Bilgi Güvenliği Yönetim Sistemi ve Varlık Yönetimi

A-8 Varlık Yönetimi

A 8.1 Varlıkların Sorumluluğu

Hedef: Kurumsal varlıkları belirlemek ve uygun koruma sorumlulukları tanımlamak.

8.1.1 Varlıkların envanteri

Kontrol: Bilgi ve bilgi işleme araçları ile ilişkili varlıklar tanımlanmalı, varlıklara ait bir envanter hazırlanmalı ve sürdürülmelidir.

Uygulama Kılavuzu:

Kurum bünyesinde, bilginin yaşam döngüsü gözönünde bulundurularak bilgi varlıkları tanımlanmalı ve önlemleri dokümante edilmelidir. Bilginin yaşam döngüsü, bilgiyi oluşturma, işleme, depolama, iletimi ve imhasını içermelidir.

Bilgi varlık envanteri, kurum varlıklarını içerecek şekilde güncel olarak tutulmalıdır. Kurum bünyesinde hali hazırda kullanılan varlık entanverleri mevcutsa var olan envanter ile bütünleşik kullanımı fayda sağlayacaktır.

Belirlenen her bir bilgi varlığı için sahiplik ataması ve varlık sınıflandırılması yapılmalıdır. Örnek bilgi varlık envanteri için ISO 27005 ve ISO 27000 standartları referans olarak kullanılabilir.

Drive By Download

Drive By Download, zararlı yazılım içeren bir web sitesini ziyaret edildiğinde zararlı yazılımın kullanıcı bilgisayarına bulaşması durumudur. Yalnızca bir web sitesinde gezinirken ya da bir yazılım yüklemesi durumunda onay verilmesi halinde zararlı yazılım bilgisayara indirilmiş ve arka planda çalışmaya başlamış olacaktır. Drive By Download türü zararlı yazılımların bulaştırılması tamamen kasıtsızca gerçekleşir.

Bu zararlı yazılımlar, tarayıcının, işletim sisteminin ya da bir uygulamanın güvenlik açığından faydalanırlar. İlk etapta indirilen zararlı yazılım kodu ise oldukça küçük bir kısım oluşturur, bu kodun görevi ise uzaktaki bilgisayarla bağlantı kurup kodun geri kalan bölümünü tamamıyla bilgisayara, tablete yada akıllı telefona indirilmesini sağlamaktadır.

Web siteleri, bilgisayarda bulunan güvenlik açıklıklarıyla/zayıflıklarla eşleşecek şekilde alternatif olarak farklı türlerde zararlı yazılım kodu içerirler. Zararlı yazılımların görevi tarayıcıdaki güvenlik zafiyetlerini de açığa çıkarmak da olabilir. Bu tür zararlı yazılımlar, meşru web sitelerine de ilgi çekebilecek linkler aracılığı ile bulaştırılabilirler. Bu tip sosyal medya sitelerine, mail adresleri vb. yönlendirme linklerine tıklandığında, çoktan zararlı yazılım bilgisayara yüklenmeye başlanmış olur.

Bu tür saldırıların önüne geçmek için, zararlı ve tehlikeli web sitelerine (Yetişkin içerik, dosya paylaşım siteleri vb.) giriş yapmaktan kaçınılmalıdır. Internet tarayıcısı ve işletim sistemi güncel sürümü yüklenmeli, güvenilir arama motorları kullanılmalı ve antivirüs programları kullanılmalıdır.

İnsan Kaynakları Güvenliği -İstihdamın Sonlandırılması ve Değiştirilmesi-

7.3 İstihdamın Sonlandırılması ve Değiştirilmesi

Hedef: İstihdamın değiştirilmesi ve sonlandırılması sürecinde, kuruluşun çıkarlarını korumak.

7.3.1 İstihdamın sonlandırılması veya değiştirilmesi sorumlulukları

Kontrol:

İstihdamın sonlandırılması veya değiştirilmesinden sonra geçerliliğini koruyan bilgi güvenliği sorumlulukları ve yükümlülükleri tanımlanmış, çalışanlara ve yüklenicilere bildirilmiş ve uygulamaya zorlanmış olmalıdır.

