Siber Güvenlik

Cep Sözlüğü

Her geçen gün bilgi güvenliğinin hayatımızda daha fazla yer kapladığı ve önemli olduğu bu dönemde; UITSEC olarak 13 yıllık tecrübemizle beraber, bilgi güvenliği terimlerini ve farkındalığı arttıracak önerileri bir arada toplamanın ve bu kaynağı oluşturmanın haklı gururu içerisindeyiz. Sektöre yeni girenler ve halihazırda sektör çalışanları için yararlı bir kaynak olacak bu çalışmayı

sizlere sunmaktayız.

ÖNSÖZ

Bilgi Güvenliği Farkındalığı

Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve

kurumlarla paylaşır. Kurum çatısı altında çalışanların bilgilerinin korunması büyük önem taşır. Bu yüzden, çalışanlar bilgi güvenliği konusunda eğitilmeli ve

farkındalık sağlanmalıdır.

1. Temiz masa temiz ekran politikasına uyulmalıdır.

2. Bilgisayardan uzaklaşırken bilgisayar mutlaka kilit ekranına geçirilmelidir.

3. Bil inmeyen kaynaklardan gelen dosyalara karşı dikkatl i olunmalı, güven vermeyen kaynaklar kullanılmamalıdır.

4. Kaynağı bell i olmayan depolama aygıt ları bi lgisayara takılmamalı, diğer depolama aygıtlarını kullanırken tarama yapılmalıdır.

5. Bilgisayar güvenliği için, zararlı yazılımlara karşı önlemler alınmalı ve APT-Malware analizleri yapılmalıdır.

6. Bilinmeyen kaynaklardan gelen e-postalara karşı dikkatli olunmalıdır. E-posta içeriği dikkatle okunmalı ve kurum içi veya kurum dışından gelen e-postalara dikkatli yaklaşılmalıdır.

7. Kullanıcı adı ve parolaların yüksek güvenlik düzeyinde olmasına dikkat edilmelidir. Bu parolalar en az 8 haneli olmalı, sayı, harf ve özel karakter içermelidir.

8. Kullanıcı bilgileri üçüncü şahıslarla asla paylaşılmamalıdır.

9. Kimlik kar tları güvenli şekilde saklanmalı ve üçüncü şahıslarla paylaşılmamalıdır.

Farkındalık Sağlamak İçin Yapılması Gerekenler

10. Kurum içi gizli bilgi ve belgelerden kurum dışında bahsedilmemeli, kurum içinde paylaşımına dikkat edilmelidir.

11. Yazıcıdan çıktı alırken etrafta belge bırakılmamalıdır. Kimlik kartları ile çıktı alınmasına dikkat edilmelidir.

12. Hassas veri içeren kişisel baskılar, notlar, belgeler kullanım sonrası imha edilmeli, çöp kutuları dâhil olmak üzere okunur şekilde atılmamalıdır.

13. Bilgileriniz belirli aralıklarla yedeklenmeli, bilgileriniz ve yedeklediğiniz alan korunmalıdır.

14. Bilgiler ile yedekler farklı ortamlarda tutulmalıdır.

15. Lisanssız yazı l ım kul lanı lmamalıdır.

16. Bilinmeyen e-posta ve haber gruplarına üye olunmamalıdır.

17. Kişisel dosyalar kurum içinde kullandığınız e-posta adresinizden gönderilmemelidir.

18. İnternete erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır.

19. Kurum bilgisayarı i le Bluetooth ve 3G modemlerle internet bağlantısı yapılmamalıdır.

20. Güvenilir olmayan sitelerden yazılımlar indirilmemeli ve kullanılmamalıdır.

21. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kul lanmanız ı gerekt i recek uygulamalar kul lanı lmamal ıd ı r.

22. Kullanı lan yazı l ımlar ın güncel l iği sağlanmalıdır.

23. Herkese açık olan blog ve tartışma forumları gibi sosyal medya ortamlarında kurumsal kimlik kullanımından kaçınılmalıdır.

24. Web sitelerinin URL’lerine dikkat edilmelidir. Sahte web siteleri genellikle gerçek bir siteyle aynı görünür fakat URL yazımı veya alan adı (domain) farklıdır.

25. Eğer girdiğiniz sistemde varsa sanal klavye kullanılmalıdır.

26. Sosyal medya üzerinden kişisel veriler sınırlandırılmalı, gizlilik ayarları yapılmalıdır.

27. Tanımadığınız ve beklemediğiniz telefon aramalarına doğrulama için geri arama yapılmalı, bilgi isteyen kişiden kimlik bilgisi istenmeli (sicil no, banka kartı personel numarası), diğer taraftan kimlik bilgisinin doğrulanması için sorgulama yapılmalı, aceleci davranmadan soğukkanlı, karşı taraftan emin olarak bilgi verilmelidir.

