Biznet BilişimBiznet Bilişim

By Emre Can Lekesiz

CyberArk Vault Sunucu için MS Güvenlik Yaması

Ürün: CyberArk

Modüller: Vault Server

Versiyon: Vault Sunucu, MS Windows Server 2008 R2 ve Server 2012 R2

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Microsoft sunucularda HTTP.sys hizmetinde ortaya çıkan Windows güvenlik zafiyeti konusunda sizleri bilgilendirmek istiyoruz. Bu açık potansiyel olarak, CyberArk Dijital Kasasının, arka planda kendi modülleri arasında kullandığı servislere ilişkin bilgilerin ortaya çıkmasına neden olabiliyor.

Vault sunucu, kendi modülleri ve servisleriyle iç haberleşmesini HTTP.sys hizmetiyle yönetiyor. Sunucunuzda HTTP.sys hizmetine erişebilen bir saldırgan, bu Microsoft açığınu kullanarak, CyberArk’ın kullandığı belirli iç haberleşme hizmetlerine ilişkin bilgileri ele geçirebilir.   Read more

By Emre Can Lekesiz

CyberArk LDAP Ayarlarını Sıfırlamak

Ürün: CyberArk

Modüller: PVWA, Vault Server

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Bu duyuru, iki ayrı problem çözüm geliştirmek amacıyla hazırlanmıştır:

Nadiren de olsa CyberArk tarafından known-bug olarak tanımlanmış bir hata ile karşılaşabilirsiniz. Daha önceden yapılmadıysa “LDAP Wizard” çalıştırıldığında, CyberArk LDAP entegrasyonu için AD tarafında açılması gereken 3 grup (Admins, Auditors, Users vb.) sihirbazın ikinci adımında karşınıza çıkmayabilir. Bu problemi çözmek için sonraki bölümde önerilen adımları takip edebilirsiniz.   Read more

By Emre Can Lekesiz

CyberArk PVWA Üzerinden Alınan Raporlar Hakkında Önemli Duyuru

Ürün: CyberArk

Modüller: PVWA, PrivateArk Client

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Detaylar:

CyberArk ürününde SIEM/Syslog ürünlerine gönderilen raporlar ürünün audit ve yönetimsel durumlarını adresliyor. Bunun yanı sıra, ürünün adli konuları içeren raporlar üretmenizi sağlayacak kendi raporlama mekanizması mevcut. Söz konusu raporlar çok detaylı bilgiler içerebiliyor ancak bu duyurumuzda, LDAP entegrasyonu yapan kullanıcılar için “User Activity” raporunun oluşturulması ile ilgili bilgilendirme yapacağız.   Read more

By Serra Özkurt

SWIFT CUSTOMER SECURITY PROGRAMME

SWIFT CUSTOMER SECURITY PROGRAMME

Bankacılık ve finans sektöründe hayatımızı kolaylaştıran yeni teknolojilere her gün bir yenisi eklenmekte, artan dijitalleşmeyle beraber siber tehditler de aynı oranda artarak kullanıcıları ve kurumları tehdit etmektedir. Ancak siber tehditler sadece sayı olarak artmamakta aynı zamanda kullanılan yöntemler, saldırganların tecrübe ve kaynakları her geçen yıl gelişmekte ve saldırılar da giderek sofistike hale gelmektedir. Dünya finans ekosisteminin önemli oyuncularından olan, 200’den fazla ülkede 11.000’den fazla kuruluşta her gün 21 milyondan fazla finansal işlemin yapıldığı SWIFT (Society for Worldwide Interbank Financial Telecommunication) sistemi de geçtiğimiz yıllarda önemli saldırıların hedefi olmuştur. Pek çok ülkede, bankaların zarar gördüğü ve sadece Bangladeş Merkez Bankası’ndan 81 milyon doların çalındığı saldırılarda, saldırganlar tamamıyla bankaların kendi sistemlerindeki güvenlik açıklarından yararlandılar. SWIFT, her ne kadar kendi sistemi zarar görmemiş olsa da siber saldırılarla mücadele etmek ve müşterilerine bu mücadelede destek olmak için Customer Security Programme’ı yayınladı.

Gerçekleşen Bazı SWIFT Saldırıları

Vietnam

Saldırganlar, bir Vietnam Bankasının kullandığı PDF okuyucularının türü hakkında bilgi topladılar. Bu bilgiler, sosyal mühendislik yoluyla kolayca elde edilebilir ve görünüşte masum olan sorulara verilen cevaplar bir kurumu tehlikeye atabilir türdendi. Bu sayede, markası belirlenen PDF okuyucunun belirli versiyonunun zafiyetini hedefleyen bir zararlı yazılım oluşturdular. Banka yetkilileri durumu fark ederek yasadışı para transferlerinin yapılmasını önledi.

