Bilinçli ve Güvenli:

Kurumunuzu korumak için

en iyi uygulamalar
Günümüzün hızla değişen tehdit ortamında,
bir kurumun ilk ve son savunma hatlarını
teknoloji değil, insanlar temsil etmektedir.

Siber güvenlik sorumluluğunun paylaşılması

gerekir. Bireysel ekip üyelerinin yanı sıra
güvenlik uzmanlarının oynayacakları
önemli roller de vardır. Herkes online
ortamda güvenli şekilde davranmak için
en iyi uygulamaları anlayarak kendi payına
düşeni yapabilir ve bu sayede birlikte siber
akıllı olabiliriz.

Siber akıllı olmak

Kurumunuzdaki herkesin aşağıdaki siber güvenlik bilgileriyle kendilerini ve iş arkadaşlarını online
ortamda güvende tutmak için neler yapabileceğini anlamasına yardımcı olun.

Cihazlar Dolandırıcılıklar Kimlik Avı Parolalar

Bilgi görselini Bilgi görselini Bilgi görselini Bilgi görselini

görüntüleyin görüntüleyin görüntüleyin görüntüleyin

Çalışanlara yönelik tehditler

Çalışanlara yönelik tehditler insanları hedef aldığından, saldırganlar kullandıkları sosyal mühendislik
taktikleriyle kullanıcıları erişim kimlik bilgilerini sağlamaları veya hassas bilgileri açığa
çıkarmaları için kandırmaya çalışır. En yaygın taktiklerin bazıları aşağıda listelenmiştir.

Kimlik Avı Hedef odaklı kimlik avı İçerik yerleştirme

Dolandırıcılar, çalışanlarınıza Kimlik avının daha ileri düzey Bu saldırı türü, kullanıcıları gizli
bir iş arkadaşı, arkadaşı veya bir biçimi olan hedefli kimlik bilgiler isteyen ikincil bir web
saygın bir kişi veya kurumdan avı, rastgele hedefler yerine sitesine yönlendiren kötü amaçlı
gönderilmiş gibi görünen belirli kişileri (değerli bilgilere bağlantılar, formlar veya açılır
ve bir bağlantı veya ek içeren veya erişime sahip olma pencerelerle tanıdık bir web
e-postalar gönderir. olasılığı en yüksek olan) sitesine (online bankacılık
hedefler. portalı gibi) kendisini ekler.

Bağlantı manipülasyonu Ortadaki adam Malware

Güvenilir kaynaklardan gelmiş Siber suçlular iki kişiyi Malware ; bilgisayarların,
gibi görünen ve kullanıcılardan kandırdıklarında birbirlerine tabletlerin, telefonların ve diğer
hesap bilgilerini girmelerini bilgi göndermeye başlarlar. uç nokta cihazlarının normal
isteyen sahte web sitelerine Dolandırıcı, sahte istekler kullanımına zarar veren veya
yönlendiren kötü amaçlı gönderebilir veya her bir bozan kötü amaçlı uygulamalar
bağlantılar. tarafın gönderdiği ve aldığı veya kodlar içerir.
verileri değiştirebilir.

Temel siber güvenliğin beş boyutu

Kurumunuzu saldırıların %99'undan korumanın yolu:

Sıfır Güven Modern

1 2 3 4 5
Çok faktörlü kimlik
ilkelerini malware'den Sistemleri Verileri
doğrulamayı (MFA)
uygulayın koruma kullanın güncel tutun koruyun
etkinleştirin

1 Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin

MFA etkinken, hesaplarınıza yapılan saldırıların %99,9’unu önleyebilirsiniz.¹

MFA en iyi yöntemleri

MFA en iyi yöntemleri Tedbirli olun Son kullanıcı çabasından kaçının

Çalışanlarınız için en az soruna
yol açan bir MFA seçeneği
belirleyin (cihazlarda biyometri
kullanmak, Feitan veya Yubico
güvenlik anahtarlarına benzer
FIDO2 uyumlu faktörler gibi).
Ek kimlik doğrulaması, hassas Kullanıcıların cihazlarında en son
verileri ve kritik sistemleri her bir yazılım güncelleştirmeleri güncel
etkileşime uygulamak yerine olduğunda kritik olmayan dosya
korumaya yardımcı olabiliyorsa paylaşımları veya kurumsal ağdaki
MFA'yı seçin. takvimlere erişim için çoklu oturum
açma sıralarından kaçınmasına yardımcı
olmak üzere koşullu erişim kuralları,
doğrudan kimlik doğrulaması ve çoklu
oturum açma (SSO) kullanın.

2 Sıfır Güven ilkelerini uygulayın

Sıfır Güveni bir kurum üzerindeki etkiyi sınırlayan tüm dayanıklılık planlarının olmazsa olmazıdır.