28. Önemli verilerinizin bulunduğu bilgisayarınızla kurum dışındaki şifresiz Wi-Fi ağlarına bağlanılmamalıdır.

29. Şifreli bir ortak Wi-Fi ağına bağlanırken admin hesabı değil guest hesabı kullanılmalıdır.

30. “Kurumsal bilgi güvenliği sadece teknolojiyle sağlanır” yaklaşımından uzaklaşılarak, bilgi güvenliğinin insan-eğitim-teknoloji üçgeninde yeni bir yaklaşımla sağlanacağı unutulmamalıdır.

Hacklenmeyeceğinizi düşünmeyin,her an saldırının

kurbanı siz olabilirsiniz.“

“

“

ACL

Erişim Kontrol Listesi

Access Control List

Bir nesne üzerinde atanan veya reddedilen erişim izinleri konusunda kullanıcıları ve grupları tanımlayan bir yetkilendirme kısıtlama mekanizmasıdır.

Açık Anahtar Altyapısı

Asimetrik şifreleme ve dijital sertifika uygulamalarını kullanarak dijital ortamda güvenli işlemler gerçekleştirme olanağı tanıyan altyapıdır.

PKI

Public Key Infrastructure

Asimetrik şifreleme ve dijital sertifika uygulamalarını kullanarak dijital ortamda güvenli işlemler gerçekleştirme olanağı tanıyan altyapıdır.

Adli Bilişim

Bilişim suçları davalarında, olay yerinde suça konu olan dijital delillerin zarar görmeyecek ve değiştirilmeyecek şekilde toplanması, toplanan verilerin mahkeme sürecinde olayın aydınlatılması adına kullanılabilmesi gibi süreçleri içeren bilim dalıdır.

Computer Forensics

Adli İnceleme

Bir siber güvenlik olayının nasıl meydana geldiğini veya kimler tarafından gerçekleştir i ldiğini belirleyebilmek için dijital kanıtların toplanması, değerlendirilmesi, belgelendirilmesi ve sınıflandırılması sürecidir.

Digital Forensics

Bir siber güvenlik olayının nasıl meydana geldiğini veya kimler tarafından gerçekleştir i ldiğini belirleyebilmek için dijital kanıtların toplanması, değerlendirilmesi, belgelendirilmesi ve sınıflandırılması sürecidir.

Adware

Bilgisayarınızda reklamları otomatik olarak gösteren yazılımdır. Bir uygulamayı kullandığınızda bilgisayarınızda otomatik olarak reklamlar bir anda ekranda belirir.

Zararlı ReklamYazılımı

AES

Gelişmiş Şifreleme Standardı

Advanced Encryption Standard

128 ila 256 bit anahtar boyutlarını kullanan simetrik bir şifreleme algoritmasıdır.

Ağ TrafiğiAnalizi

Ağ üzerindeki gelen ve giden trafiğin ve bu trafik üzerinde taşınan paketlerin analiz edilmesi sürecidir.

Network Traffic Analysis

Alarm Durumu

Kurum içinde meydana gelen herhangi bir kesinti kritik seviyeye ulaştığında ve kesintiyi giderecek çözüm bulunamadığında yaşanan durumdur.

Alert Situation

Kurum içinde meydana gelen herhangi bir kesinti kritik seviyeye ulaştığında ve kesintiyi giderecek çözüm bulunamadığında yaşanan durumdur.

Anahtar Risk Göstergesi

KRI

Key Risk Indicator

Önemli riskleri tahmin etme olasılığı oldukça yüksek risk göstergesi olarak ifade edilebilir. Risk konusunda yanılması güç bir göstergedir.

Anonymizing Proxy

Kullanıcının web aktivitesini gizlemesini sağlar. Genellikle web güvenlik filtrelerini atlatmak için kullanılır.

Anti-malware

Bilgisayar virüsleri, solucanlar, trojanlar, zararlı tarayıcı eklentileri, adware ve spyware dâhil olmak üzere birçok malware tehdidini tespit etmek veya ortadan kaldırmak için yaygın olarak kullanılan teknolojidir.

AsimetrikŞifreleme

Şifre ve deşifre işlemleri için farklı anahtarların kullanıldığı bir şifreleme tekniğidir.

Public Key

APT

Gelişmiş Kalıcı Tehdit

Kritik verileri ele geçirme sebebiyle gerçekleştirilen hedef odaklı saldırılardır. Belirli bir hedefe veya kuruma yöneliktir, geleneksel güvenlik mekanizmalarını atlatabilir. Bu özellikleri sebebiyle tespit edilmesi zordur.