Uygulama Kılavuzu

İstihdamın sonlandırılması ile birlikte önceden tanımlanmış süre boyunca bilgi güvenliği rol ve sorumlulukları devam etmelidir. Bilgi güvenliği açısından kurum içi pozisyon değişiklikleri de istihdam sonlandırılması olarak değerlendirilmesi fayda sağlayacaktır. İstihdam sonrası bilgi güvenliğinin sağlanması adına, istihdam sonrası rol ve sorumluluklar işe alım sırasında yapılan sözleşmelerle garanti altına alınmalıdır. Erişilen bilginin hassasiyetine göre  anlaşmalara bilgiyi ifşa etmeme süresi tanımlanmalıdır.

Kurumsal ortamda istihdamın sonlandırılmasına ilişkin sorumluluklar genellikle İnsan Kaynakları bölümlerinin işlettiği bir süreç olarak görülmektedir. Bu süreçte istihdamı sonlandırılan personelin çalıştığı bölüm/birim/departman ile koordineli olarak çalışmak faydalı olacaktır. Kurum içinde dış kaynak çalıştırılıyorsa, personelin bağlı olduğu kurum ile sürecin yönetilmesi sağlıklı olacaktır. Gerekli ise istihdam sonlandırılması ve görev değişimlerinde tüm ilgili tarafların örneğin; çalışanlar vemüşterilerin bilgilendirilmesi faydalı olacaktır.

ENERJİ PİYASASINDA BİLGİ GÜVENLİĞİNE VERİLEN ÖNEM GİDEREK ARTIYOR

EPDK’nın (Enerji Piyasası Düzenleme Kurumu) son dönemlerde geliştirdiği bilgi sistemleri projeleri ve bilgi güvenliğinin sağlanmasına ilişkin yayınladığı yönetmelik taslakları ile enerji sektöründe bilgi güvenliğinin sağlanmasına verilen önemin giderek arttığı gözlemlenmektedir.

EPDK’nın 2011-2015 stratejik planına göre EBİS yani EPDK Bilişim Sistemi Geliştirilmesi Projesi ile kurumun faaliyetlerinin (Denetim vb.) etkinliğinin ve izlenebilirliğinin arttırılması, zamanında ve güvenilir raporların oluşturulması, bilgi sistemleri yönetiminin sağlanması, doküman yönetimi, enerji piyasası veritabanı gibi sistemlerin hayata geçirilmesi planlanmaktadır.

EPDK bünyesinde bilgi sistemleri anlamında altyapı çalışmalarını sürdürürken, web sitesinde yayınladığı elektrik, doğal gaz, petrol piyasaları lisans yönetmeliklerinde öngördüğü değişiklikler ile enerji sektöründe yer alan özel ve kamu kurum/kuruluşlarının bilgi güvenliğini sağlamasına yönelik hükümler de ortaya koymaktadır. Tüm bu bilgi güvenliğinin sağlanmasına yönelik hükümlerin ise EPDK’na tabi kurumlar için ISO 27001 Bilgi Güvenliği Yönetim Sistemini işaret ettiği görülmektedir.

Elektrik Piyasası Lisans Yönetmeliği, Doğal Gaz Piyasası Lisans Yönetmeliği Ve Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik

EPDK’nın web sitesinde geçtiğimiz aylarda “Elektrik Piyasası Lisans Yönetmeliği, Doğal Gaz Piyasası Lisans Yönetmeliği Ve Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik” yayınlandı ve ilgili taraflardan görüş toplandı.

Yayınlanan yönetmelik taslağına göre Elektrik Piyasası, Doğal Gaz Piyasası ve Petrol Piyasası Lisans Yönetmeliklerine eklenecek yeni bir maddede özetle “kurumsal bilişim sistemi ve endüstriyel kontrol sistemlerinin bilgi güvenliği standartlarına uygun bir şekilde işletilmesi, Türk Akreditasyon Kurumundan akredite bir belgelendirme firması tarafından denetlenmesi ve uyumluluğun sürdürülmesi” istenmektedir.

Elektrik Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Elektrik Piyasası Lisans Yönetmeliğine tabi “OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış her bir üretim tesisi için ayrı ayrı olmak üzere üretim lisansı sahibi,  İletim Lisansı sahibi, Piyasa İşletim Lisansı sahibi, OSB dağıtım lisansı sahipleri hariç olmak üzere, Dağıtım Lisansı sahibi” firmalar için geçerli olacaktır.

