Biznet BilişimBiznet Bilişim

By Merve Demir Akansel

BAD RABBIT Aşınızı Oldunuz mu?

“ForeScout CounterACT’”in Security Policy Template eklentisini (Security Policy Templates (17.0.10.1006) MD5: 39314eddaa5cbc83b0b314f667fa7d99) yükleyerek/zaten varsa da güncelleyerek makinelerinizdeki;

  • Bad Rabbit
  • IoT Reaper
  • WPA2 KRACK
  • EsteemAudit
  • EternalBlue
  • Petya
  • WannaCrypt/WannaCry

zafiyetlerini ve tehditlerini ForeScout ile belirleyebilir, değerlendirebilir ve cevap verebilirsiniz.   Read more

By Merve Demir Akansel

NAC ürününü kullanmıyorsanız daha çok WannaCry’lanırsınız!

WannaCrypt / WannaCry ransomware saldırısından dünya çapında pek çok kuruluşun etkilendiğini ve bu virüsün yüzbinlerce Windows bilgisayara bulaşmış durumda olduğunu hepimiz biliyoruz.

Peki biz ForeScout ile WannaCrypt/WannaCry ransomeware saldırısından nasıl korunduk?

ForeScout kullananlar çok iyi bilirler ki ForeScout CounterACT’ta “Windows Update Compliance” politika şablonunu kullanılır ve bu politika sayesinde cihazların uyumlu olup olmadığı belirlenir (örneğin Windows güncellemelerinin yapılıp yapılmadığı tespit edilebilir). Bu politika ile, Microsoft tarafından en son  yayımlanan güvenlik açığı yamaları güncelleştirilmemiş olan bilgisayarlar algılanır ve bir Windows Not Updated grubu oluşturarak , güncel olmayan kullanıcı bilgisayarlarını bu grubun içine atar.  Uyumlu olmayan bu bilgisayarlarda, tercihinize göre,isterseniz Start Windows Updates özelliğini uygulayarak Windows güncellemelerini otomatik olarak başlatırsınız, isterseniz de Windows Self Remediation seçeneğini kullanarak, kullanıcılara link göndererip güncelleştirmeleri kendileirnin indirmesini ve yüklemesini sağlayabilirsiniz. Böylece iyileştirme sağlayarak söz konusu saldırılardan korunmuş olursunuz.

Bildiğiniz gibi, WannaCrypt fidye yazılımı, kendisini yaymak için bir SMB zafiyeti kullanıyor. AslındaMicrosoft, Windows sürümlerinde desteklenen bu güvenlik açığını çözmek için 14 Mart 2017 tarihinde bir yama yayınladı. (Microsoft Security Bulletin MS17-010) ForeScout ise 20 Mart 2017’de CounterACT HPS vulnerability DB 17.0.3 plugin’ini piyasaya sürmüştü ki bu plugin, )Windows yamaları eksik olan bilgisayaları ve bu saldırının da ana nedeni olan zafiyetleri görmemizi sağladı. ForeScout kullanıcıları bu plugini yükledikten sonra son Windows güncellemelerini zaten yapmıştı.

2. aşama olarak, ForeScout Tenable Vulnerability Management (VM) modülü sayesinde CounterACT’ı Tenable SecurityCenter ve Nessus tarayıcılarıyla entegre edebileceğinize vurgu yapmakta fayda var.

Böylece;

  • CounterACT tarafından tespit edilen ağ hareketlerine bağlı olarak Nessus tarayıcı veya SecurityCenter tarama isteklerini tetikleyebilirsiniz.
  • Nessus tarama sonuçlarına bağlı olarak son kullanıcılarını izleyebilir, yönetebilir, kısıtlayabilir ve iyileştirebilirsiniz.
  • Hangi son kullanaıcıların modül tarafından güvenlik açığı olarak tanımlandığını CounterACT Inventory’de görebilirsiniz.

Desteklenen Tenable Sürümleri aşağıda listelenmektedir:

  • Nessus tarayıcı sürümleri 6.0.0 6.9.2’ye kadar
    SecurityCenter sürüm 4.8.2, 5.3.2, ve 5.4.2

Ayrıca ForeScout, ağ bileşenleri hakkında bilgi toplayan ve yazılım yüklemelerini ve güncellemeleri gerçekleştiren Microsoft® System Management Server (SMS) 2003 ve System Center Configuration Manager (SCCM) 2007 ve SCCM 2012 ile de entegre çalışmaktadır.

Tüm bunlara ek olarak, 15 Mayıs tarihinde ForeScout, sisteminizdeki WannaCrypt zararlısını hızlı bir şekilde belirlemenize ve hafifletmenize de yardımcı olacak “Security Policy Templates” adı verilen yeni bir güvenlik politikası şablonunupiyasaya sürdü. Bu şablon, ForeScout CounterACT “Security Policy Templates plugin v17.0.5” aracılığıyla sunulmuştur.