Advanced Persistent Threat

Backdoor

Bir sisteme dışarıdan sızılabilmesi için sistemde açık oluşturmak amacıyla kullanılan bir sanal ajandır.

Bilgi Güvenliği

Bilgilerin izinsiz kullanımını, ifşa edilmesini, yok edilmesini, değiştirilmesini, zarar görmesini veya bilgilere yetkisiz kişilerce erişilmesini engellemek için yürütülen faaliyetler bütünüdür.

Information Security

Botnet

Hacker tarafından uzaktan kontrol edilen virüslü bilgisayarlardır. Hackerlar botnetleri DDoS saldırısı yapmak için de kullanabilir. Binlerce bilgisayarın aynı anda aynı web sitesine erişmesini sağlayabilir. Böylece, websunucusu tüm istekleri karşılamada zorlanır ve siteye erişim engellenir.

Brute Force Saldırısı

Deneme-yanılma yöntemiyle şifrelerin çözülmesi için kullanılan yöntemdir. Brute Force saldırısında hackerlar bir sisteme veya dosyaya yetkisiz erişim sağlamak için çok fazla sayıda şifre ve anahtar kelime kombinasyonu dener.

Buffer Overflow

Değişkenlere varsayılandan büyük veriler girerek taşmaya sebep olunması ve bu sayede istenen bir kodun çalıştırılması olarak tanımlanabilir.

Arabellek Taşması

Bulut Bilişim

Bulut Bilişim tüm uygulama, program ve verilerin sanal bir sunucuda yani bulutta depolanmasıdır. İnternete bağlı olunan herhangi bir ortamda cihazlar aracılığıyla bu bilgilere kolayca erişim sağlanabilir.

Cloud Computing

Bütünlük

Bilgilerin kasti, yetkisiz veya kazaya bağlı değişikliklerden korunması prensibidir.

Integrity

CookieÇerez

Cookie’ler web sitelerinde dolaşırken bilgilerin, şifrelerin kaydedildiği, o web sitesine tekrar girildiğinde bilgilerinizin hatırlanarak giriş yapıldığı dosyalardır.

Çevreleme PolitikasıContainment Policy

Bir olay tespit edildiğinde ve doğrulandığında etkilerin minimum düzeye indirilmesi için atılan adımları içeren politikadır.

Çok Faktörlü KimlikDoğrulaması

MFA Çift aşamalı güvenlik seviyesi olarak kullanıma sunulan yöntemdir.

Multi-Factor Authentication

DMZ

Savunmasız bölge olarak ifade edilebilir. Güvenlik duvarı tarafından daha az korunan, daha fazla erişime izin verilen bölgedir.

Demilitarized Zone

DNS

Alan Adı Sistemi256 karaktere kadar uzayabilen alan adı isimlerini IP’ye çevirmek için kullanılan hiyerarşik veritabanıdır.

Domain Name System

DNS Hijacking

DNS hijacking saldırısında saldırgan bilgisayarın ayarlarını DNS’i görmezden gelecek şekilde değiştirir veya kendisi tarafından kontrol edilen bir DNS sunucusu kullanır. Saldırganlar iletişimi sahte sitelere yönlendirir. Kullanıcılar genellikle giriş bilgilerinin ele geçirilmesi için sahte sitelere yönlendirilir.

DoS Saldırısı

Saldırının amacı hedef alınan sistemi hizmet veremeyecek hale getirip servisi durdurmaktır. Hedefe çok fazla paket gönderilip servis işlemez duruma getiril ir.

Denial of Service

Eaves-dropping

Özel konuşmaların gizlice dinlenmesidir.

E-MailMalware

E-mail aracılığıyla yayılan bir zararlı yazılımdır.Virüslerin yayılması için kullanıcının ekteki dosyaya veya linke tıklaması gerekir.

En Düşük Erişim Hakkı İlkesi

Bir görevi tamamlamak için gereken en düşük erişim hakkını sağlamak amacıyla kullanılan kontrollerdir.

Principle of least privilege

Erişilebilirlik

Bilgilerin ihtiyaç halinde erişilebilir olmasını sağlayan prensiptir.

Availability

Eradikasyon

Ortadan KaldırmaEradication

Olay kontrol altına alındıktan ve gerekli önlemler uygulandıktan sonra olayın asıl nedeni tespit edilir ve tamamen ortadan kaldırılır.