Doğal Gaz Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Doğal Gaz Piyasası Lisans Yönetmeliğine tabi “İletim Lisansı sahibi ve Dağıtım Lisansı sahibi” firmalar için geçerli olacaktır.

Petrol Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Petrol Piyasası Lisans Yönetmeliğine tabi “Rafinerici Lisansı sahibi” firmalar için geçerli olacaktır.

Beklenen o ki önümüzdeki dönemlerde, bilgi güvenliği çalışmaları ve bilgi işleme sistemlerinin altyapı değişikliği enerji sektöründe hız kazanacaktır ve sektörde bilgi güvenliği anlamında ortak bir dil oluşturulacaktır.

Android - Kilit Ekranını Etkinleştirmek, Parola Koymak ve Parola İçerisinde Sayısal Karakterler Kullanılması

Cihazınızdaki kişisel ve ya kurumsal bilgilerinizi korumak için kilit ekranı oluşturmak fayda sağlayacaktır. Kilit ekranı; telefonunuzun şifresini bilmeyen kişilerin, telefonunuza erişimini engeller. Çok basit bir işlemle kilit ekranını etkinleştire bilir ve şifre koyabilirsiniz.

İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Personal (Kişisel)” bölümünde
bulunan “Security (Güvenlik)” seçeneğine tıklıyoruz.

Bundan sonra karşımıza gelen ekranda ise “Screen Security (Ekran Güvenliği)” bölümünde bulunan
“Screen lock (Ekran kilidi)” butonuna basıyoruz.

Karşımıza ekran kilidi seçeneklerinin bulunduğu bir ekran çıkıyor. Buradan “Password (Şifre)”
seçeneğini seçiyoruz.

Bundan sonra karşımıza çıkan ekranda ise parolamızı gireceğiz fakat burada parolamızı oluştururken önemli bir nokta var. Parolamızı oluştururken mümkün olduğunca büyük-küçük harfler, işaretler ve rakamlar kullanarak güçlü bir parola oluşturmaktır. Parolanızı her telefonunuzu kullanacağınızda girmeniz gerektiğinde hatırlayabileceğiniz şekilde koymanızda fayda vardır. Parola en az 4, en fazla 17 karakterden oluşabilir ve içerisinde en azından bir harf içermesi gerekmektedir.

iOS Mobil Cihazı Parola ile Kilitleme

iOS 7 iPhone, iPad ya da iPod touch’da verilerinizi korumak için parola kullanmanız faydalı olacaktır. Aygıtınızı her açtığınızda ya da uyandırdığınızda, aygıta erişmek için parola istenecektir. Touch ID özelliği bulunan iPhone 5s'te telefon kilidini açmak için parmak izi de kullanabilirsiniz.

Konrolü için,

1. Ayarlar

2. Genel
3. Parolayla kitleme

İyileştirme,

1. Ayarlar           

2. Genel

3. Parolayla Kilitleme

4. Parolayı Aç

5. Bir parola girin

6. Parolayı yeniden girin

Kilitlemenin en önemli özelliği, 4 basamaktan daha fazla sayıda karakter içeren, karmaşık şifrelere de izin vermesidir.

Cihazın kilidini açmak için alfanümerik bir şifre ile korumak, yetkisiz erişim sağlamak isteyenler tarafından parolanın belirlenebilme zorluğunu arttıracağı için basit parola yerine karmaşık parola tercih etmek daha güvenli olacaktır. Bunun için basit parolanın kapatılması gerekmektedir.

Konrolü için,

1. Ayarlar

2. Genel

3. Parolayla Kitleme

4. Parolanızı girin

5. Basit parolanın kapalı olduğunu doğrulayın

İyileştirme,

1. Ayarlar

2. Genel

3. Parolayla Kitleme

4. Parolanızı girin

5. Basit Parolayı kapatın.

6. Eski parolanızı girin

7. Yeni, Karmaşık Bir Parola Girin

8. Sonraki ögesine dokunun

9. Karmaşık parolanızı tekrar girin

10. Bitti ögesine dokunun

Parmak İzi ile Koruma Yapılandırması

İzinsiz ‘paşarılı parola’ girişiminin önüne geçmede oldukça etkili bir yöntemdir. Bu özellik şu anda sadece 5S de bulunmaktadır. Çalışma yöntemi ise, izi önceden bırakılan parmağın, ev tuşuna basılmak sureti ile okutulması şeklindedir.