Ekvador

Saldırganlar bir çalışanın kimlik bilgilerini çaldıktan sonra bankanın sistemine erişmeyi başardılar. Saldırganlar daha sonra, iyi bir e-posta temizliğinin yapılması ve mesajların gönderildiğinden emin olunması gibi kontrol eksikliklerinden de faydalanarak, e-posta giden kutusunda bırakılan FIN (Para transferlerini içeren finansal mesaj)  mesajlarını değiştirerek saldırıyı gerçekleştirdiler.

Bangladeş

Bangladeş saldırısından sorumlu saldırganlar, ‘SysMon’ u (Microsoft Activity Monitoring), SWIFTLive’a keşif aracı olarak yükledi. Yazılımın yönetici ayrıcalıkları vardı ve saldırganlara bankadaki SWIFT terminalini kullanarak çalışanların etkileşimlerini gözlemleme imkanı verdi. İddialara göre SysMon, ağa SWIFT terminaline erişimi olan bir çalışanı hedefleyen oltalama saldırısı ile yüklendi. Raporlamalara göre bankaya konumlandırılan düşük fiyatlı ve kurumsal bir bankanın kullanımına uygun olmayan switch’lerin de ihlalin kaynağı olduğu belirtilmektedir.

Aynı bankadaki bir diğer zararlı yazılım, yazdırma için gönderilen SWIFT mesajlarını manipüle ederek değiştirdi. Saldırganlar, zararlı yazılımlarını, SWIFT mesajlaşma servisinin son sürecindeki bu zafiyetten yararlanmak için özel olarak uyarladılar. Bu saldırılar sonucunda Bangladeş Merkez Bankası’ndan 81 Milyon dolar saldırganların eline geçti.

 

 CUSTOMER SECURITY PROGRAMME (CSP) NEDİR?

Customer Security Programme (CSP), SWIFT tarafından, müşterilerinin halihazırda sağladığı ve sürdürdüğü bilgi güvenliği sistemlerine katkıda bulunmak için oluşturulmuş bir güvenlik çerçevesidir. CSP bilgi güvenliği sektöründe yabancı olmadığımız ISO27002, PCI DSS, NIST gibi standartlar örnek alınarak oluşturulmuş bir programdır.

 

CSP, SWIFT ekosisteminde her daim birbirini desteklemesi gereken üç öğe etrafında konumlanmaktadır;

  • Siz (You) – Güvenliği Sağlama ve Koruma (Secure and Protect)
  • İş Ortaklarınız (Your Counterparts) – Önleme ve Fark Etme (Prevent and Detect)
  • Sektörünüz (Your Community) – Paylaşma ve Hazırlanma (Share and Prepare)

 

 

Şekil -1 CSP Öğeleri

 

CSP kapsamında tüm SWIFT müşterilerinin uyması gereken 17 adet zorunlu ve 10 adet tavsiye niteliğinde güvenlik kontrolü bulunmaktadır. Zorunlu ve tavsiye niteliğinde olan toplam 27 kontrol, 3 ana başlık ve 8 prensip altında toplanmıştır;

  • Ortamın Güvenliğini Sağlama (Secure Your Enviroment)
  • Erişimleri Bilme ve Kısıtlama (Know and Limit Access)
  • Tespit Etme ve Tepki Verme (Detect and Respond)

 

Şekil-2 SWIFT CSP Mimarisi

 

SWIFT CSP Güvence Planı

SWIFT, CSP programı için 3 aşamalı bir güvence planı belirlemiştir;

  • Kurumun kendisi tarafından yapılacak Uyumluluk Beyanı
  • İç Denetim
  • Kurumdan bağımsız firmalar tarafından yapılacak Dış Denetim

Şekil-3 SWIFT CSP Güvence Planı

 

CSP Neden Önemli?

SWIFT, müşterilerinin sistemlerindeki güvenlik açıklarının kendi sistemlerini de tehdit etmesi ve geçmişte yaşanan saldırılar sebebiyle CSP’ye uyumlu olmayı bütün müşterilerine zorunlu kılmaktadır. Gerçekleşen saldırılarda kurumların sistemlerindeki çeşitli açıklardan yararlanılmış olması, SWIFT müşterisi her kurum için benzer risklerin mevcut olabileceğini ortaya koymaktadır. SWIFT sistemlerinin yer aldığı kapsama odaklanmış olan CSP sayesinde güvenlik açıklarının kapatılması ve mevcut güvenlik altyapısının sıkılaştırılması öngörülmektedir.

 

 CSP’YE UYUM SAĞLANMASI

 CSP’ye Uyum için Önemli Tarihler

  • 2017 ikinci çeyreğiyle beraber SWIFT müşterisi her kurum zorunlu kontrollere ilişkin mevcut durumunu içeren uyumluluk beyanını SWIFT’te göndermeye başlayacak.
  • Uyumluluk beyanının gönderilmesi için son tarih 31 Aralık 2017’dir.
  • 1 Ocak 2018’den itibaren ise tüm SWIFT müşterilerinin programa uyması zorunlu hale gelecektir.