Erişim Hakları

Veri sahipleri veya bilgi güvenliği politikası tarafından oluşturulan kurallara uygun olarak bir sistemde bulunan verileri silmek, değiştirmek veya görüntülemek için kullanıcılara veya programlara verilen izindir.

Access Rights

Etki Analizi

Siber olayların veya tehditlerin maliyetleri baz alınarak bilgi kaynaklarının kurum açısından kritiklik seviyelerinin tespitedilmesi amacıyla gerçekleştirilen çalışmadır.

Impact Analysis

Exploit

Sistemlerde veya programlarda bulunan zafiyetler veya hatalar için kullanılır. Bu zafiyetleri exploit eden hackerlar sistemlere ciddi hasarlar verir.

Felaket

Ciddi zararlara veya kayıplara sebep olan planlanmamış olaydır. İşletmenin kritik iş süreçlerinin aksamasına sebep olur. Bir felaket meydana geldiğinde felaket kurtarma planı devreye sokularak olayın çözülmesi amaçlanır.

Disaster

FelaketKurtarma Planı

Bir felaket veya acil durum meydana geldiğinde iş süreçlerinin aksamaması için olaya zamanında müdahale etmek veya etkilerini minimum seviyeye indirmek için başvurulabilecek fiziksel, teknik ve yöntemsel kaynakları içeren plandır.

Disaster Recovery Plan

FTP

Dosya Aktarım Protokolü

File Transfer Protokol

İnternete bağlı bilgisayarlar arasında dosya transferi yapmak için kullanılan bir internet protokolüdür.

GatewayAğ Geçidi

Bir ağdan başka bir ağa geçilmesini sağlayan cihazdır.

Geriye Kalan(Artık) Risk

Yönetim risk müdahalesi sürecini tamamladıktan sonra geriye kalan riski ifade eder.

Gizlilik

Gizlilik, ‘bilinmesi gerekenler’ bazındaki bilgilerin sadece yetkili kişilerin, süreçlerin veya sistemlerin erişimine açık olmasını öngören “en düşük erişim hakkı” prensibi olarak tanımlanabilir.

Confidentiality

Güvenli Elektronik İşlem

SET Elektronik ticarette, bilgi aktarımının güvenli bir şekilde sağlanması için kullanılan internet protokolüdür.

Secure Electronic Transaction

Hacker

Bir bilgisayar sistemine yetkisiz erişim sağlamaya çalışan kötü niyetli bireydir.

Hacktivizm

Hacktivizm siyasi ve toplumsal amaçlarla gerçekleştirilen faaliyetleri tanımlamak için kullanılan bir terimdir. Kuruluşlar, hükümetler, şirketler ve bireyler hedef alınır.

HoaxAsılsız Uyarılar

Kullanıcıları kandırmak veya dolandırmak için internet üzerinden yayılan asılsız uyarılardır.

Honeypot

Yetkisiz erişimleri tespit etmek, zararlarından kaçınmak ya da önlemek amacıyla kurulan bir çeşit tuzaktır. Genellikle güvenlik uzmanları tarafından kullanılır. Mevcut tehditler ve saldırılarla ilgili bilgi toplanması amaçlanır.

IaaS

Altyapının servis olarak sunulması olarak adlandırılabilir. Bu en temel bulut hizmet modelinde, sunucular bulut sağlayıcılar tarafından fiziksel veya sanal makineler olarak sunulur. Kullanıcı, hizmeti sağlayan firmaların sanallaştırılmış altyapısından işlem gücü ve depolama alanı gibi hizmetler satın alır.

Infrastructure as a Service

Injection

Uygulamanın içine, uygulama tarafından daha sonra çalıştırılacak olan zararlı kod enjekte etmeyi içeren saldırı türleri için kullanılan terimdir.

IP GüvenliğiIPSec

IP (internet protokolü) kullanılarak yapılan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan protokol paketidir.

IP Spoofing

Bir sisteme veya ağa izinsiz erişim sağlamak için sahte IP adresi kullanılmasıdır.

ISO

UluslararasıStandartlar Organizasyonu

International Standards Organization

Dünyanın en büyük gönüllü Uluslararası Standart geliştiricisidir.

İçerik Filtreleme

Gelen ve giden paketlerin içeriklerinin analiz edilerek ağa erişimin kontrol edilmesi, engellenmesi veya izin verilmesidir.

Content Filtering

İki Faktörlü Doğrulama

Doğrulama için iki bağımsız mekanizmanın kullanılmasıdır.

Two-Factor Authentication

İş Etki Analizi

BIABusiness Impact Analysis

Bilgi varlıklarının kritiklik seviyeleri analiz edilir. İş etki analizi kapsamında, kurum içerisindeki işlemler ve süreçler önceliklendirilerek olası birkesintide işletmenin uğrayacağı risk değerlendirmeleri gerçekleştiril ir.