Kontrolü için,

1. Ayarlar

2. Genel

3. Parola & Parmak İzi

4. Parmak İzi

5. Parmak izi için, parola korumasının kapalı olduğunu doğrulayın

İyileştirme,

1. Ayarlar

2. Genel

3. Parola & Parmak İzi

4. Parmak İzi

5. Parmak izi için, parola korumasını kapatın

Ransomware (Fidyeci Yazılımlar)

Saldırganlar, Ransomware ile bilgisayar ve dosyalarınıza erişiminizi engelleyerek tekrar erişiminiz karşılığında fidye talep ederler. Bu türden zararlı yazılımlar kullanıcı verilerine erişerek rehin alırlar. Örneğin; kullanıcı bilgisayarında bulunan dokümanları parola ile korumalı bir dosyanın içerisine kopyalayarak, orijinal dokümanları siler. Verilerinin bulunduğu dosyaları kullanıcı açmaya çalıştığında kullanıcıya bir mesaj bırakarak fidye karşılığında verilerinin bulunduğu dosyanın parolasını vereceğini taahhüt eder. Fidye ödenmediği takdirde verilerin silineceği ya da kötü amaçla kullanılacağı gibi tehditler gönderebilirler.

Ransomware yoluyla saldırganlar kullanıcılara resmi otoriteler olarak da görünebilir. Pop-up penceresi, bir web sitesi ya da e-posta gibi yollarla, kullanıcıya mesaj göndererek, program ve dosyalarına erişebilmek için, kullanıcıda istenilen fidyeyi iletmesi istenebilir.

Kullanıcı bilgisayarına yüklendiği tespit edilen ransomware zararlı yazılımıyla ilgili olarak, temizlemeye yönelik güvenlik çözümleri kullanılmalıdır ve özellikle dönemsel olarak yaygınlaşan bu tip yazılımlara karşı dikkatli olunarak, farkındalık sağlanmalıdır.

Android Sürümünü Güncel Tutmak ve Güncel Sistemin Önemi

Android sürüm güncellemeleri; sistem, içerik, güvenlik, hız gibi birçok önemli özellik içerirler. Android sürümünüzü güncel tutarak daha iyi bir android deneyiminin yanında güncel güvenlik tehditlerine karşı da daha çok korunmuş olursunuz. Peki, cihazınızın Android sürümünü nasıl güncel tutarsınız;

İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve en altta bulunan “About phone (Telefon hakkında)” seçeneğine tıklıyoruz.

Bundan sonra karşımıza gelen ekranda ise “System updates (Sistem güncellemeleri)” butonuna tıklayarak Android sürümümüzün güncel olup olmadığını kontrol edebiliriz.

iOS Mobil Cihazlarda Sistem Güncellemenin Önemi

Sistem güncellemesi

Çıkan güncellemeler ile işletim sisteminin sürümünü yükseltmek, olası güvenlik açıklıklarını düzeltmek ve olası güvenlik istismarlarını önlemek için faydalı olmaktadır.

Güncelleme kontrolü için,

1. Ayarlar

2. Genel

3. Hakkında

4. Sürüm 7.0.4

Bu güncel değerlere sahip değilse cihazınız

İyileştirme

iTunes kullanılarak güncelleme,

1. Cihaz bilgisayara usb kablosu aracılığı ile bağlanır

2. iTunes açılır

3. Cihazlar listesinde, bağlanan telefon seçilir

4. Güncelleme olup olmadığı denetlenir

5. İndir ve kur seçilir

6. Güncelleme bitene kadar bağlantı kesilmez

İlk adım söz konusu güncelleme paketinin inip, kurulabileceği bir alan hazırlamaktır. Yeterli hafıza olmadan, güncelleme başlamaz.

Wifi üzerinden güncelleme,

1. Ayarlar

2. Genel

3. Yazılım güncelleme

4. iOS güncellemeleri otomatik olarak kontrol edecektir. Mevcut güncelleme olması durumunda, İndir seçeneği ile yükleyebilir ve kurabilirsiniz.