 

CSP’ye Uyumlu Olunmaması Durumunda Oluşabilecek Sonuçlar

2018’den itibaren SWIFT her yıl örneklem şeklinde seçeceği bazı müşterilerine, ek bir dış denetim yapabilecek. Her bir Swift müşterisinin CSP uyumluluk durumu “SWIFT KYC Registry” üzerinden iş ortaklarına görünür hale getirilecek, bu sayede müşteriler iş yapacakları diğer müşterilerin CSP uyumluluk durumuna göre karar verme şansına sahip olabilecekler.

 

Yazar: Serra ÖZKURT, Caner AŞCIOĞLU

 

 

 

 

 

 

By Süleyman Salcı

Forcepoint Security Appliance Manager(SAM) Yayımlandı!

Forcepoint Security Appliance Manager(SAM) Yayımlandı!

 

Bir önceki yazımızda, Forcepoint Security Manager 8.3 sürümüyle ilgili yeni eklenen, güncellenen ve artık desteklenmeyen özellikleri incelemiştik. Önceki yazımızda “yeniliğin habercisi” diyerek tanıttığımız bir şey vardı ki o da: appliance manager arayüzü. Bu yazımızda da, sizlere bu “yeniliği” tanıtmayı amaçlıyoruz.

8.3 versiyonunda, appliance manager’a 9447 portundan bağlandığımızda bizi farklı bir arayüz karşılıyor. Önceki versiyonlarda yapabileceğimiz işlemler, appliance manager ya da content gateway arayüzlerinden birine ilerlemek iken 8.3 versiyonunda, appliance manager komut ekranına nasıl erişebileceğimiz anlatılıyor ve content gateway arayüzüne erişim seçeneği sunuluyor.

8.3 ve öncesi arayüz


8.3 arayüzü

 

Peki bu değişikliğin amacı ne? Merkezi yönetimi (Central Management) sağlamak. Önceki sistemde her appliance ayrı bir arayüze sahip iken şimdi tek bir arayüzden bütün appliance’lar yönetilebiliyor. Üstelik önceden herhangi bir arayüzü olmayan sanal appliance’lar da buna dahil! Bu değişikliği 8.4 sürümüyle bekliyorduk ancak Forcepoint mühendisleri titiz bir çalışmayla kısa sürede bu “yeniliği” hayata geçirdi.

Yeni arayüzün devreye alınma işlemleri, temel olarak 2 adımdan oluşmakta: Triton sunucuda yükleyicinin çalıştırılması ve appliance’lar üzerinde hotfix yüklemeleri.

Sunucu tarafında yapılacaklar;

  1. Forcepoint portal üzerinde, “FSAM” sekmesinde bulunan “Forcepoint Security Appliance Manager Installer” yükleyicisi indirilir.
  2. Yükleyici, Triton sunucu üzerinde çalıştırılır.
  3. Adımlar takip edilerek kurulum sonlandırılır.

Appliance tarafında yapılacaklar;

  1. Listedeki hotfix’lerin indirme & yükleme işlemleri, mevcut tüm appliance’lar için, sırayla yapılır. 9 numaralı hotfix en son yüklenmelidir.
    APP-8.3.0-001
    ● APP-8.3.0-005
    ● APP-8.3.0-008
    ● APP-8.3.0-010
    ● APP-8.3.0-011
    ● APP-8.3.0-009
    “load –hotfix –id APP-8.3.0-XXX”
    “install –hotfix –id APP-8.3.0-XXX”
  2. Hotfix yüklemeleri yeniden başlatma gerektirmektedir ancak yeniden başlatma işlemini yalnızca son yükleme sonrasında yapmak yeterlidir.

 

  1. Bu aşamadan sonra, Forcepoint Triton arayüzünden, “Appliances” sekmesi altında kayıtlı olan appliance’ların silinip tekrar kaydedilmesi önerilir.

 

Artık https://<Triton-IP-address->:9443/cm adresinden appliance arayüzüne erişim sağlanabilir ve mevcut Triton kullanıcı adı – şifre ikilisi ile giriş yapılabilir.

Neler Yapılabilir:

  • Appliance ve üzerinde çalışan servisler ile ilgili bilgi alınabilir.
  • IP, DNS, Interface bilgileri düzenlenebilir.
  • Uzak bağlantı için ihtiyaç duyulan kodlar (Token code) alınabilir.
  • SNMP ayarları düzenlenebilir.

 

Bilinen Problemler ve Kısıtlar:

  • FQDN ile bağlantı sağlarken sorun yaşanabilir. Problem çözülene kadar IP adresi ile bağlantı sağlanması tavsiye olunur.
  • Appliance, Triton arayüzüne, “Single Sign On” seçeneği ile kayıt edilmediği takdirde problem yaşanabilir.

 

 

1 2 3 4