İş Sürekliliği Planı

BCPKritik iş süreçlerinin kesintiye uğraması durumunda kurum tarafından devreye sokulan plandır.

Business Continuity Plan

İyileştirme

Zafiyetler tespit edildikten ve değerlendirildikten sonra, zafiyetleri gidermek veya etkilerini minimum düzeye indirmek için uygun iyileştirme ve onarım çalışmaları gerçekleştiril ir.

Remediation

İzinsiz Giriş Önleme Sistemi

IPS Ağ veya sistemi kötü niyetli aktivitelerden korumak için sürekli izleyen sistemdir. Saldırıları hem tespit etmek hem de önlemek için tasarlanmıştır.

Intrusion Prevention System

İzinsiz Giriş Tespit Sistemi

IDSAğ üzerindeki trafiği sürekli olarak izleyen ve şüpheli bir durumla karşılaştığında ağ yöneticisine uyarı gönderen ve firewall üzerindeki ilgili trafiği kapatarak güvenliğini sağlayan sistemdir.

Intrusion Detection System

İzleme Politikası

Bilgisayarların, ağların, uygulamaların ve bilgilerin kullanımına ilişkin verilerin yorumlanma şeklini tanımlayan veya ana hatlarıyla özetleyen kurallar bütünüdür.

Monitoring Policy

Kabul Edilebilir Kullanım Politikası

Kurumu ve kurum içindeki kullanıcıları ilgilendiren, belirli bir ağa veya internete erişim sağlamadan önce onay verilen kullanım aralığını ifade eden politikadır.

Acceptable Use Policy

Karşı Önlem

Bir tehdidi veya zafiyeti önlemek ya da etkilerini en aza indirmek için yürütülen herhangi bir süreçtir.

Countermeasure

Keylogger

Sisteme yüklenmesiyle aktif hale gelen tuş takip programlarıdır, klavyede basılan her tuşu bir dosyaya kaydeder. Genellikle kullanıcı adları, şifreler ve kredi kartı bilgileri gibi kritik verileri çalmak için kullanılır.

Kimlik Doğrulama

Bir kullanıcının kimliğinin ve bilgilere erişim yetkisinin doğrulanmasıdır.

Authentication

Konfigürasyon Yönetimi

Bir sistemin yaşam döngüsü boyunca hem fiziksel hem de işlevsel konfigürasyonunun izlenmesi ve kontrol edilmesi sürecidir.

Configuration Management

Kriptografi

Bilginin istenmeyen şahıslar tarafından anlaşılmasını önlemek ve gizlil iğini sağlamak amacıyla şifrelenmesinde kullanılan teknikler bütünüdür.

Cryptography

Kritik Altyapı

Devre dışı kalması veya zarar görmesi halinde bir kurumun, şirketin veya ulusun ekonomik güvenliğini olumsuz yönde etkileyebilecek sistemlerdir.

Critical Infrastructure

Kritik Analiz

Kaynakların ve iş fonksiyonlarının işletme açısından öneminin ve bu kaynakların mevcut olmadığı durumlarda ne gibi etkilerin meydana gelebileceğinin belirlenmesi amacıyla yürütülen analizdir.

Critical Analysis

Kurtarma

İş hedeflerinde veya iş sürekliliği planında belirtilenlerle uyumlu olarak etkilenen sistemler veya servislerin onarılmasını sağlayan ve olay müdahale planında yer alan aşamalardan biridir.

Recovery

Kurtarma Noktası Hedefi

RPORecovery Point Objective

Bir iş süreci veya BT bileşeni için kurumun tolerans gösterebileceği maksimum veri kaybını süre olarak ifade eder.

Kurtarma Süresi Hedefi

RTORecovery Time Objective

Kesintiye uğrayan iş sürecinin ne kadar süre sonra çalışır hale getirileceğine dair hedef süreyi ifade eder.

Malware

Bir bilgisayar sisteminden kritik verileri çalmak veya yok etmek için geliştirilmiş kötü amaçlı yazılımlardır.

Man-in-the-Middle Attack

Bir ağ üzerinde hedef bilgisayar ile diğer ağ araçları (router, switch, modem ya da server gibi) arasına girerek verileri elde etme ilkesine dayanan bir saldırı türüdür.

Mantıksal Erişim Kontrolleri

Yazılımlara ve veri dosyalarına erişimi kısıtlamak için oluşturulmuş politikalar, prosedürler, organizasyonel yapı ve elektronik erişim kontrolleri bütünüdür.