5. Güncelleme bitene kadar cihaz kapatılmamalı ve kullanılmamalıdır. Bir güç kaynağına takılı olması ve yeterli kullanılabilir alana sahip olmak gerekmektedir.




Güncellemenin doğrulanmasının ardından, siyah ekran gelir ve cihaz güncellemelere uyarlanarak yeniden başlamış olur.

Mobil Cihaz Güvenliği

Bir bilgiye ilişkin aşağıdaki konumlardan herhangi birinde iseniz;

• Bilginin sahibi
• Bilgiyi kullanan
• Bilgi sistemini yöneten

Çok ciddi sorumluluklarınız ve görevleriniz var demektir. Çünkü hedeftesiniz!

Bilgi güvenliğinin sağlanmasında yalnızca IT/BT tabanlı teknolojik önemlerin yeterli olmadığı yaşanan bir çok olayla defalarca kanıtlandı. Son kullanıcının görev ve sorumluluklarını bilmesi ve yaşayabileceği bilgi güvenliği ihlallerinin farkında olması kritik derecede önemlidir. Mobil cihazlar ise son kullanıcıların hem kişisel hem de kurumsal bilgilerini barındırdığı ve çok sayıda kişinin verilerine ulaşılmasında da köprü görevi gördüğü için kritik öneme sahiptir.

Gizlilik : Bilginin yetkisiz kişilerin eline geçmemesidir.

Bütünlük : Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.

Erişilebilirlik : Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır.

Üç durumdan birinin bozulması, bilgilerinizin güvende olmadığını gösterir.

Son kullanıcılar tarafından mobil cihazlarda barındırılan uygulamalar, kayıtlı olunan sosyal ağlar, adres defterleri, mail hesapları, takvimler, notlar ve daha bir çok veri içeren platformdan dolayı, mobil cihazlar için son kullanıcı bilgi güvenliği farkındalığı hayati önem taşımaktadır.

Bu yazı dizisi, iOS ve Android cihazlarda bilgi güvenliği adına uygulanması gereken adımlarını içermektedir.

Mobil Cihazlar İçin Son Kullanıcı Bilgi Güvenliği Uygulama Adımları, Android;

“Security Configuration  Benchmark  for  Android  4.0” çalışmasını referans alarak, işletim sistemi Android 4.0 ve desteklediği tüm donanımlar için geçerli olup,  Android  4.0  ve Android 4.0.3 SDK sürümünü bulunduran Android Sanal Makinası  üzerinde test edilerek yazıya dökülmüştür.

Mobil Cihazlar İçin Son Kullanıcı Bilgi Güvenliği Uygulama Adımları, iOS;

“Security Configuration Benchmark for Apple iOS 7” çalışmasını referans alarak, işletim sistemi iOS 7.0.2 ile üst sürümleri olan ve iPhone 5S, iPhone 5C, iPhone 5, iPhone 4S, iPhone 4, iPad with Retina display, iPad Mini, iPad 2, iPod Touch (5th Generation) aygıtları için geçerli olup, iPhone 4S üzerinde test edilerek yazıya dökülmüştür.

Veri Çalınması/Veri Hırsızlığı (Data Theft)

Veri çalınması kasıtlı olarak yetkisiz kişilerin bilgilere ulaşma ve ele geçirmesi durumudur. Veri çalınması olayları organizasyon dışından kişiler tarafından gerçekleştirilebileceği gibi, organizasyon içinden kişiler tarafından da gerçekleştirilmesi mümkündür. Örneğin küskün çalışanların veri hırsızlığı yaptığı durumlarla organizasyonlar sıklıkla karşı karşıya gelebilmektedir.

Organizasyon içerisinde olan kişiler için veri hırsızlığı kolaylıkla gerçekleştirilebilir. Kişilerin erişim yetkileri dahilinde organizasyon için bilgi güvenliğini ihlal ederek veri hırsızlığı yapmaları için herhangi bir araç kullanmalarına gerek kalmayabilir. Özellikle verilere dışarıdan yetkisiz erişim sağlamak isteyen kişiler ise sıklıkla zararlı yazılımlar kullanırlar. Keyloggerlar da bu işlemler için tercih edilen araçlardandır. Kullanıcı aktivitelerini izlerler ve kullanıcı adları, parolalar gibi önemli bilgiler elde ederek saldırgana ulaştırırlar.