Bu pluginin içerdiği politika şablonları aşağıdaki gibidir:

  • “WannaCry vulnerable endpoints” (WannaCry zafiyet olan kullanıcılar)

Bu şablonla WannaCry / WannaCrypt kötü amaçlı yazılımlara karşı bir Windows kullancılarının güvenlik açığı ve bu kullanıcı bilgisayarı üzerinde Microsoft yamalarının yüklü olup olmadığını görebilirsiniz.

  • “WannaCry infected endpoints” (WannaCry virüs bulaşmış kullanıcılar)

Bu şablonla oluşturduğunuz politikalarda, WannaCry / WannaCrypt zararlı yazılımının ve bilinen türevlerinin bulaşmış olduğu Windows kullancılarını tespit edebilirsiniz.

Daha sonra bunları kullanarak politikalar oluşturabilir, savunmasız ve virüs bulaşmış kullanıcılarınızdan kaynaklanan riski azaltmak için onlara çeşitli aksiyonlar uygulatabilirsiniz.

Wannacry saldırısı bize pek çok ders verdi ve ForeScout’ın ağınızdaki fidye yazılımları ve diğer kötü amaçlı yazılım tehditlerini önlemeye ve ağınızda var olan potansiyel riski tanımlamaya yardımcı olma konusundaki önemini bir kez daha gözler önüne serdi.. Unutmamakta fayda var ki; henüz olmadıysa bile bir dahaki sefere sizin cihazınız da benzer virüslerin bulaştığı cihazlardan biri olabilir.

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.

Referanslar:

https://www.forescout.com/support/login/

https://updates.forescout.com/support/index.php?url=knowledge_base

By Merve Demir Akansel

YENİ NESİL AĞ ERİŞİM KONTROLÜ

                   Ağınızdaki Tüm Cihazları Görünür ve İzlenebilir Hale Getirin!

 Zengin İçeriksel Analizleri Toplayın!

 Dizginleri Elinize Alın!

 

                

Yönetebildiğiniz cihazlarınız; şirkete ait bilgisayarlar, dizüstü bilgisayarlar, mobil cihazlar……

veya

Yönetemediğiniz cihazlarınız; çalışanlarınızın, müteahhitlerinizin veya ziyaretçilerinizin ağınıza erişmek için kullandıkları kendi dizüstü bilgisayarları, tabletleri, akıllı telefonları…..

veya

Çoğu IoT cihazları; akıllı buzdolapları, akıllı ampuller, video konferans sistemleri, VoIP telefonları, güvenlik sistemleri ve klima kontrol sayacı, tıbbi cihazlar, 3D yazıcılar……

Liste uzayıp gidiyor.

Ağınıza bağlanan cihazların sayısının gün geçtikçe arttığı günümüz dünyasında, cihaz sayısı arttıkça saldırı yüzeyinizin de artacağını, ağınızdaki her cihazın, keşfedilmesi ve güvence altına alınması gereken potansiyel bir saldırı noktası olduğunun farkında mısınız? Peki ya bu artışların daha fazla riske neden olacağının, daha fazla zaman ve daha fazla para harcamanız gerektiğinin?

Kurumunuzda güvenlikle ilgili daha az ihlallerin yaşanacağını söylesek ya da ağınızda daha fazla cihazı tespit edebileceğinizi veya IT verimliliğinizin oranında artış yaşayacağınızı bilseniz?

Tüm bu sorunlarınızı ve soru işaretlerinizi ortadan kaldırabileceğiniz bir teknoloji ile tanışmak ister misiniz?

ForeScout CounterACT® teknolojisi, geleneksel NAC cihazlarından farklı olarak; ajan gerektirmeden, ağınıza girdikleri anda cihazları keşfederek ayrıntılı görülebilirlik sağlıyor, hatta görmenin ötesinde gördüğü cihazların her biri için zengin bir veri seti topluyor, bu cihazları sınıflandırıyor ve cihazların güvenlik durumlarını değerlendiriyor, sizin izin verdiğiniz spesifik davranışları yapması için  belirlediğiniz politikaları uyguluyor, gün boyunca cihazlar ağa gelip gittikçe onları sürekli olarak izliyor ve bu iş akışınızı otomatikleştiren benzersiz bir yetenek sunuyor.

Göremediğinizi kontrol altına alamazsınız düşüncesiyle CounterACT® ile geleneksel NAC cihazlarından daha fazlasını görebilirsiniz.