Logical Access Controls

Maskeleme

Şifreler gibi kritik bilgilerin görünürlüğünün bloke edilmesi tekniğidir.

Masking1

Olay Müdahalesi

Bir felaket veya önemli bir güvenlik olayı meydana geldiğinde, iş süreçlerinin veya işletmenin zarara uğramaması için alınması gereken aksiyonlar bütünüdür.

Incident Response

OSI Modeli

OSI (Open Systems Interconnection) modeli ISO tarafından geliştirilmiştir. Amaç iki bilgisayar arasındaki iletişimin nasıl olacağının tanımlanmasıdır.

OWASP

Güvensiz yazılımlardan dolayı ortaya çıkan problemlerle mücadele için kurulmuş bir topluluk projesidir.

Payload

Sistemlerdeki açıklardan faydalanarak sistem üzerinde belirli işlemlerin (kullanıcı oluşturma, dll enjeksiyonu vb.) yapılmasına olanak tanıyan genellikle exploitler ile birlikte kullanılan kod parçalarıdır.

Penetrasyon Testi

Belirlenen hedef sisteme bilinen her türlü saldırı yöntemini kullanarak sızma ve sistemde mevcut zafiyetleri belirleme sürecidir.

Penetration Test

Paket Filtreleme

Hangi tür trafiğin gönderileceğinin veya alınacağının belirlenmesidir.

Packet Filtering

Phishing

Sahte e-posta veya web siteleriyle kullanıcıların kredi kartı bilgilerini ele geçirmeyi amaçlayan e-dolandırıcılık yöntemidir.

Protokol

İki ya da daha fazla bilgisayar arasındaki iletişimi sağlamak amacıyla verileri düzenlemeye yarayan kurallar bütünüdür.

Proxy Server

Bir web tarayıcısı ve internet arasında aracı işlevi gören sunucudur.

Ransomware

Saldırgan tarafından istenen fidye ödenene kadar dosyalara veya bilgisayara erişimi engelleyen yazılımdır.

Riskin Azaltılması

Karşı önlemler ve kontroller aracılığıyla riskin etkili bir biçimde yönetilmesidir.

Risk Mitigation

Risk Kabulü

Risk kurumun tolerans gösterebileceği seviyedeyse veya riski ortadan kaldırmanın maliyeti potansiyel riskten fazlaysa, kurum riski ve karşılaşacağı kayıpları kabul eder.

Risk Acceptance

Risk Değer-lendirmesi

Riski ve potansiyel etkilerini tespit etme ve değerlendirme sürecidir.

Risk Assessment

Riski Önleme

Riski etkili bir biçimde yöneterek riskten kaçınma sürecidir.

Risk Avoidance

Risk Toleransı

Yönetimin kabul edebileceği risk seviyesidir.

Risk Tolerance

Risk Transferi

Riskin gerçekleşmesi sonucunda ortaya çıkması muhtemel maddi kayıplar başka bir kişi veya kuruma aktarılır.

Risk Transfer

Risk Yönetimi

Potansiyel risklerin önceden tespit edilmesi, değerlendirilmesi ve bu sayede risklerin etkilerini azaltacak veya tamamen olarak ortadan kaldıracak önlemlerin alınması sürecidir.

Risk Management

Rootkit

Bilgisayar üzerinde çalışan programları gizleyen yazılımdır.

SaaS

Yazılımın bir servis olarak sunulmasıdır. Bu modelde yazılım hizmet sağlayıcısının sunucularında barınır.

Software as a Service

Sahte Antivirüs Yazılımı

Güvenlik açısından yararlı gibi görünen, ancak sınırlı veya sıfır güvenlik sağlayan, hatalı veya aldatıcı uyarılar üreten ve kullanıcıları sahte işlemler gerçekleştirme konusunda kandırmaya çalışan yazılımdır.

Fake Antivirus

Saldırı Mekanizması

Exploit’in belirlenen hedefe ulaştırılması için kullanılan bir yöntemdir. Saldırı bizzat saldırgan tarafından gerçekleştirilmiyorsa, saldırı mekanizması exploit’i hedefe ulaştıran bir araç içerebilir.

Attack Mechanism

Saldırı Vektörü

Hedefe (varlığa) erişim sağlamak için saldırgan tarafından takip edilen rotadır.

Attack Vector

SCADA

SCADA (Merkezi Denetim ve Veri Toplama), kritik hizmetleri izleme ve kontrol etme konusunda kilit öneme sahip bilgisayarları ve uygulamaları içeren sistemlerdir.

SDLCSistem Geliştirme Yaşam Döngüsü

Bir yazılım sisteminin geliştirilmesi sürecini kapsayan tüm aşamalardır.