Kullanıcılara ait banka hesapları, e-posta adresleri, sosyal medya hesaplarına giriş parolaları gibi önemli bilgilerin ve verilerin çalındığı olaylara dünyada çok sayıda örnek vermek mümkündür. Veri hırsızlığı olayları ayrıca kasıtlı olarak yapılan, laptop, CD, USB Bellek gibi ortamların çalınması yoluyla da gerçekleşir.

Veri Kaybı (Data Loss)

Veri kayıpları verilerin kasıtlı olarak ele geçirilmesi dışında, verilerin yanlışlıkla kaybedilmesi ya da yok edilmesi sonucunda oluşur. Bu tip olaylar genellikle, veri taşıyan cihazların (medya ortamlarının) kaybedilmesi ile meydana gelir. Örnek olarak CD, DVD, Flash Bellekler, laptop, tablet, cep telefonu gibi bilgi depolanan araçların kaybedilmesi verilebilir.

Veri kaybı kazayla (kasıtsız) olarak gerçekleşse de kaybedilen ortam ve veri tehlike altına girecektir. Yetkisiz kişilerin erişimine açık ortamda bulunan veriler kolayca ele geçirilebilir hale gelecektir.

Veri depolama ortamının kaybolması riskine karşı şifreli diskler, uygulamalar, programlar, verilerin yetkisiz erişime karşı korunması amacıyla alınabilecek önlemler arasındadır.

Veri Sızıntısı (Data Leakage)

Veri sızıntısı, bilgiye yetkili olmayan kişiler tarafından ulaşılmasıdır. Bu duruma örnek olarak, şirket çalışanların, müşterilerin ve ilişkili diğer kimselerin özel kimlik bilgilerinin üçüncü kimseler tarafından ele geçirilip halka açık internet sayfalarında yayınlanması gösterilebilir.

Veri sızıntılarını engelleme Güvenlik Bölümü çalışanlarının başlıca görevleri arasındadır. Sistem kullanıcıları dosyalarını, veri sızıntısının risklerini ve doğuracağı sonuçları tam olarak anlayamadan yollayabilir veya paylaşabilirler. Bu tip durumlara hazırlıklı olmak için; antivirüs yazılımları, şifreleme yazılımları, güvenlik duvarları DLP gibi otomatize yöntemlerle azaltacağı gibi, kişisel farkındalığın artırılması kilit öneme sahiptir.

Exploit

Exploit, bilgisayar ve sistem üzerindeki açıklıklardan ya da hatalardan faydalanarak sistemlere sızma amacı taşıyan programlardır. Sistemlere erişim yöntemlerine göre exploitlerin çeşitleri mevcuttur:

  -Remote Exploit (Ağ üzerinden sistemle etkileşimde bulunurlar.

  -Local Exploit (Genelde sistemdeki yetkili kullanıcı özelliklerini kullanmak amacıyla oluşturulurlar)

    -Client Side Exploit ( Sistemle etkileşimde bulunduktan sonra bir kullanıcı tarafından tetiklenerek aktif olurlar)

Saldırganlar için exploitlerin en önemli avantajı sisteme sızarak “yetkili profil” oluşturabilmelidir. Exploitler saldırganlar tarafından açıklıklardan faydalanarak özel amaçlar için kullanılmak üzere tasarlanırlar. Yama yönetimi exploitlerden korunmak için oldukça önemlidir. Spesifik bir açıklık için yama güncellemesi yapıldığında exploitler etkisiz hale gelmektedir.

Zero-day exploit ise açıklık bilinirliği sağlanmadan önce gerçekleştirilen saldırılara verilen isimdir. Üretici/tedarikçi şirket açıklığı yayınlamadan önce zero day exploit saldırıları gerçekleştirilmiş olur. Öyle ki açıklık ilk defa saldırganlar tarafından tespit ediliyor olabilir.

Tüm işletim sistemleri ve uygulamalar exploitlerden etkilenmeye açıktır. Bu nedenle önlem için antivirüs ve endpoint güvenlik yazılımları kullanılmalı ve yama yönetimi gerçekleştiriliyor olmalıdır.