Cihazların tipini, MAC ve IP adreslerini, yerlerini, bağlantı tiplerini, donanımsal bilgilerini, sertifikalarını, kullanıcıların isimlerini, mail adresleri ve telefon numaralarını, domainde olup olmadığını, kimlik doğrulamalarını, işletim sistemlerinin türünü, versiyon numarasını, patch seviyelerini, kurulu olan veya çalışan servisleri ve süreçleri, kurulu olan ve çalışan uygulamalar, P2P/IM clientların kurulu olup olmadığını/çalışıyor olup olmadığını, ağınızdaki kablolu, kablosuz, VPN ve zararlı cihazları,  güvenlik duvarı durumu, sanal sunucular/desktoplar, misafir işletim sistemi bilgileri gibi daha pek çok bilgiyi CounterACT® ile toplayabilirsiniz.

 

 CounterACT ile Kontrol Sizde Olsun!

CounterACT® bir cihazda güvenlik sorunu keşfederse;

  • Gelişmiş politika yöneticisi sorunun ciddiyetine bağlı olarak otomatik bir yanıt çalıştırabilir,
  • Küçük ihlaller varsa son kullanıcıya uyarı mesajları gönderebilir,
  • Kendi cihazlarını getiren çalışanları ve müteahhitleri otomatikleştirilmiş dahili bir portala yönlendirilebilir,
  • Ciddi ihlaller varsa; cihazı engelleyebilir veya karantinaya alabilir,
  • Bir güvenlik ajanını kurabilir,
  • Parti anti-virüs yazılımları gibi bir ajanı yeniden başlatabilir,
  • İşletim sistemi yamasını alması için bir endpointi tetikleyebilir,
  • Daha güvenli bir VLAN’a alabilir veya diğer pek çok iyileştirme gerçekleştirebilir.

Kıscacası, ForeScout güvenlik politikalarınıza göre uygun seviyede kontrol uygular.

 

 Zararlı veya Riskli Cihazları İyileştirebilirsiniz!

CounterACT, güncel olmayan Antivirüs, Windows updateleri vb. düzgün kurulmamış veya düzgün çalışmayan endpointleri, güvenlik ajanları gibi güvenlik boşluklarını bulur, onarır. Ayrıca kullanıcı cihazlarının ağa girişleri sonrasında da sağlık kontrolleri uygulayabilir.

Bu gerçek zamanlı ve ajansız çözüm sayesinde;

  • Yetkili endpointleriniz düzgün şekilde yapılandırılır.
  • Antivirüs gibi host tabanlı güvenlik uygulamaları yüklenir, çalışır ve güncellenir.
  • Güvenlik açıkları düzeltilir ve yazılımın en son sürümleri kurulur.
  • Şifreleme ve veri kaybını önleme ajanları düzgün bir şekilde çalışır.
  • Yetkisiz yazılım devre dışı bırakılır.
  • Şüpheli endpointler güvenli bir şekilde karantinaya alınır ve düzeltilir.

 

 No Incompliance, No Chaos!

 ForeScout teknolojisiyle endpointlerinizin güvenlik politikalarınıza uyumluluğunu ölçebilir ve sorunları ortaya çıktıkları anda düzeltebilirsiniz.

Hızlı bir şekilde… Otomatik olarak… Devamlı olarak….

 

  • Yetkisiz cihazların ve izinsiz uygulamaların ağınızda bulunmamasını sağlayabilirsiniz.
  • Yetkili cihazların en yeni işletim sistemleri ile yapılandırılmasını, güncellenmiş virüsten koruma yazılımlarının yüklü ve çalışır durumda olmasını ve güvenlik açıklarının düzgün şekilde düzeltilmesini sağlayabilirsiniz.
  • Şifrelemeyi ve veri kaybını önleme ajanlarının çalışmasını sağlayabilirsiniz.
  • Kullanıcıların ağdaki yetkisiz uygulamaları veya çevrebirim aygıtlarını çalıştırmalarını önleyebilirsiniz.

 

Sonuç; durumsal farkındalık, olaya hızlı müdahale, güvenlik politikalarına ve yönetmeliklerine sıkı sıkıya uyma…..

 

ForeScout ile Mümkün!

Sınırlı erişime sahip bir VLAN’a atamak, cihazı önceden yapılandırılmış misafir ağına otomatik olarak taşımak, uygulamayı yüklemek için komut dosyasını çalıştırmak, cihazı karantina VLAN’ına taşımak, Wi-Fi portunu bloklamak, çevre birimlerini devre dışı bırakmak, 802.1X ile erişimi engellemek, e-posta bildirimi göndermek….. ve daha fazlası hayal olmasın.

 Siz de ForeScout CounterACT® ile kontrol eylemlerinizin tüm yelpazesini yönetin, mevcut güvenlik operasyon ekibinizden, yeteneklerinizden ve süreçlerinizden en iyi biçimde yararlanmayı sağlayın.

 

Kaynaklar

https://www.forescout.com/products/counteract/

https://www.forescout.com/wp-content/uploads/2015/12/ForeScout-CounterACT-Datasheet.pdf

https://www.forescout.com/wp-content/uploads/2015/12/Endpoint-Compliance-ForeScout-Solution-Brief.pdf

 

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.