Secure ShellSSH

Ağa bağlı iki bilgisayar arasındaki veri aktarımının kriptografik olarak sağlandığı bir ağ protokolüdür.

Secure Sockets LayerSSL

Güvenli Soket Katmanı. Sunucu ile istemci arasındaki veri alışverişinin şifrelenerek yapılması işlemidir.

Siber Espiyonaj

Gizli ve kritik bilgileri siyasi veya ekonomik sebepler doğrultusunda ele geçirmek için yürütülen faaliyetler bütünüdür.

Cyber Espionage

Siber Güvenlik

Bilgi sistemlerinin ve kritik verilerin korunması, işlenen ve depolanan bilgilerin gizlilik, bütünlük ve erişilebilirliğinin sağlanması, tespit edilen olaylara veya tehditlere karşı önlemler alınması gibi faaliyetleri içeren süreçler bütünüdür.

Cyber Security

Siber Güvenlik Mimarisi

Bir kurumun BT altyapısında bulunan güvenlik kontrollerine ilişkin yapıyı, bileşenleri ve topolojiyi ifade eder.

Cyber Security Architecture

Siber Savaş

Bir devletin veya kurumun bilgisayar sistemlerine zarar vermek veya kesintiye uğratmak amacıyla gerçekleştirilen faaliyetler bütünüdür.

Cyber War

Sistem Güçlendirme

Gereksiz yazılım programlarını, protokollerini ve servislerini devre dışı bırakarak mümkün olduğu kadar fazla güvenlik riskinin ortadan kaldırılmasısürecidir.

System Hardening

Sniffing

Ağ üzerindeki veri paketlerinin yakalanarak içeriğinin okunması işlemidir.

SolucanWorm

Virüs gibi kendini bir bilgisayardan başka bilgisayara kopyalamak için tasarlanmış zararlı yazılımlardır. Yayılma işlemini ağ üzerinden otomatik olarak yapar.

SOMESiber Olaylara Müdahale Ekibi

Bilgi sistemleri konusunda acil bir durum oluştuğunda olaya anında müdahale eden ve gerekli raporlamaları yürüten ekiptir. Bu ekip, siber olaylara anında müdahale etmede, oluşması muhtemel zararları önlemede veya azaltmada, olay yönetiminin koordinasyon ve işbirliği içerisindegerçekleştirilmesinde hayati önem taşır.

Sosyal Mühendislik

Kişilerin zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmek için başvurulan saldırı yöntemidir.

Social Engineering

SQL Injection

Web uygulamalarındaki güvenlik açıklarından faydalanarak SQL sorgusu ve komutlarının ilgili web uygulamasının barındığı sunucu üzerinde çalıştırılmasını sağlayan bir saldırı türüdür.

Spam

İstenmeyen ve karşı tarafın rızası olmadan gönderilen e-postalardır.

Spearphishing

Hedef odaklı oltalama olarak adlandırılan bu saldırıda, belirli bir kuruluş içindeki kişileri hedef alarak kritik bilgileri paylaşmaları konusunda kandırmaya yönelik e-postalar gönderilir.

ADS

Spoofing

Güvenli bir sisteme yetkisiz erişim sağlamak için sahte e-postaların gönderilmesidir.

Spyware

Casus yazılım olarak adlandırabileceğimiz spyware saldırganların izniniz olmadan önemli bilgilerinizi toplamasına izin veren yazılımdır. Spyware bilgisayarınızda çalıştığında, aktivitenizi takip eder ve yetkisiz üçüncü taraflara rapor eder.

Ş

Şifre ÇözmeDecryption

Şifrelenmiş bilgiyi tekrar erişilebilir hale getirme işlemidir.

ŞifrelemeEncryption

Bilgiyi erişilemez hale getirme işlemidir.

Tek Faktörlü Doğrulama

SFA

Single Factor Authentication

Kimliğin tek bir mekanizma ile doğrulanmasıdır.

Trojan Horse

Trojanlar güvenilir gibi görünen ancak oldukça tehlikeli olan kötü amaçlı programlardır. Bir Trojan programı kendini yararlı gibi gösterebilir ancak fark ettirmeden kötü amaçlı faaliyetlerde bulunur.

Ulusal Standartlar ve Teknoloji EnstitüsüNIST

Bilgi teknolojilerinin gelişmesini ve verimli kullanımını sağlamak amacıyla teknik analizler gerçekleştiren ve test yöntemleri geliştiren enstitüdür.

URL Spoofing

Bir web sitesine ait URL’in tıklandığında farklı bir adrese yönlendirilerek hedef kişinin kandırılması durumudur.