Sıfır Güven ilkeleri

İhlalin olduğunu varsayın
Saldırganların her şeye (kimlik,
ağ, cihaz, uygulama, altyapı vb.)
saldırabileceğini, başarılı bir
şekilde saldırdığını ve buna göre
plan yapabileceğini varsayın.
Yani olası saldırılar için ortamı
sürekli olarak takip edin.
Açık bir şekilde doğrulayın En az ayrıcalıklı erişimi kullanın
Kaynaklara erişime izin vermeden Tehlikeli olma olasılığı bulunan bir
önce kullanıcıların ve cihazların varlığın erişimini tam zamanında
iyi durumda olduğundan emin ve tam yeterli erişimle (JIT/JEA)
olun. Tüm güven ve güvenlik ve uyarlanabilir erişim kontrolü gibi
kararlarının ilgili kullanılabilir risk tabanlı kurallarla sınırlandırın.
bilgileri ve telemetriyi kullandığını Yalnızca bir kaynağa erişim için
açıkça doğrulayarak varlıkları gereken ayrıcalığa izin vermeniz
saldırgan denetimine karşı gerekir, daha fazlasına değil.
koruyun.

3 Modern malware'den koruma kullanın

Genişletilmiş algılama ve malware'den korunma yanıtını kullanın. Saldırıları tespit etmek,
otomatik olarak engellemek ve güvenlik operasyonlarına ilişkin bilgi edinmek için yazılımı uygulayın.

4
Güncel tutun
Yama uygulanmamış ve güncel olmayan sistemler, birçok kurumun saldırıların hedefinde olmasının
temel nedenidir. Ürün yazılımı, işletim sistemi ve uygulamalar dahil tüm sistemlerin güncel
olduğundan emin olun.

En iyi 3 uygulama

Patch uygulayın Azaltın Segmentlere ayırın

Hızla patch uygulayarak ve Gereksiz internet bağlantıları ile
varsayılan parolaları ve varsayılan açık bağlantı noktalarını ortadan
SSH bağlantı noktalarını kaldırın ve bağlantı noktalarını
değiştirerek cihazların güvenli engelleyerek, uzaktan erişimi
olduğundan emin olun. reddederek ve VPN hizmetlerini
kullanarak uzaktan erişimi
kısıtlayın.
Ağları segmentlere ayırmak,
saldırganın ilk izinsiz girişten sonra
yanal hareket etme kabiliyetini
sınırlar. IoT cihazları ve OT ağlarının,
güvenlik duvarları ile kurumsal BT
ağlarından izole edilmesi gerekir.

5 Verileri koruyun
Önemli verilerinizin nerede bulunduğunu ve doğru sistemlerin uygulanıp
uygulanmadığını bilmek, uygun korumayı uygulamak için çok önemlidir.

Yukarıda ayrıntıları verilen siber hijyen uygulamaları

hakkında daha fazla bilgi edinmek için bkz.
Temel siber hijyen, saldırıların %99'unu önler.

Ağınızı korumak için aklınızda tutmanız

gereken 10 ipucu
1. Çalışanlarınıza güvenli e-posta ve tarama eğitimi verin.
2. Office 365 için Microsoft Defender'da saldırı simülasyonu eğitimi sunun.
3. Parola kullanmayın, MFA kullanın.
4. Tüm kurum cihazlarının en son Windows sürümünü ve internet tarayıcısını kullandığından emin olun.
5. Kurumsal dosya kaydetme protokolleri. uygulayın. Kurum verilerini güvenli bir şekilde bulutta depolayın ve şifreleyin.
6. Çalışanları güvenli bağlantılar konusunda eğitin. Tarayıcınız için HTTPS Everywhere eklentisini yükleyin.
7. Web sitesi sertifikalarını kontrol ederek çalışanları web sitesi kimliklerini doğrulayacak şekilde eğitin.
8. Güvenli ortamlar sağlamak için en iyi otomasyon uygulamalarını ve veri yönetimi stratejilerini, keşfedin.
9. Varsayılan olarak açılır pencere engelleyicilerini etkinleştirin.
10. Microsoft Windows Defender gibi bulut tabanlı antivirüs çözümleri kullanın.

1. https://www.microsoft.com/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/

https://aka.ms/cybersecurity-awareness adresinden daha fazla en iyi siber güvenlik

uygulamadı ve yetenek fırsatı keşfedin.

©2023 Microsoft Corporation. Tüm hakları saklıdır. Bu belge "olduğu gibi" sunulmuştur. URL ve diğer internet web sitesi referansları dahil bu belgedeki bilgiler ve görüşler bildirimde
bulunmaksızın değiştirilebilir. Belgenin kullanımından doğan risk size aittir. Bu belge size, Microsoft ürünlerinin fikri mülkiyeti konusunda herhangi bir yasal hak sağlamaz. Bu belgeyi
kurum içi başvurularınız için kopyalayabilir ve kullanabilirsiniz