Biznet BilişimBiznet Bilişim

by Merve Demir Akansel

WannaCrypt / WannaCry ransomware saldırısından dünya çapında pek çok kuruluşun etkilendiğini ve bu virüsün yüzbinlerce Windows bilgisayara bulaşmış durumda olduğunu hepimiz biliyoruz.

Peki biz ForeScout ile WannaCrypt/WannaCry ransomeware saldırısından nasıl korunduk?

ForeScout kullananlar çok iyi bilirler ki ForeScout CounterACT’ta “Windows Update Compliance” politika şablonunu kullanılır ve bu politika sayesinde cihazların uyumlu olup olmadığı belirlenir (örneğin Windows güncellemelerinin yapılıp yapılmadığı tespit edilebilir). Bu politika ile, Microsoft tarafından en son  yayımlanan güvenlik açığı yamaları güncelleştirilmemiş olan bilgisayarlar algılanır ve bir Windows Not Updated grubu oluşturarak , güncel olmayan kullanıcı bilgisayarlarını bu grubun içine atar.  Uyumlu olmayan bu bilgisayarlarda, tercihinize göre,isterseniz Start Windows Updates özelliğini uygulayarak Windows güncellemelerini otomatik olarak başlatırsınız, isterseniz de Windows Self Remediation seçeneğini kullanarak, kullanıcılara link göndererip güncelleştirmeleri kendileirnin indirmesini ve yüklemesini sağlayabilirsiniz. Böylece iyileştirme sağlayarak söz konusu saldırılardan korunmuş olursunuz.

Bildiğiniz gibi, WannaCrypt fidye yazılımı, kendisini yaymak için bir SMB zafiyeti kullanıyor. AslındaMicrosoft, Windows sürümlerinde desteklenen bu güvenlik açığını çözmek için 14 Mart 2017 tarihinde bir yama yayınladı. (Microsoft Security Bulletin MS17-010) ForeScout ise 20 Mart 2017’de CounterACT HPS vulnerability DB 17.0.3 plugin’ini piyasaya sürmüştü ki bu plugin, )Windows yamaları eksik olan bilgisayaları ve bu saldırının da ana nedeni olan zafiyetleri görmemizi sağladı. ForeScout kullanıcıları bu plugini yükledikten sonra son Windows güncellemelerini zaten yapmıştı.

2. aşama olarak, ForeScout Tenable Vulnerability Management (VM) modülü sayesinde CounterACT’ı Tenable SecurityCenter ve Nessus tarayıcılarıyla entegre edebileceğinize vurgu yapmakta fayda var.

Böylece;

  • CounterACT tarafından tespit edilen ağ hareketlerine bağlı olarak Nessus tarayıcı veya SecurityCenter tarama isteklerini tetikleyebilirsiniz.
  • Nessus tarama sonuçlarına bağlı olarak son kullanıcılarını izleyebilir, yönetebilir, kısıtlayabilir ve iyileştirebilirsiniz.
  • Hangi son kullanaıcıların modül tarafından güvenlik açığı olarak tanımlandığını CounterACT Inventory’de görebilirsiniz.

Desteklenen Tenable Sürümleri aşağıda listelenmektedir:

  • Nessus tarayıcı sürümleri 6.0.0 6.9.2’ye kadar
    SecurityCenter sürüm 4.8.2, 5.3.2, ve 5.4.2

Ayrıca ForeScout, ağ bileşenleri hakkında bilgi toplayan ve yazılım yüklemelerini ve güncellemeleri gerçekleştiren Microsoft® System Management Server (SMS) 2003 ve System Center Configuration Manager (SCCM) 2007 ve SCCM 2012 ile de entegre çalışmaktadır.

Tüm bunlara ek olarak, 15 Mayıs tarihinde ForeScout, sisteminizdeki WannaCrypt zararlısını hızlı bir şekilde belirlemenize ve hafifletmenize de yardımcı olacak “Security Policy Templates” adı verilen yeni bir güvenlik politikası şablonunupiyasaya sürdü. Bu şablon, ForeScout CounterACT “Security Policy Templates plugin v17.0.5” aracılığıyla sunulmuştur.

Bu pluginin içerdiği politika şablonları aşağıdaki gibidir:

  • “WannaCry vulnerable endpoints” (WannaCry zafiyet olan kullanıcılar)

Bu şablonla WannaCry / WannaCrypt kötü amaçlı yazılımlara karşı bir Windows kullancılarının güvenlik açığı ve bu kullanıcı bilgisayarı üzerinde Microsoft yamalarının yüklü olup olmadığını görebilirsiniz.

  • “WannaCry infected endpoints” (WannaCry virüs bulaşmış kullanıcılar)

Bu şablonla oluşturduğunuz politikalarda, WannaCry / WannaCrypt zararlı yazılımının ve bilinen türevlerinin bulaşmış olduğu Windows kullancılarını tespit edebilirsiniz.

Daha sonra bunları kullanarak politikalar oluşturabilir, savunmasız ve virüs bulaşmış kullanıcılarınızdan kaynaklanan riski azaltmak için onlara çeşitli aksiyonlar uygulatabilirsiniz.

Wannacry saldırısı bize pek çok ders verdi ve ForeScout’ın ağınızdaki fidye yazılımları ve diğer kötü amaçlı yazılım tehditlerini önlemeye ve ağınızda var olan potansiyel riski tanımlamaya yardımcı olma konusundaki önemini bir kez daha gözler önüne serdi.. Unutmamakta fayda var ki; henüz olmadıysa bile bir dahaki sefere sizin cihazınız da benzer virüslerin bulaştığı cihazlardan biri olabilir.

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.

Referanslar:

https://www.forescout.com/support/login/

https://updates.forescout.com/support/index.php?url=knowledge_base

merve.demir
Yazar: merve.demir