Uygulama Katmanı

OSI modelindeki katmanlardan biridir. Uygulama ile ağ arasında arabirim görevi üstlenir. Uygulamaların ağ üzerinde çalışmasını sağlar.

Application Layer

Uyumluluk

Sözleşme yükümlülüklerinden veya kurum içi politikalardan doğan gereksinimlere, yasalara veya hükümlere uyum sağlama kabiliyetidir.

Compliance

Uzaktan Erişim Servisi

RASBir ağ üzerindeki istemci bilgisayarlar arasında uzaktan erişimi sağlayan servistir.

Remote Access Service

Varlık

Kişiler, bilgiler, altyapı, finansal veriler ve itibar gibi korunmaya değer somut veya soyut kurumsal varlıkları ifade eder.

Asset

Veri Hırsızlığı

Bilgilerin kasıtlı olarak çalınmasıdır. Veri hırsızlığı şirket içinden biri veya şirketi hedef alan bir saldırgan tarafından gerçekleştiril ir.

Data Theft

Veri Kaybı

Verilerin yanlış yerleştirilmesinin bir sonucudur. Kasıtlı hırsızlık değildir.

Data Loss

Verilerin yanlış yerleştirilmesinin bir sonucudur. Kasıtlı hırsızlık değildir.

Verileri BölümlereAyırma

Yüksek değerli varlıkların veya verilerin korunması için gerçekleştirilen işlemdir. Verilere erişim sağlanması için birden fazla adımın takip edilmesi gerekir.

Compartmentalization

Veri Saklama Politikası

Hukuki veya kurum içi düzenleyici gereksinimleri karşılamak üzere verilerin kayıt altına alınması ve yönetilmesini içeren politikalar bütünüdür.

Data Retention Policy

Verileri SınıflaraAyırma

Verilerin kurum açısından önemi, kullanım süresi ve fayda durumu gibi konular göz önünde bulundurularak önemli kriterler ile sınıflara ayrılması sürecidir.

Data Classification

Veri Sızıntısı

Verilerin yanlış hedefe gönderilmesi, çalınması, silinmesi veya sızdırılmasıdır.

Data Leakage

Veri Şifreleme Standardı

DES İkili verilerin şifrelenmesi için kullanılan algoritmadır.

Data Encryption Standard

Virüs

Bilgisayarlarda veya bilgisayar ağları aracılığıyla kendi kendine çoğalabilen kötü amaçlı yazılımprogramıdır.

Bilgisayarlarda veya bilgisayar ağları aracılığıyla kendi kendine çoğalabilen kötü amaçlı yazılımprogramıdır.

VPN – Sanal Özel Ağ

VPN, istenilen ağlara uzaktan erişim sağlanmasına imkân tanıyan bağlantı türüdür. İletişim şifreli bir şekilde sağlanır ve aktarılan veriler dışarıdan ulaşılamaz.

Web Server

Hosting işlemini internet protokolü üzerinden sunan bir sunucudur.

XSSCross Site Scripting

Güvenilir web sitelerine zararlı scriptler enjekte edilmesini sağlayan bir saldırı türüdür.

YamaPatch

Yazılım programlama hataları ve zafiyetlerine ilişkin güncellemelerdir.

Yama Yönetimi

Yazılımları güncel tutmak ve güvenlik risklerini bertaraf etmek amacıyla yamaların alınması, test edilmesi ve uygulanması süreçlerini kapsayan sistemler yönetimidir.

Patch Management

Yönetişim, Risk Yönetimi ve UyumlulukGRC

Varlıkların ve operasyonların korunmasından sorumlu ve birbiriyle yakından ilişkili üç disiplini gruplandırmak için kullanılan terimdir.

Zafiyet

Zafiyetler yazılım programlarındaki hatalardır. Hackerlar zafiyetlerden faydalanarak kişilerin bilgisayarlarına sızabilir ve kritik verileri ele geçirebilir.

Vulnerability

Zafiyet Analizi

Zafiyetlerin tanımlanması ve sınıflandırılması sürecidir.

Vulnerability Analysis

Zero-Day Exploit

Sistemde yeni fark edilen bir açığı kullanarak yapılan saldırıdır.

Zombi

Üçüncü tarafların denetimini ele geçirdiği bilgisayarı tanımlamakta kullanılan bir terimdir.

Zombie

Zorunlu Erişim Kontrolü

MAC Erişim haklarını sistem belirler ve kullanıcı bunları değiştiremez. İşletim sistemi zorunlu erişim kontrollerini kendi yürütür.

Mandatory Access Control

www.uitsec .com