırakarak mümkün olduğu kadar fazla güvenlik riskinin ortadan kaldırılmasısürecidir.
System Hardening
SolucanWorm
Virüs gibi kendini bir bilgisayardan başka bilgisayara kopyalamak için tasarlanmış zararlı yazılımlardır. Yayılma işlemini ağ üzerinden otomatik olarak yapar.
SOMESiber Olaylara Müdahale Ekibi
Bilgi sistemleri konusunda acil bir durum oluştuğunda olaya anında müdahale eden ve gerekli raporlamaları yürüten ekiptir. Bu ekip, siber olaylara anında müdahale etmede, oluşması muhtemel zararları önlemede veya azaltmada, olay yönetiminin koordinasyon ve işbirliği içerisindegerçekleştirilmesinde hayati önem taşır.
Sosyal Mühendislik
Kişilerin zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmek için başvurulan saldırı yöntemidir.
Social Engineering
SQL Injection
Web uygulamalarındaki güvenlik açıklarından faydalanarak SQL sorgusu ve komutlarının ilgili web uygulamasının barındığı sunucu üzerinde çalıştırılmasını sağlayan bir saldırı türüdür.
Spearphishing
Hedef odaklı oltalama olarak adlandırılan bu saldırıda, belirli bir kuruluş içindeki kişileri hedef alarak kritik bilgileri paylaşmaları konusunda kandırmaya yönelik e-postalar gönderilir.
ADS
Spyware
Casus yazılım olarak adlandırabileceğimiz spyware saldırganların izniniz olmadan önemli bilgilerinizi toplamasına izin veren yazılımdır. Spyware bilgisayarınızda çalıştığında, aktivitenizi takip eder ve yetkisiz üçüncü taraflara rapor eder.
Tek Faktörlü Doğrulama
SFA
Single Factor Authentication
Kimliğin tek bir mekanizma ile doğrulanmasıdır.
Trojan Horse
Trojanlar güvenilir gibi görünen ancak oldukça tehlikeli olan kötü amaçlı programlardır. Bir Trojan programı kendini yararlı gibi gösterebilir ancak fark ettirmeden kötü amaçlı faaliyetlerde bulunur.
Ulusal Standartlar ve Teknoloji EnstitüsüNIST
Bilgi teknolojilerinin gelişmesini ve verimli kullanımını sağlamak amacıyla teknik analizler gerçekleştiren ve test yöntemleri geliştiren enstitüdür.
URL Spoofing
Bir web sitesine ait URL’in tıklandığında farklı bir adrese yönlendirilerek hedef kişinin kandırılması durumudur.
Uygulama Katmanı
OSI modelindeki katmanlardan biridir. Uygulama ile ağ arasında arabirim görevi üstlenir. Uygulamaların ağ üzerinde çalışmasını sağlar.
Application Layer
Uyumluluk
Sözleşme yükümlülüklerinden veya kurum içi politikalardan doğan gereksinimlere, yasalara veya hükümlere uyum sağlama kabiliyetidir.
Compliance
Uzaktan Erişim Servisi
RASBir ağ üzerindeki istemci bilgisayarlar arasında uzaktan erişimi sağlayan servistir.
Remote Access Service
Varlık
Kişiler, bilgiler, altyapı, finansal veriler ve itibar gibi korunmaya değer somut veya soyut kurumsal varlıkları ifade eder.
Asset
Veri Hırsızlığı
Bilgilerin kasıtlı olarak çalınmasıdır. Veri hırsızlığı şirket içinden biri veya şirketi hedef alan bir saldırgan tarafından gerçekleştiril ir.
Data Theft
Verilerin yanlış yerleştirilmesinin bir sonucudur. Kasıtlı hırsızlık değildir.
Verileri BölümlereAyırma
Yüksek değerli varlıkların veya verilerin korunması için gerçekleştirilen işlemdir. Verilere erişim sağlanması için birden fazla adımın takip edilmesi gerekir.
Compartmentalization
Veri Saklama Politikası
Hukuki veya kurum içi düzenleyici gereksinimleri karşılamak üzere verilerin kayıt altına alınması ve yönetilmesini içeren politikalar bütünüdür.
Data Retention Policy
Verileri SınıflaraAyırma
Verilerin kurum açısından önemi, kullanım süresi ve fayda durumu gibi konular göz önünde bulundurularak önemli kriterler ile sınıflara ayrılması sürecidir.
Data Classification
Veri Sızıntısı
Verilerin yanlış hedefe gönderilmesi, çalınması, silinmesi veya sızdırılmasıdır.
Data Leakage
Veri Şifreleme Standardı
DES İkili verilerin şifrelenmesi için kullanılan algoritmadır.
Data Encryption Standard
Virüs
Bilgisayarlarda veya bilgisayar ağları aracılığıyla kendi kendine çoğalabilen kötü amaçlı yazılımprogramıdır.
Bilgisayarlarda veya bilgisayar ağları aracılığıyla kendi kendine çoğalabilen kötü amaçlı yazılımprogramıdır.
VPN – Sanal Özel Ağ
VPN, istenilen ağlara uzaktan erişim sağlanmasına imkân tanıyan bağlantı türüdür. İletişim şifreli bir şekilde sağlanır ve aktarılan veriler dışarıdan ulaşılamaz.
XSSCross Site Scripting
Güvenilir web sitelerine zararlı scriptler enjekte edilmesini sağlayan bir saldırı türüdür.
Yama Yönetimi
Yazılımları güncel tutmak ve güvenlik risklerini bertaraf etmek amacıyla yamaların alınması, test edilmesi ve uygulanması süreçlerini kapsayan sistemler yönetimidir.
Patch Management
Yönetişim, Risk Yönetimi ve UyumlulukGRC
Varlıkların ve operasyonların korunmasından sorumlu ve birbiriyle yakından ilişkili üç disiplini gruplandırmak için kullanılan terimdir.
Zafiyet
Zafiyetler yazılım programlarındaki hatalardır. Hackerlar zafiyetlerden faydalanarak kişilerin bilgisayarlarına sızabilir ve kritik verileri ele geçirebilir.
Vulnerability
Zombi
Üçüncü tarafların denetimini ele geçirdiği bilgisayarı tanımlamakta kullanılan bir terimdir.
Zombie
Zorunlu Erişim Kontrolü
MAC Erişim haklarını sistem belirler ve kullanıcı bunları değiştiremez. İşletim sistemi zorunlu erişim kontrollerini kendi yürütür.
Mandatory Access Control