PCI-DSS Kapsamında Sosyal Mühendislik

Sosyal Mühendislik bir sistemde bilgiye erişme, kendine yeni kullanıcı açma veya kullanılan yazılıma yeni kod parçaları ekleme gibi birçok yöntem kullanarak sistemi manipüle etme girişimidir. Payment Card Industry Data Security Standard (kısaca PCI-DSS) sosyal güvenlik konusunda kesinlikle uygulanması gereken yöntem listesi yoktur ancak yapılacak olan testin belli kriterlere sahip olmasını istemektedir. Son 12 ay içerisinde yapılan sızma testinin Sosyal Mühendislik Saldırılarından uyarlanarak yapılması istenir. Örneğin e-posta yoluyla yapılan bir saldırıda sistemde kayıtlı olan bir kullanıcının bilgileri ile sisteme erişmek. Sosyal mühendislik saldırı simülasyonu aynı zamanda yazılım ortamına kötü amaçlı bir yazılım sokmak amacını da güdebilir.

Sosyal mühendislik testlerinin asıl amacı, belgelenmiş olan politika ve prosedürleri, verilen farkındalık eğitimlerini takip etmeyen son kullanıcıları tespit etme konusunda oldukça etkili bir yöntemdir. Bu konuda izlenmesi gereken kesin bir yöntem yoktur. Şirketler yılda bir yaptırdığı güvenlik denetimlerine ek olarak sosyal mühendislik testlerini de ekleyebilir. Sonrasında yapılacak olan testin kurumun gündemlerine, karmaşıklık ve büyüklüğüne, izlenilen güvenlik politikalarına uygun bir metot ile yürütülmesi testi yaptıran kurum için daha efektif olacaktır. Bu testler, bir kurum çalışanının e-posta yoluyla gelen bir formu doldurarak şifresini teslim etmesi ya da bir bağlantıya tıklatarak bilgisayarının ele geçirilmesine olanak sağlaması gibi farklı olaylar ile sonuçlanmaktadır. Certby, bünyesindeki tecrübeli ve Uzman Red Team ekibi ile güvenlik farkındalığını ölçmekte ve herhangi bir ihlal konusunda gelinebilecek üzücü noktalar konusunda oldukça etkili yöntemler uygulayarak sosyal mühendislik testleri uygulamaktadır.

PCI-DSS, sosyal mühendislik testlerini zorunlu kılmaz ancak kurumun isteği dahilinde güvenlik testlerine dahil edilebilir. Bu testlerin sıklığı kurumun yapısına göre ortak karar ile belirlenmektedir. Testler sonunda başarısız olan kullanıcıların, güvenlik farkındalığı eğitimlerine katılması ve her test yapıldığında daha az çalışanın, kurumu riske edecek faaliyetlerde bulunması düşünüldüğünde epey faydalı olacaktır.